产品概述

最近更新时间:2019-08-28 15:23:46

什么是账号威胁发现

账号威胁发现(Account Threat Discovery,ATD)为腾讯云用户提供账号安全监测服务,是腾讯云账号安全服务的子产品。账号威胁发现主要基于云审计(CloudAudit)数据进行分析,快速建立用户行为基准,实时帮助用户分析 API 调用是否符合用户行为基准。与此同时,腾讯云积累多年的威胁情报源(如恶意 IP 列表等)、机器学习以及异常检测等资源和技术也会为您保驾护航。您无需部署或维护任何软、硬件,只需要在控制台进行简单操作,即可以启用威胁发现功能,持续监控用户的腾讯云账户,结合用户行为基准、情报资源以及用户自定义 IP 名单等,识别潜在威胁并确定威胁处理的优先级别。

工作原理

威胁分类

每个用户都可以通过控制台和 API 操作访问腾讯云账号下的云资源,而每种云资源下又有多种访问方式。通过分析一个用户操作一次所涉及到的步骤,威胁发现将基础威胁类型分为以下几类:

  • 腾讯云身份安全 CEIS(Cloud Electronic Identity Security)
  • 腾讯云权限管理安全 CAMS(Cloud Access Management Security)
  • 腾讯云资源安全 CRS(Cloud Resource Security)
  • 用户自定义安全 CUDS(Cloud User Definition Security)

原理说明

当用户想重启 A 账号下的某个 CVM 实例:

  1. 登录账号 A。在登录时需要验明正身,此时会产生一连串的校验日志,CEIS 异常检测便会对验明正身的过程进行异常检测。
  2. 验明正身后,需要找到对应的 CVM 实例并尝试执行重启操作。
    1. 执行重启操作前,需要校验当前用户是否具备重启 CVM 实例的权限,此时也会产生一连串的检验日志,CAMS 异常检测便会对这次权限验证的过程进行异常检测。
    2. 开始执行重启操作,CRS 便会对这次执行重启的逻辑进行异常检测。
  3. 此外,账号威胁发现还会根据用户自己上传的 IP 列表进行数据分析,即用户自定义安全 CUDS(Cloud User Definition Security)。

整体工作原理如下图所示:

风险等级

账号威胁发现根据威胁事件的危害程度,将事件分为高、中、低三个等级,定义原则如下:

  • 高风险:需要马上修复,否则将对用户的资产或业务产生重大影响。
  • 中风险:需要用户及时确认是否真的存在问题,如问题存在,需马上修复,否则会对用户的资产造成影响。
  • 低风险:用户的操作不符合最佳安全事件,需尽快确认并按照最佳安全事件进行修改,否则可能存在安全风险。