4月15日，由极狐主办的“当效率遇上安全 一起开启质效升级之旅”活动顺利开展。

作为国内云原生安全领导厂商，安全狗受邀出席此次活动。

厦门服云信息科技有限公司（品牌名：安全狗）成立于2013年，致力于提供云安全、（云）数据安全领域相关产品、服务及解决方案。作为国内云工作负载安全（CWPP）产品开拓者、云主机安全SaaS产品的开创者，安全狗依托云工作负载安全、云原生安全（CNAPP）、数据安全治理等技术理念，打造了云安全、安全大数据、数据安全等多条产品线，覆盖了网络安全行业的多个前沿领域，满足不同用户的多种安全需求。

在此次厦门行的活动中，极狐邀请了不同专家，从企业的安全实践出发，围绕安全文化打造、流程/工具管理和研发赋能等角度，帮助研发团队保证研发/产品安全的前提下，兼顾效率和服务的高可用性。

安全狗安全研究专家郭嘉伟代表公司，结合自身在安全狗海青实验室相关的云原生安全研究经验，为与会观众分享了《基于容器ATT&CK矩阵的威胁检测能力强化方法》主题演讲。

 

容器安全现状

在分析容器安全现状时，郭嘉伟提到，云原生技术因为其具备的弹性、稳定、松耦合特点而被很人多采用。根据Gartner预测，截至到2025年，部署在云原生平台上的数字工作负载将由2021年的30%增长至2025年的95%。与此同时，云原生技术建设费用、Kubernetes的采用、容器技术、Docker等也在市场上占据较大的份额。云原生技术在市场覆盖率越来越高的同时，在容器全生命周期里也存在配置安全、CI/CD、镜像安全、计算、网络、存储以及应用等多方面的安全问题，不容忽视。

容器ATT&CK

在一一讲解完容器遇到的系列重点安全问题后，郭嘉伟对容器ATT&CK背景展开介绍。

ATT&CK

ATT&CK是由MITRE创建并维护的一个对抗战术和技术的知识库（全称 Adversarial Tactics, Techniques, and Common Knowledge, 简称ATT&CK）。框架把攻击者所采用的TTP（战术Tactics、技术Techniques、过程Procedures）系统性地组织起来。在每个战术项内又包含实现该战术目的的各种已知的攻击技术，同时在每项技术中详细描述了运用该技术的具体步骤和流程，同时也提出了相应的阻断措施、解决方案。

在分析对比ATT&CK V9、V10、V11、V12等多个版本，展示ATT&CK技术示例后，郭嘉伟指出，ATT&CK趋于丰富化、体系化。随着ATT&CK加入基线合规、镜像安全、应用安全、容器安全更container相关内容，容器ATT&CK对云原生DevSecOps实践具有指导意义。此外，ATT&CK丰富的对抗战术和技术知识库也显现了其在攻防演练和安全运营中的重要作用。

AKDA模型

为了帮助更多用户更加有效地处置容器全生命周期期间遇到的安全问题，郭嘉伟介绍了安全狗针对防御云原生入侵风险而提出的AKDA模型。

 

 

安全狗AKDA模型

AKDA模型是使用基于ATT&CK框架方法评估网络安全产品，可应用于提高sever EDR产品的威胁捕获检测能力和处置能力。AKDA模型主要包含了模拟红蓝对抗、构建攻防知识图谱、确定数据源、总结威胁检测算法等具体过程。

除了分享防御云原生入侵风险AKDA模型外，郭嘉伟还深入浅出地结合蓝队与红队视角分析了攻防实战中ATT&CK框架在镜像投毒、shiro应用漏洞、基于Docker漏洞的容器逃逸、K8s未授权访问+横向移动、shellcode持久化等实际案例场景中的具体应用。

在演讲的最后，郭嘉伟讲到，随着国内大量的工作负载上云，云主机、容器、微服务等技术的云原生技术架构快速发展，传统的云安全解决方案存在的局限。安全狗提出的融入于ATT&CK检测技术在云工作负载的综合防御解决方案所形成的纵深防御体系可为行业用户提供全面的安全防护与价值。未来，安全狗愿与业界一起，持续推动云工作负载安全的发展，为更好的、有效地解决云工作负载环境下的安全问题，致力于为用户提供更好的“即开即用”的云工作负载安全能力。