阿里云发布国内首个容器ATT＆CK攻防矩阵，给出容器运行安全检测清单

2019 年是企业容器化爆发的一年。据统计已经有超过 90% 的互联网企业正在部署或使用容器，希望能通过更为敏捷的方式快速响应市场需求。

然而，伴随着容器技术的快速发展，容器安全问题也逐渐成为企业所关注的话题，同时，开发和运维人员缺乏对容器的安全威胁和最佳实践的认识也可能会使业务从一开始就埋下安全隐患。Tripwire的调研显示，60%的受访者所在公司在过去的一年中至少发生过一起容器安全事故。在部署规模超过100个容器的公司中，安全事故的比例上升到了75%，由此可见，快速拥抱容器化带来的安全风险不容忽视。

容器ATT&CK攻防矩阵九大维度

ATT＆CK®框架是网络攻击中涉及的已知策略和技术的知识库。为便于企业构建容器化应用安全体系，阿里云安全团队在传统主机安全的基础上，围绕自建容器集群以及云原生容器服务场景，通过全面覆盖Docker和K8s的攻击特点及利用思路，发布国内首个云原生容器安全ATT&CK攻防矩阵，希望为企业构建容器安全能力提供参考。

该矩阵从以下维度描述了攻击者在渗透过程中的阶段性目标以及所使用的技术手段，以便让企业更加了解攻击者的作案手法，加以应对。

01 Initial Access/初始访问

描述了攻击者初次入侵系统并获得立足点的方法。在容器化环境中，攻击者通常会从云服务平台、容器编排平台、以及容器化应用中寻找突破口。

02 Execution/执行

描述攻击者对已掌握的资产下发指令的方式。除了通过应用漏洞植入恶意代码外，攻击者还会通过云厂商提供的接口或容器编排工具的API完成指令下发。

03 Persistence/持久化

持久化用于实现对目标资产的长期控制。通过植入后门、更改配置等操作，攻击者可以避免因漏洞修复、服务重启、资源释放导致的攻击链路中断。在容器化场景中，容器编排平台以及镜像供应链为持久化提供了新的选择。

04 Privilege Escalation/权限提升

包含攻击者用来在目标系统或网络上获取更高级别权限的技术。攻击者通常需要提升到特权用户才能实现他们的目标，常见方法是利用系统缺陷，错误的配置和软件漏洞实现。

05 Defense Evasion/防御逃逸

描述了攻击者在渗透过程中用来躲避检测、绕过防御的方法。包括卸载、禁用安全软件或对数据和脚本进行混淆、加密。此外，攻击者还可以利用受信任的资源来隐藏其恶意行为。

06 Credential Access/窃取凭证

描述了用于窃取凭据（例如帐户名和密码）的技术。攻击者在进入系统后获取用户登录凭证、API访问凭证等信息，并使用这些信息窃取数据或进一步渗透其他服务。

07 Discovery/探测

包含搜集目标系统环境和探测网络拓扑的技术。这些技术可帮助攻击者了解目标环境并确定攻击方向。攻击者在进入系统之后常会对与其相关的资产发起扫描以寻找新的攻击面。

08 Lateral Movement/横向移动

横向移动技术描述了如何在目标系统中攻陷更多资产以扩大战果。在容器化场景中，这包括从单个容器内部访问集群的其他资源，以及通过容器向底层虚拟机节点或对其他云服务发起的攻击。

09 Impact/影响

包括攻击者用来劫持或破坏正常应用可用性或损害数据完整性，从而实现其最终目标的技术。在云环境中多见于植入挖矿或勒索病毒变现。

企业容器运行安全自检清单

阿里云安全团队根据云上容器ATT&CK攻防矩阵给出了企业容器运行时进行安全检查的清单，希望为企业实时检验自身容器安全水位提供参考。自检清单如下图，如果您有任何疑问欢迎扫描图中二维码咨询。

企业容器化安全规范

理解容器攻防矩阵是构建容器安全能力的第一步，除了上述涉及的能力和措施外，我们还建议用户在实施容器化过程中遵循以下几点安全规范，从不同角度缓解容器化带来的风险：

在应用生命周期中关注您的镜像、容器、主机、容器管理平台以及相关云服务的安全性，了解潜在风险以及如何保护整体容器环境的运行免受危害。

收集并妥善保管K8s集群、第三方CI组件以及云服务的API通信凭证，避免因人工误操作导致的AK泄露。

由于容器应用生态涉及到的中间件较多，系统管理者需要关注这些中间件的漏洞披露情况并及时做好脆弱性管理和补丁升级工作。

在容器安全领域，阿里云重点关注容器构建、容器部署和容器运行三大生命周期阶段，结合容器攻防矩阵，为企业提供自动化的容器安全检测和响应能力；同时联合阿里云原生容器服务，面向企业推出云上容器安全一体化方案，助力企业容器化进程。

借助云安全中心，为客户提供自动化的安全编排与响应能力，全面提升容器安全易用性；同时为容器镜像提供漏洞扫描和修复，并支持整合在容器构建流程中，避免部署存在风险的容器；对于运行时的容器被植入 Webshell、挖矿病毒等场景，自动化隔离恶意样本，并通过联动云防火墙，针对存在漏洞的容器，提供虚拟补丁的能力，缓解安全风险。

如果想了解完整的云上容器ATT&CK攻防矩阵，请点击下方链接了解更多。

https://developer.aliyun.com/article/765449?spm=a2c6h.13148508.0.0.28094f0ebX2oVL