终端侧溯源数据（Provenance）能够记录进程、网络、文件等实体的行为依赖关系，作为威胁狩猎的关键资源，能够为威胁的识别、关联、评估提供丰富的上下文，以召回漏网的已知威胁，识别隐匿的未知威胁，并支持对威胁事件进行溯源和场景重建。 天下没有免费的午餐，通过溯源图分析提升威胁分析的自动化水平，有着多方面的挑战，相关研究已成为学术界与工业界关注的热点。 本议题将介绍溯源数据挖掘技

本次议题，我们将以GCP（Google Cloud Platform）为例，介绍公有云的安全机制以及对应的安全责任共担模型。 我们首先从红队视角出发介绍常见攻击方法，包含各种横向移动与权限突破问题，然后再以蓝队视角讨论对应的防御与运营思路。 结合EDR、静态扫描与大数据处理，我们提出了一个自动化安全审计框架，从用户的角度审计企业内部云环境的安全性。 为了方便用户在不同

本次议题主要介绍了RASP的实现方式，总结了常见的检测方式、对抗方法，以及在搞对抗场景下的未公开技巧。从攻击和防御两个方向彻底剖析RASP，给听者全新的认知和收获。

自从微软在Windows NT时代引入了会话（Session）的概念，会话池内存（Session Pool）就一直作为一种重要的内存类型存在于内核之中，同时也有众多的内核漏洞和利用技术与会话池内存息息相关。 然而，在即将发布的Windows 11第一个更新版本之中，有着几十年历史的会话池内存却悄然消失了。 是什么原因使得微软会决定从内核中移除会话池内存？会话池内存的移除会给相关

- 传统网络OR零信任 - 零信任的组成 - 零信任实践过程中一些风险 本议题，会结合市面上零信任产品实现以及落地方案进行分析，介绍公司内部红蓝对抗中关于零信任环境下的对抗手法。 零信任（zero trust）以“永不信任，始终验证”的模式，打破传统网络的边界概念。在后疫情时代，远程居家办公已经常态化，越来越多的员工采用移动办公模式，从边界以外的设备访问公司内部服

本议题探讨了CVE-2022-0847 DirtyPipe漏洞写runC逃逸的利用手法。 从CVE-2016-9962、CVE-2019-5736等漏洞的修复情况分析了能够利用CVE-2022-0847写runC逃逸成功的原因，指出runC修复方案的局限性及“写runC”作为一种新的通用逃逸突破思路，能够与CVE-2022-0847、CVE-2022-0185等众多漏洞配合逃逸出容器。