TOP5 | 头条：Forrester云安全调查：云身份管理能力认可度不足3成

Forrester云安全调查：云身份管理能力认可度不足3成；

  标签：云安全，管理能力

随着企业组织不断扩大对云计算的使用，其所面临的云安全威胁也更加严峻，同时随着云服务不断升级，虚拟身份的出现，云上权限管理难度也成指数级增长。企业该如何应对不断增长的云计算安全挑战？

为探索云安全的发展现状，研究机构Forrester Consulting公司近日对154名北美地区IT团队负责人进行了一项调查，调查发现：

1、受访者普遍认为企业需要实施与业务云化发展相匹配的安全解决方案，特别是在身份认证和权限管理领域，需要更加智能的云身份治理（cloud identity governance，CIG）方案和云基础设施授权管理方案（cloud infrastructure entitlements management，CIEM）；

2、有56%的受访者表示，在机器设备和其他非人类身份的影响下，云上身份安全认证管理变得越来越难；同时，有74%的受访者表示，对其现有的云身份管理并不满意，为了保证企业在云上的进一步拓展和云环境的安全，需要建立新的身份认证和访问控制方案；

3、在云中配置多个单独运行的安全解决方案并不能提高安全防护能力，企业仍然面对着安全隐患；

4、通过AI自动化流程，将CIG/CIEM方案与关键云平台进行集成，能够让企业业务在云中更为安全可靠的运转。

信源：https://sonraisecurity.com/wp-content/uploads/Sonrai-AWS-Forrester-Opportunity-Snapshot-Study.pdf?mkt_tok=NDgzLUlZRS0wMjUAAAGELfrUv3x7tA_qFePk2UXm41FRtSofVJXnBG6qBzOy0rf90XgCIQGtPVSkwqD9ACNlnrmhRapvIkRUhpfUNBCb74mszAxsFd_AOEr10XuO

  标签：木马，微软，传播

“Temple Run（《神庙逃亡》）”或“Subway Surfer”等热门游戏被发现存在恶意攻击行为；

攻击者可以使用安装的恶意软件作为后门，以完全控制受害者的设备；受害者大多分布在瑞典、保加利亚、俄罗斯、百慕大和西班牙；

Check Point Research (CPR) 发现了正在通过微软官方 Store传播的新恶意软件。已经有超过 5000 台设备受到影响，恶意软件不断执行攻击者命令，

例如控制 Facebook、Google 和 Sound Cloud 上的社交媒体帐户。该恶意软件可以注册新帐户、登录、评论和关注其他帖子。

CPR 已向 Microsoft 报告所有检测到的与此活动相关的游戏发行商。

尽管该木马目前并未在受感染的设备上从事高风险活动，但还是有必要了解其功能的。该恶意软件已在全球范围内攻击了 5000 多名受害者。当从微软官方 Store平台下载某些应用程序时，Electron 木马 就会趁机感染设备。Electron 框架为 Electron 应用程序提供了对所有设备资源的访问，包括 GPU 计算。由于每次运行时都会动态加载木马的有效负载，攻击者可以修改代码并将木马的行为更改为高风险。例如，他们可以初始化第二阶段并释放新的恶意软件，例如勒索软件或 RAT。所有这一切都可能在受害者不知情的情况下发生。

鉴于大多数人都信任应用程序 Store的评论，他们会毫不犹豫地从那里下载应用程序。但是，CPR 研究人员警告说，这样做存在巨大的风险，所有用户在下载应用程序时都应遵循一些安全提示：

避免下载评论量较少的应用程序；

寻找具有良好、一致和可靠评论的应用程序；

注意可疑的应用程序名称，它与原始名称不相同；

信源：https://research.checkpoint.com/2022/new-malware-capable-of-controlling-social-media-accounts-infects-5000-machines-and-is-actively-being-distributed-via-gaming-applications-on-microsofts-official-store/

Red Canary 警告 Raspberry Robin 恶意软件会通过 USB 驱动器实现传播

  标签：恶意软件，USB，感染

Red Canary 安全研究人员刚刚揭示了一款攻击企业的“Raspberry Robin”恶意软件，可知该蠕虫病毒会通过被感染的外部硬盘驱动器而感染 Windows PC 。其实早在 2021 年 11 月，网络安全情报公司 Sekoia 就已经曝光过被“Raspberry Robin”所利用的“QNAP 蠕虫”。但自 9 月以来，Red Canary 在某些技术与制造商客户的网络中对其展开了持续的跟踪。

除了潜藏旗下的恶意软件性质，我们尚不清楚“Raspberry Robin”恶意软件的后期实际工作目的。

当用户将受感染的 USB 驱动器连接到他们的计算机时，Raspberry Robin 就会在暗地里开启传播。

该蠕虫会将自己伪装成 .lnk 快捷方式文件，然后调用 Windows 命令提示符（cmd.exe）来启动恶意软件。

接着它会利用微软标准安装程序（MSIexec.exe）连接到远程的命令与控制（C2）服务器 —— 通常是易受攻击的 QNAP 设备 —— 以通过后者的出口节点来洗清攻击者的确切网络痕迹。

信源：https://www.cnbeta.com/articles/tech/1267401.htm

谷歌开始禁止俄罗斯订阅、更新付费应用程序；

  标签：谷歌，俄罗斯

上周四，为制裁俄罗斯，谷歌宣布禁止俄罗斯用户和开发人员从 Google Play 商店下载、更新付费应用程序。

“作为我们合规工作的一部分，Google Play 从 2022 年 5 月 5 日开始禁止俄罗斯下载付费应用程序及更新付费应用程序，” 谷歌在其客户支持网站上的更新中表示。

不过，俄罗斯开发人员仍然可以发布和更新免费应用程序，用户仍然能够从商店下载这些免费应用程序。因此虽然用户无法再为订阅付费，但据谷歌建议，开发者可以开放订阅结算宽限期和免费试用期，还可以将续订推迟长达一年，从而使用户能够继续得到服务。

“如果你愿意，你可以选择免费提供你的应用，或者在暂停期间删除你的付费订阅，” 谷歌如此表示。

谷歌与俄罗斯的其他数次冲突：

3 月 10 日，谷歌响应西方对俄罗斯的制裁，在俄罗斯暂停了其 Google Play 计费系统，阻止俄罗斯人购买游戏和应用，包括订阅付费和任何应用内购买付费。

3 月 23 日，俄罗斯禁止了 Alphabet（谷歌母公司）的新闻聚合服务 Google News，并阻止访问 news.google.com，俄罗斯方面认为该平台提供了有关俄乌冲突的不可靠信息。俄罗斯电信监管机构 Roskomnadzor 还要求谷歌停止在 YouTube 视频中传播有关俄乌冲突的虚假错误信息。

随后不久，谷歌应欧盟的要求，封禁了 “今日俄罗斯”（Russia Today）和 “俄罗斯卫星通讯社”（Sputnik）的 YouTube 频道。

信源：https://www.secrss.com/articles/42146

ATT&CK V11版本发布，新增结构化检测内容；

  标签：ATT&CK，结构化检测

近日，ATT&CK发布了V11版本！按照其发展路线图，ATT&CK会在2022年会更新两个版本：在4月份更新V11版本，并在10月份更新V12版本。本次更新的V11版本，最大的变化是对“检测”内容进行重组，将“检测”与ATT&CK for Enterprise中的数据源和数据组件对象关联起来，ATT&CK for Mobile增加子技术测试版、ATT&CK for ICS添加到了MITRE ATT&CK的官网（on attack.mitre.org）上。V12版本预计会增加行动内容（Campaigns）元素。

增强结构化检测

过去几年里，MITRE ATT&CK反复研究如何各种可操作的ATT&CK字段转化为可管理的对象。在V5版本中，ATT&CK将缓解措施（Mitigations）转换为对象，以提高缓解措施的价值和可用性。将缓解措施转化为对象之后，用户可以根据缓解措施找到预防相关攻击技术的不同措施。在V10版本中，ATT&CK把数据源转换为对象，实现了类似的透视和分析功能。

最新发布的V11版本采用了类似的方法处理ATT&CK for Enterprise中的“检测”内容。以前，“检测”是在“技术”页面上用文本进行描述的，V11版本对此进行了改进，将“检测”合并到与数据源有关的描述中。这样，针对每项攻击技术的检测，用户就可以明确地知道需要收集哪些信息作为输入信息（数据源），以及通过如何分析这些数据来识别特定的攻击技术（检测）。

在“T1197 BITS作业”页面的检测信息

在“数据源”页面上，也有检测信息，并与“数据组件”下列出的每项技术进行了关联，这样用户就能够清晰地知道这些数据源可以用于检测哪些攻击技术。

数据源“容器”页面的检测信息

Mobile子技术测试版上线

2020年，ATT&CK for Enterprise中增加了多项子技术，这些子技术广受好评，解决了Enterprise矩阵不断变大过程中遇到的一些问题。在V11版本中，ATT&CK for Mobile也增加了子技术（测试版），预计今年夏天会正式发布ATT&CK for Mobile及其子技术。

ICS矩阵在官网上线

此前，ATT&CK for ICS是在MediaWiki网站上推出的，呈现方式与其官网类似，现已在官网正式上线。该版本的不同之处在于，合并了攻击组织和软件，将ICS技术添加到攻击组织和软件页面中，并在描述中做出相应的更新；此外，还整合了ATT&CK for ICS的数据源和数据组件。由于ATT&CK for ICS和ATT&CK for Enterprise二者之间存在一定的重叠，因此，增加了一个过滤器，可以看到只针对ATT&CK for ICS的数据源和数据组件，只针对ATT&CK for Enterprise的数据源和数据组件，以及二者通用的数据源和数据组件。

信源：青藤云安全