在云安全领域，如何有效识别和应对隐藏在正常请求中的恶意行为，一直是防守方的重要课题。密标技术提供了一种创新解决方案。它依托IAM体系进行细粒度鉴权，结合操作审计与事件跟踪功能，记录AccessKey行为日志并生成告警监控，从而精准捕获攻击者行为并及时通知防守方。值得一提的是，从攻击者视角来看，密标与普通AccessKey并无二致，这使其成为一种隐蔽而高效的防御工具。

以下，我们将基于阿里云平台，演示如何创建一个基础的密标环境。

这里使用阿里云来创建一个基础的密标环境。

首先在 RAM 访问控制中，选择创建一个新的密标用户。
 

然后根据需求的场景不同，创建多个 accesskey 投放到不同的业务区域，或者是创建多个密标用户以不同的权限部署密标 accesskey。

为了方便演示，这里创建的密标用户是test，只有一个 accesskey。
 

为保障密标环境不受制和影响真实业务环境，我推荐通过资源组的方式去对密标环境进行安全隔离。

下面演示资源组隔离密标的：
在控制台打开资源管理，创建一个新的资源组。
 

将我们提前部署好的恶意资源，纳入资源组。并且在授予密标用户权限时，按资源组进行授权。
 

通过资源组的隔离，可以任意地定制权限而无需担心被横向到真实环境。

小知识：

accesskey 的调用只是攻击手法的表象，攻击者能够利用 accesskey 去攻击云服务，实际上是利用了这个 accesskey 代表的凭证实体去访问对应的云服务，accesskey 没有权限这一说法，accesskey 的权限是来源于凭证实体的，比如说子用户就是一种凭证实体，权限是子用户的。
 

这里能很清楚地看到，攻击者在 sourceIpAddress 的机器上通过 ossutil（userAgent），对 region 为 hangzhou 的 oss 云服务（eventSource）发起了 GetService 的请求（eventName），并且由于权限不足，导致 "AccessDenied" （errorCode）。

此时我们已经通过操作审计的事件跟踪功能，利用特定条件筛选可以定位到密标用户事件，那么下一步则是将此类事件推送到联系人上。

在云日志中找到告警中心，然后新建告警规则。
 

查询统计处，点击添加，在高级配置中，日志库选择 actiontrail 也就是刚刚创建的事件跟踪，然后在查询区间里，填入event.userIdentity.userName = "test"，表示只筛选密标用户。查询区间按需求调整，这里我选择15分钟。最后点击预览来确认筛选的事件是否正确，最后点击确认。
 

在创建事件订阅前，需要先配置报警通知的联系人和报警模版。

在云监控中心左侧往下拉，找到报警联系人。
 

这里直接使用系统默认模版。

进入最后一步，设置事件订阅，这里我建议从之前的日志服务点进来，这样可以自动设置好事件资源和事件内容。

显示 oss-browser 说明攻击者在用图形化工具翻文件。

按照经验，此时最容易泄漏攻击者的真实 ip，因为攻击者在使用用 sdk 或者 cli 的时候更倾向于通过 VPS 来进行，但是使用图形化工具往往会是攻击者本身的机器。而 oss-browser 本身没有设置代理的选项，如果此时攻击者的攻击机没有让 oss-browser 挂代理，则会直接暴露真实 ip。

正如设置 CTF 题目一样，在密标环境中可以任意给攻击者设置不同难度的诱饵。

例如：设置多个存储桶，其中包含一个私有桶和多个公开桶。

公开桶中，设置一个桶数据量小，但是桶名跟配置相关，比如 config ，里面存放多个配置文件，并且大多数是不能连接的（伪造的），其中放一个恶意的 mysql 蜜罐是可以连接的，此时就能联动传统的蜜罐对攻击者进行反制。

私有桶往往更被攻击者关注，此时可以设置一些简单的门槛，例如：用户收到桶 policy 的限制，没有权限直接访问此存储桶，但是桶 policy 是可任意覆盖的，那么此时攻击者就会高兴地运用他所学到的技术去做一个特权提升以访问此存储桶。那么此时，可以在桶内放个免杀马，标明为 VPN 客户端。相比起直接获得的配置，经过攻击绕过限制所得到的‘客户端’更容易让人放松警惕。

在操作审计中，只会有一个内网的 IP 地址。

可以通过云函数来快速部署一台临时的 VPS，具体可见本文作者之前研发的工具绝影（https://mp.weixin.qq.com/s/Fq0GXbuFrLhhMRMVEUtPMw）

值得注意的是，阿里云的云函数直接反弹 shell 会导致封号，请勿轻易尝试。
 

由于操作审计、日志投递、云监控报警，三者本身都有检测时间段，即并不是有调用行为就会瞬发报警，因此快速的自动化攻击会减少攻击者在密标中所浪费的时间。