[Paper] CIS 基准扫描结果的可视化

Source: arXiv - 2512.11316v1

Overview

本文介绍了 GraphSecure，一个基于 Web 的平台，能够自动收集、验证并可视化针对 Amazon Web Services (AWS) 环境的 Center for Internet Security (CIS) 基准的安全扫描结果。通过将原始合规数据转化为直观的图表和警报，该工具旨在为开发者、DevOps 工程师和安全团队提供实用的持续安全姿态监控。

Key Contributions

• 端到端扫描工作流 – 只需一次点击即可直接从用户的 AWS 账户发起 CIS 基准扫描。
• 面向图的数据模型 – 安全发现以节点和边的形式存储，保留资源之间的关系（例如 EC2 实例、IAM 角色、VPC）。
• 交互式可视化 – 仪表盘小部件（热力图、柱状图、依赖图）能够一目了然地展示最关键的错误配置。
• 基于风险的警报 – 实时警告按严重程度和对整体账户健康的潜在影响进行排序。
• 开源原型 – 实现（前端 + 后端）在 MIT 许可证下发布，鼓励社区扩展。

Methodology

1. 凭证导入 – 用户提供具备只读权限的 AWS IAM 角色。GraphSecure 通过 AWS STS 假设该角色以获取配置信息。
2. 数据收集 – 后端调用 AWS API（Config、IAM、EC2、S3 等），并将响应规范化为统一的 JSON 架构。
3. 基准映射 – 每条 CIS 控制被表达为一组规则谓词（如 “S3 bucket 必须启用服务器端加密”）。收集到的数据使用用 Python 编写的规则引擎对这些谓词进行评估。
4. 图构建 – 将发现插入 Neo4j 图数据库，资源成为节点，关系（如 “instance → attached → security‑group”）成为边。该表示支持下游查询，例如 “显示受特定控制影响的所有资源”。
5. 可视化层 – React/Redux 前端通过 GraphQL API 读取图数据并渲染：
   • 统计概览（通过/未通过控制的百分比）。
   • 资源中心热力图（突出显示最不合规的服务）。
   • 交互式依赖图（点击可从控制项深入到具体的错误配置资源）。
6. 警报生成 – 轻量评分模型聚合严重性、可利用性和资产关键性，生成实时警报，显示在仪表盘上并可选通过电子邮件或 Slack 发送。

Results & Findings

• 速度 – 对一个典型的中等规模 AWS 账户（≈ 150 个资源）进行扫描，耗时不足 2 分钟，比手工 CIS‑Benchmark 脚本提升约 4 倍。
• 检测覆盖率 – GraphSecure 识别了官方 CIS‑Benchmark 工具报告的 98 % 错误配置，并额外发现了 12 % 通过图‑基依赖分析揭示的 “跨资源” 问题。
• 可用性 – 小规模用户研究（n = 12）显示，与原始 JSON 输出相比，定位失败控制根因的时间减少了 35 %。
• 警报有效性 – 参与者将基于风险的警报评为 “高度可操作”，有 83 % 表示会将仪表盘纳入日常工作流。

Practical Implications

• 持续合规 – 团队可以将 GraphSecure 嵌入 CI/CD 流水线（例如在每次 Terraform apply 后触发扫描），在漂移进入生产前即被捕获。
• 快速分流 – 交互式图让工程师能够沿依赖链追踪错误配置，显著缩短平均修复时间（MTTR）。
• 审计准备 – 可导出的合规报告和可视化证据简化了外部审计和内部治理审查。
• 跨团队协作 – 通过共享的可视化形式展示安全姿态，开发、运维和安全专家可以在不翻阅日志的情况下讨论修复优先级。
• 可扩展性 – 开源技术栈（React、Neo4j、Python）使得添加自定义基准（如内部加固指南）或通过额外数据收集器支持其他云提供商变得轻而易举。

Limitations & Future Work

• 仅限 AWS – 当前原型仅支持 AWS；要扩展到 Azure、GCP 或混合环境，需要额外的数据适配器。
• 基准集静态 – GraphSecure 目前仅验证 CIS 基准；计划支持用户自定义或行业特定的控制项。
• 可伸缩性 – 虽然图数据库能够轻松处理中等规模账户，但对于拥有数千资源的大型企业可能需要分片或更分布式的存储后端。
• 自动化修复 – 该工具目前止步于检测和警报；未来版本计划与 AWS Systems Manager 或 Terraform 集成，实现“一键”修复。

GraphSecure 展示了基于图的云配置视角如何将嘈杂的合规数据转化为可操作的洞察——这一方法有望成为现代 DevSecOps 工具链的标配。

Authors

• Zhenshuo Zhao
• Maria Spichkova
• Duttkumari Champavat
• Juilee N. Kulkarni
• Sahil Singla
• Muhammad A. Zulkefli
• Pradhuman Khandelwal

Paper Information

• arXiv ID: 2512.11316v1
• Categories: cs.CR, cs.SE
• Published: December 12, 2025
• PDF: Download PDF