网站已经有很多微软发布的这篇文章《Threat matrix for Kubernetes》的翻译了，相关文章都在后边参考资料里，这篇文章就记录一些要点信息，和MITRE ATT&CK®框架。

MITRE ATT&CK

MITRE ATT&CK®框架是涉及网络攻击的已知战术和技术的知识库。从Windows和Linux，MITRE ATT&CK矩阵模型涵盖了涉及网络攻击的各个阶段（战术），并详细阐述了每个阶段的已知方法（技术）。这些矩阵可以帮助企业了解其环境中的攻击面，并确保可以充分预检和排除各种风险。

简单来说，ATT&CK是MITRE提供的“对抗战术、技术和常识”框架，它按照一种易于理解的格式将所有已知的战术和技术进行排列。攻击战术展示在矩阵顶部，每列下面列出了单独的技术。

MITRE ATT&CK®框架策略包括：

• 初始访问
• 执行
• 持久化
• 权限提升
• 防御绕过
• 凭据访问
• 发现
• 横向运动
• 影响

微软

微软发布的“ATT&CK模仿秀”，包括：

• 基于ATT&CK框架的机器学习威胁矩阵
• 基于ATT&CK框架的Kubernetes威胁矩阵

ATT&CK 是个很好的学习入口，不过我们工程师也不能完全依赖这些威胁矩阵，毕竟新的漏洞不断出现，老的东西不一定能够覆盖所有漏洞。

参考文章：微软威胁矩阵不是雷神之锤 - 安全内参

Azure威胁矩阵遗漏的一个值得注意的组件是“命令与控制”（C2）威胁类别，该类别在原始的MITER ATT＆CK矩阵中可以找到。事实证明，C2仍是Kubernetes用户关注的问题，它应该是Kubernetes威胁矩阵的一部分。

Kubernetes高度依赖DNS作为其服务发现的关键基础架构。建立隐蔽通道的常见做法是利用DNS协议消息交换中的固有弱点。因此，监视Kubernetes群集内的DNS活动非常重要，可以检测并有可能阻止C2建立隐蔽通道。

Azure Matrix在权限提升方面也存在差距。最新的CVE显示，攻击权限可以从节点提升到整个群集，也可以从群集提升到托管云环境。准入控制器和Kubernetes operator也可能遭到侵入，就前置安全性而言这是不可省略的。

Azure Matrix中缺失的另一点是Kubernetes威胁的持久性。攻击者可以直接在节点上启动容器，而Kubernetes不会管理容器，这对于DevOps来说是一个盲点。如果攻击者破坏了准入控制器，他们还可以将恶意代码注入任何一个容器中。最后，攻击者可以将脚本插入容器生命周期挂钩中来执行并持续进行攻击，这是一种Kubernetes机制，可以在预定的时间点运行脚本。

参考资料

• 微软的Kubernetes攻击矩阵覆盖九种主要攻击策略步骤
• 基于MITRE ATT&CK框架的Kubernetes攻击威胁矩阵 - freebuf
• Container security in Security Center - 微软