一、云安全中心簡介

云安全中心是一個實時識別、分析、預(yù)警安全威脅的統(tǒng)一安全管理系統(tǒng)，通過防勒索、防病毒、防篡改、鏡像安全掃描、合規(guī)檢查等安全能力，實現(xiàn)威脅檢測、響應(yīng)、溯源的自動化安全運(yùn)營閉環(huán)，保護(hù)云上資產(chǎn)和本地服務(wù)器。

• 對多種網(wǎng)絡(luò)和主機(jī)日志進(jìn)行檢索，調(diào)查訪問量，統(tǒng)計和分析各維度的原始日志信息。
• 監(jiān)控AK泄露、網(wǎng)絡(luò)入侵事件、DDoS攻擊事件、ECS惡意肉雞等行為，并對ECS開放的端口進(jìn)行實時監(jiān)控。
• 對ECS中發(fā)生的入侵事件（例如：Webshell、惡意軟件、核心數(shù)據(jù)被加密勒索等）進(jìn)行回溯，發(fā)現(xiàn)入侵的原因和全過程。
• 多云資產(chǎn)接入功能。

1、云安全中心可以為我們提供哪些安全保障？

（1）安全預(yù)防

•   漏洞掃描與修復(fù)：主流系統(tǒng)、軟件漏洞掃描，并支持漏洞一鍵修復(fù)。
• 云平臺配置檢查：基于云平臺安全實踐，聯(lián)動云產(chǎn)品能力形成安全閉環(huán)。
• 基線檢查：基于阿里云最佳配置核查清單，降低配置不當(dāng)引起的風(fēng)險。

（2）主動防御 

• 防勒索、防病毒：實時攔截已知勒索病毒、挖礦、蠕蟲、DDoS等七類病毒。
• 防篡改：防止網(wǎng)站被植入涉恐涉政、暗鏈、后門等，保障網(wǎng)頁正常。
• 應(yīng)用白名單：防止未經(jīng)授權(quán)的應(yīng)用異常啟動，影響業(yè)務(wù)正常運(yùn)行。

（3）威脅檢測 

• 250+威脅檢測模型：為您提供全鏈路的威脅檢測能力，讓黑客無處遁形。
• 告警自動化分析關(guān)聯(lián)：自動關(guān)聯(lián)告警、識別低危異常形成的入侵，提升運(yùn)營效率。
• 安全態(tài)勢：安全大屏知己、知彼、知威脅多維度展現(xiàn)網(wǎng)絡(luò)安全態(tài)勢。

（4）調(diào)查&響應(yīng)

• 自動化攻擊溯源：自動溯源攻擊源和原因，幫用戶了解入侵威脅，快速響應(yīng)。
• 日志分析&審計：提供日志審計、分析能力，提供攻擊追溯、合規(guī)的平臺。

（5）容器安全 

• 鏡像漏洞掃描：支持容器鏡像的深度漏洞掃描，提供漏洞修復(fù)方案。
• 容器威脅檢測：容器運(yùn)行時刻及容器K8S威脅檢測。
• 容器防火墻：為容器環(huán)境提供訪問控制策略的智能學(xué)習(xí)、告警、攔截的一體化網(wǎng)絡(luò)防火墻服務(wù)。

為什么做云安全掃描。

2、云安全中心適合哪些應(yīng)用場景？

等保合規(guī)場景、混合云主機(jī)安全場景、容器安全場景。

3、為什么選擇云安全中心？

云安全中心能夠統(tǒng)一管控所有資產(chǎn)并實時監(jiān)控云上業(yè)務(wù)整體安全，上千臺服務(wù)器中的漏洞、威脅和攻擊情況一目了然；并且，針對檢測到的漏洞和風(fēng)險配置項提供監(jiān)控與修復(fù)服務(wù)。

• 對于個人、業(yè)務(wù)量不大且不重要的用戶：選擇基礎(chǔ)版功能（不付費(fèi)）。
• 對于企業(yè)級、流量大的用戶：選擇高級版、企業(yè)版等強(qiáng)大的防護(hù)功能來抵御攻擊。

二、漏洞掃描

云安全中心支持上萬種漏洞掃描&修復(fù)，漏洞掃描又分為周期性自動掃描漏洞和手動掃描漏洞。

1、手動掃描&導(dǎo)出

手動掃描可以獲取最新的漏洞信息： 

2、自動掃描

在漏洞管理設(shè)置中設(shè)置自動掃描的周期： 

 3、API調(diào)用

前提條件：

子賬戶授權(quán)云安全中心權(quán)限，生成AKSK信息。

（1）掃描獲取特定應(yīng)急漏洞的名稱信息

https://help.aliyun.com/document_detail/421691.html示例：掃描Spring Framework JDK >= 9 遠(yuǎn)程代碼執(zhí)行漏洞 。

參數(shù)配置：

*JSON
Lang:zh
RiskStatus:y
ScanType:python
VulName:Spring Framework JDK >= 9 遠(yuǎn)程代碼執(zhí)行漏洞*

查看結(jié)果：

Apache
{
  "TotalCount": 1,
  "RequestId": "xxx",
  "PageSize": 5,
  "CurrentPage": 1,
  "GroupedVulItems": [
    {
      "Status": 30,
      "PendingCount": 1,
      "Type": "python",
      "Description": "2022年3月31日，Spring官方發(fā)布安全公告，披露CVE-2022-22965 Spring Framework 遠(yuǎn)程代碼執(zhí)行漏洞。由于Spring框架存在處理流程缺陷，攻擊者可在遠(yuǎn)程條件下，實現(xiàn)對目標(biāo)主機(jī)的后門文件寫入和配置修改，繼而通過后門文件訪問獲得目標(biāo)主機(jī)權(quán)限。使用Spring框架或衍生框架構(gòu)建網(wǎng)站等應(yīng)用，且同時使用JDK版本在9及以上版本的，易受此漏洞攻擊影響。",
      "CheckType": 1,
      "AliasName": "Spring Framework JDK >= 9 遠(yuǎn)程代碼執(zhí)行漏洞",
      "GmtLastCheck": 1654479941000,
      "GmtPublish": 1648688400000,
      "Name": "emg:SCA:AVD-2022-1124599"
    }
  ]
}

（2）查詢所有服務(wù)器分組信息

https://help.aliyun.com/document_detail/421720.html示例： 

參數(shù)配置：

JSON
Lang:z

查看結(jié)果：

Apache
{
  "RequestId": "xxx",
  "Groups": [
    {
      "GroupName": "未分組",
      "GroupFlag": 0,
      "GroupId": 123
    },
  ],
  "Count": 1
}

（3）導(dǎo)出漏洞列表&查看漏洞導(dǎo)出任務(wù)的進(jìn)度

• https://help.aliyun.com/document_detail/421868.html#api-detail-0
• https://help.aliyun.com/document_detail/421867.htmlExportVul

接口用于導(dǎo)出漏洞列表，與DescribeVulExportInfo接口配合使用。使用ExportVul接口建立漏洞導(dǎo)出任務(wù)之后，可調(diào)用DescribeVulExportInfo接口錄入漏洞導(dǎo)出任務(wù)的ID，查看漏洞導(dǎo)出任務(wù)的進(jìn)度。

示例：導(dǎo)出groupID為123的資產(chǎn)組的未修復(fù)軟件漏洞：

參數(shù)配置：

JSON
Lang:zh
Type:app
Dealed:n
GroupId:123

查看結(jié)果：

Apache
{
  "RequestId": "xxx",
  "FileName": "app_20220622",
  "Id": 321
}

 參數(shù)配置：

JSON
ExportId:321

查看結(jié)果：

Apache
{
  "Progress": 100,
  "TotalCount": 64,
  "RequestId": "xxx",
  "Message": "success",
  "FileName": "app_20220622",
  "ExportStatus": "success",
  "CurrentCount": 64,
  "Id": 321,
  "Link": "https://vul-export.oss-cn-shanghai.aliyuncs.com/export/xxx
}

4、釘釘告警群

在云安全中心-設(shè)置-通知中可以添加釘釘告警機(jī)器人，根據(jù)資產(chǎn)分組或通知范圍設(shè)置告警；webhook地址在添加釘群自定義機(jī)器人后生成 。

5、漏洞分類

按照漏洞類型可分為系統(tǒng)漏洞與軟件漏洞，各個環(huán)境又都分為日常漏洞和應(yīng)急漏洞。

三、漏洞修復(fù)

云安全中心支持對主流漏洞類型進(jìn)行檢測并提供一鍵修復(fù)功能：

• 一鍵修復(fù)Linux軟件漏洞后，Linux系統(tǒng)的YUM源包管理系統(tǒng)會對漏洞補(bǔ)丁安裝包進(jìn)行自動下載、安裝和清理（漏洞修復(fù)完成3天后自動清理），無需手動操作。
• 一鍵修復(fù)Windows系統(tǒng)漏洞后，云安全中心Agent會自動下載、安裝和清理漏洞補(bǔ)丁安裝包，無需手動操作。漏洞修復(fù)完成超過3天后，如果安裝包未被及時清理掉，可手動清理漏洞補(bǔ)丁包。

開始漏洞修復(fù)前一般會列出一個修復(fù)進(jìn)度表，如圖： 

1、系統(tǒng)漏洞

（1）預(yù)約修復(fù)時間

a、預(yù)約要素

• 釘群：供應(yīng)商群
• 艾特：供應(yīng)商負(fù)責(zé)人
• 原因：說明來由
• 事項：要干什么
• 時間：什么時候做
• 分工：我們做什么、供應(yīng)商需要配合什么

b、參考模板（根據(jù)實際情況更改）

測試環(huán)境：

待測試環(huán)境修復(fù)完成后，預(yù)約生產(chǎn)修復(fù)升級

生產(chǎn)環(huán)境：

（2）開始修復(fù)

使用阿里云安全中心的一鍵掃描功能：

（3）驗證漏洞 

（4）通知供應(yīng)商驗證功能

2、軟件漏洞

軟件漏洞由供應(yīng)商來修復(fù)，與系統(tǒng)漏洞同理，測試環(huán)境完成修復(fù)并驗證各項功能后開始修復(fù)生產(chǎn)環(huán)境漏洞。 

參考模板：

hello，xx，近期我們已經(jīng)系統(tǒng)漏洞修復(fù)完成，表格中為軟件漏洞具體信息，麻煩安排下修復(fù)時間，近期可對測試環(huán)境進(jìn)行修復(fù)，修復(fù)完成并完成驗證后再對生產(chǎn)進(jìn)行修復(fù)，修復(fù)過程中有進(jìn)度請及時與我同步。