新加坡，2022年4月21日– IDC 最近发布了2022 年除日本以外的亚太地区 (APeJ) 安全与信任研究，该研究显示 69% 的 CEO 现在每周 (37.2) 或每两周 (31.5%) 参与网络安全互动，支持网络安全对企业的持续重要性。然而，复杂性、遗留问题和不明确的角色和职责仍然阻碍了解决这一复杂问题的更有效方法。

主要发现是，IT 系统的持续复杂性以及不断变化的法规是 IT 安全专业人员面临的主要挑战。尽管 C-Suite 更加关注安全问题，但人员和流程中存在许多基础设施问题，除非 C-Suite 决定解决这些问题，否则这些问题将继续存在。

IDC 亚太地区信任与安全研究副总裁Simon Piff表示：“即使在今天，大多数安全技术收购都在对当前感知到的威胁做出反应，而且这种情况已经持续多年。” “需要一种更具战略性和整体性的方法来应对无数威胁和挑战，同时简化技术堆栈及其集成。人工智能/分析、安全自动化和网络安全基础设施现代化等关键技术在投资议程，重点是风险管理、KPI 和流程开发，”Piff 补充道。

这项 IDC 研究将更好地帮助技术供应商将他们的消息传递与目标市场内安全决策部门的需求保持一致。此外，本研究调查了如何在人员、流程和技术层面解决网络安全问题，并专门研究：

挑战/担忧；

感知到的威胁；

风险管理流程；

计划投资领域；和

对信任概念的总体理解和态度

IDC 研究“ 2022 年亚太地区（不包括日本）安全和信任研究(IDC #AP47766122) 揭示了该地区的安全技术买家如何解决他们的安全问题。市场上过多的工具和供应商导致当前对流程和人员的关注，而研究表明，迄今为止，这些都是缺乏的。与此同时，对身份、云和数据的担忧在技术投资意向中居于首位。

“在有限的时间窗口内，威胁参与者访问了 SuperUser 应用程序中的两个活跃客户租户（我们已单独通知他们），并查看了某些其他应用程序（如 Slack 和 Jira）中无法用于在 Okta 中执行操作的有限附加信息客户租户，”布拉德伯里 周二解释说。

“威胁参与者无法成功执行任何配置更改、MFA 或密码重置，或客户支持‘模拟’事件。”

Okta 的 CSO 补充说，该公司将确保其服务提供商遵守新的安全要求，包括采用零信任安全架构和通过 Okta 的 IDAM 解决方案对所有工作场所应用程序进行身份验证

Okta 还终止了与 Sitel 的关系，现在直接管理所有可以访问其客户支持工具的第三方设备。

通过“遗留”基础设施遭到破坏
Okta 上个月承认，它 在延迟披露 Lapsus$ 数据勒索组织 1 月份的违规行为时犯了一个错误，这是由于公司没有意识到事件的严重程度及其对客户的影响而造成的。

据 BleepingComputer 报道，在 Lapsus$ 在 Telegram 频道中分享了暗示他们已经侵入 Okta 客户网络的屏幕截图后，Okta 开始 调查有关黑客攻击的指控。

最初，Okta 表示，一名 Lapsus$ 黑客在 1 月 16 日至 1 月 21 日之间的“五天窗口”内获得了对 Sitel 支持工程师笔记本电脑的远程桌面 (RDP) 访问权限。

布拉德伯里今天总结说：“虽然已确定妥协的整体影响比我们最初的范围要小得多，但我们认识到这种妥协可能对我们的客户及其对 Okta 的信任造成广泛的损失。”

“我们认识到 Okta 对如此多的组织和依赖它们的个人来说是多么重要，并且比以往任何时候都更有决心为他们提供服务。”

Okta 是一家市值超过 60 亿美元的上市公司，在全球拥有 5,000 多名员工，为全球 15,000 多家组织提供身份管理和身份验证服务。

威胁分析师报告称，俄罗斯国家支持的威胁组织 Gamaredon（又名 Armageddon/Shuckworm）正在使用自定义 Pteredo 后门的新变体对乌克兰的目标发起攻击。

至少自 2014 年以来，Gamaredon 一直在发起针对乌克兰政府和其他关键实体的网络间谍活动。

该演员以其对乌克兰的强烈关注而闻名，被归咎于 针对该国 1,500 个公共和私营实体的5,000 多次网络攻击。

根据追踪该组织为 Shuckworm 的赛门铁克的一份报告，该攻击者目前正在使用至少四种“Pteredo”恶意软件变种，也被追踪为 Pteranodon

后门的根源在于 2016 年的俄罗斯黑客论坛，Shuckworm 从那里获取并开始使用专门的 DLL 模块和用于窃取数据、远程访问和分析规避的功能私下开发它。

近期活动
赛门铁克的分析师报告称，针对乌克兰目标部署的所有不同有效负载最近都执行了类似的任务，但每个都与不同的命令和控制服务器 (C2) 服务器地址进行通信。

这表明威胁参与者正在使用多个彼此略有不同的不同有效负载来实现冗余并建立能够抵抗恶意软件清理操作的持久性。

为持久化添加了计划任务
为持久性添加了计划任务 (Symantec)
在所有四个观察到的变体中，威胁参与者使用模糊的 VBS 投放器，添加计划任务，然后从 C2 获取其他模块。

Pteredo.B – 修改后的自解压 7-Zip 存档，包含多个专注于数据收集和持久性建立的 VBScript。
Pteredo.C – VBScript-ridden 变体，通过 API 锤击过程启动，以确保它不在分析师的沙箱中运行。依赖于从外部源获取 PowerShell 脚本并执行它们。

根据追踪该组织为 Shuckworm 的赛门铁克的一份报告，该攻击者目前正在使用至少四种“Pteredo”恶意软件变种，也被追踪为 Pteranodon

后门的根源在于 2016 年的俄罗斯黑客论坛，Shuckworm 从那里获取并开始使用专门的 DLL 模块和用于窃取数据、远程访问和分析规避的功能私下开发它。

近期活动
赛门铁克的分析师报告称，针对乌克兰目标部署的所有不同有效负载最近都执行了类似的任务，但每个都与不同的命令和控制服务器 (C2) 服务器地址进行通信。

这表明威胁参与者正在使用多个彼此略有不同的不同有效负载来实现冗余并建立能够抵抗恶意软件清理操作的持久性。

为持久化添加了计划任务
为持久性添加了计划任务 (Symantec)
在所有四个观察到的变体中，威胁参与者使用模糊的 VBS 投放器，添加计划任务，然后从 C2 获取其他模块。

Pteredo.B – 修改后的自解压 7-Zip 存档，包含多个专注于数据收集和持久性建立的 VBScript。
Pteredo.C – VBScript-ridden 变体，通过 API 锤击过程启动，以确保它不在分析师的沙箱中运行。依赖于从外部源获取 PowerShell 脚本并执行它们。

1 月份还使用了最小化用户交互的 7-Zip 自解压二进制文件，同时还发现了 UltraVNC 和 Process Explorer 滥用。

虽然 Shuckworm/Gamaredon 是一个相当复杂的组织，但它的工具集和感染策略在最近几个月没有改进，从而更容易检测和更简单的防御策略。

不过，Pteredo 后门仍在积极开发中，威胁组织可以使用经过彻底检查、更强大或更隐蔽的恶意软件版本，以及修改其攻击链。

Amazon Web Services (AWS) 从 12 月开始在其热补丁中修复了四个安全问题，这些问题解决了严重的 Log4Shell 漏洞 (CVE-2021-44228)，该漏洞影响运行带有易受攻击版本的 Log4j 日志库的 Java 应用程序的云或本地环境，或者容器。

来自亚马逊的热补丁包并不是 AWS 资源独有的，它允许在环境中逃逸容器并控制主机。还可以通过非特权进程利用这些漏洞来提升特权并像使用 root 权限一样执行代码。

这些漏洞目前被跟踪为 CVE-2021-3100、CVE-2021-3101、CVE-2022-0070 和 CVE-2022-0071。所有这些都被评估为高严重性风险，得分为 8.8 分（满分 10 分）

热补丁问题
Palo Alto Network 的 Unit 42 的安全研究人员发现，亚马逊的 Log4Shell 热修复解决方案将继续搜索 Java 进程并即时修补它们，而不会确保修补的进程在对容器施加的限制下运行。

研究人员解释说：“因此，一个恶意容器可能包含一个名为“java”的恶意二进制文件，以欺骗已安装的热补丁解决方案以提升的权限调用它。

他们补充说，“恶意的“java”进程可能会滥用其提升的权限来逃离容器并接管底层主机。”

“容器可以逃逸，无论它们是否运行 Java 应用程序，或者其底层主机是否运行 Bottlerocket，这是 AWS 用于容器的强化 Linux 发行版。使用用户命名空间或作为非 root 用户运行的容器也会受到影响”- Palo Alto Networks

Amazon 的补丁造成的另一个问题是主机进程的处理方式相似，它们都在 Log4Shell 修复过程中获得了提升的权限。

恶意行为者可能会植入一个名为“java”的非特权进程二进制文件，并欺骗修复服务以提升的特权执行它。

Unit 42 团队还发布了以下概念验证 (PoC) 漏洞利用视频来演示容器逃逸场景：

实施细节已被故意隐藏，以防止威胁参与者立即在攻击中使用它，并让管理员有时间应用可用的安全更新。

发现并修复缺陷
Palo Alto Networks 的研究人员在发布修补程序六天后发现了 AWS 修补程序的安全问题，并于 2021 年 12 月 21 日通知了亚马逊。

AWS 安全团队承认了这些漏洞，并试图在 2021 年 12 月 23 日通过新的更新来修复它们，但事实证明这些更改是不够的。

在随后的几个月中，Unit 42 提供了有关他们如何绕过新修复程序的更多信息，并且在 2022 年 4 月 4 日，剩余的问题很少。

2022 年 4 月 19 日，AWS 发布了其 Log4Shell 修补解决方案的最终更新，管理员可以通过以下方式之一应用这些更新：

Kubernetes 用户可以部署最新版本的 Daemonset，不会影响 Log4Shell 补丁

Hotdog 用户可以升级到可用的最新版本
独立主机可以使用以下命令进行升级：
"yum update log4j-cve-2021-44228-hotpatch" (RPM)
"apt install --only-upgrade log4j-cve-2021-44228-hotpatch" (DEB)
Palo Alto Networks 的 Unit 42 发现的 Log4Shell 热补丁中的四个漏洞描述如下：

CVE-2021-3100：由于未能模仿已修补的 JVM 的权限而导致的权限升级，允许任何进程以不必要的高权限运行（CVSS 基本分数：8.8）
CVE-2022-0070：CVE-2021-3100 的不完整修复
CVE-2021-3101：热狗不遵守目标 JVM 上的设备限制、系统调用过滤器和资源限制，可能导致恶意修改、策略覆盖和资源耗尽（CVSS 基本分数：8.8）
CVE-2022-0071：CVE-2021-3101 的不完整修复

亚马逊还发布了有关上述漏洞的新公告，为解决这些问题提供了官方指导。

Unit 42 警告不要优先修复针对 Log4Shell 的容器逃逸漏洞，因为 Log4j 漏洞更为严重且被积极利用。

今年全球在公共云服务上的支出将接近 5000 亿美元。

云原生基础设施服务的日益普及被认为是关键驱动因素之一，但由大流行驱动的混合工作场景的趋势也发挥了作用。

Gartner 预测，今年公共云服务的支出将增长 20.4%，达到 494.7b 美元，研究人员认为这一增长率将持续到 2023 年，明年将达到近 600b 美元。

这些数据来自 Gartner 的“预测：2020-2026 年全球公共云服务，2022 年第一季度更新”，该报告仅对订阅者开放。

支出的最高增长预计将归因于对基于云的基础设施服务或 IaaS 的需求，Gartner 预计 2022 年将增长超过 30% 至 $119.7b。紧随其后的是桌面即服务 (DaaS)，Gartner 将其归因于向混合工作的转变以及组织转向这种为其员工提供客户端计算环境的方法，该方法将增长 26.6%。

根据 Gartner 研究副总裁 Sid Nag 的说法，公共云支出的增加部分是由于企业对价格更高、更复杂的云原生服务的需求不断增长。

“容器化、数据库平台即服务 (dbPaaS) 和人工智能/机器学习等云原生功能包含比 IaaS 或网络即服务等商品化计算更丰富的功能，”Nag 说。“因此，它们通常更贵，这推动了支出增长。”

但是，虽然预计基础设施和 DaaS 的增长率最高，但 Gartner 对实际支出水平的预测描绘了一幅不同的图景：预计总支出中最高份额的仍将是云托管应用程序 (SaaS)，在$176.6b，基础设施服务 (IaaS) 紧随其后。

2022 年第三高的支出预计将用于应用程序基础设施服务，通常称为平台即服务 (PaaS)，为 $109.6b。尽管增长迅速，Gartner 预计今年云桌面 (DaaS) 的总体支出仅达到 2.6 美元，这实际上是其确定的细分市场中的最低数字。

Gartner 表示，随着组织采取多种途径进入云市场等市场，预计云托管应用程序领域将出现“稳定的速度”，该公司还认为，增长将由客户将更大的单一应用程序分解成更多数量来推动更高效的 DevOps 流程的更小的组件服务。

与此同时，Gartner 指出，随着安全访问服务边缘 (SASE) 等技术开始扰乱相邻市场，新产品类别正在开放，差异化的重点转移到可以直接扰乱企业数字业务和运营的能力上，据纳格说。

他说：“将云视为推动者而非最终状态的 IT 领导者将在他们的数字化转型之旅中取得最大成功，”他补充说：“将云与其他相邻的新兴技术相结合的组织将表现得更好。”

PhaaS、SMiShing 和远程工作推动网络钓鱼攻击增加

据 Zscaler 的 ThreatLabz 研究团队的研究人员称，去年全球网络钓鱼攻击的数量猛增了 29%，因为威胁者使用更新的方法来对抗更强大的企业防御。

网络犯罪分子通过扩大攻击对象和攻击地点来适应多因素身份验证 (MFA)、员工安全意识培训和安全控制。

虽然美国仍然是网络钓鱼尝试最多的国家，但其他国家的事件数量增长更快——利用短信等新载体，并通过市场上提供的预构建工具降低发起攻击的门槛。

“网络钓鱼攻击仍然是最流行的攻击媒介之一，通常作为更高级的下一阶段攻击的起点，可能导致大规模违规，”Deepen Desai，首席信息安全官兼安全研究和运营副总裁Zscaler 告诉The Register。

“随着组织不断改进其防御网络钓鱼攻击的防御措施，威胁参与者也改进了他们的工具、策略和程序，以逃避这些控制并使网络钓鱼攻击更加成功。”

ThreatLabz 周三发布的报告来自从 Zscaler 云中剔除的一年的网络钓鱼数据。ThreatLabz 每天分析超过 2000 亿笔交易和 1.5 亿次拦截攻击的数据。

微软、Telegram、亚马逊、OneDrive 和 PayPal 是用于网络钓鱼诈骗的顶级品牌，零售和批发行业的同比增长最快，增长了 436%。

其核心是黑客与那些负责保护组织和个人的人之间正在进行的猫捉老鼠的行为和反应游戏。网络钓鱼即服务 (PhaaS)——如勒索软件即服务和类似的外包恶意软件——不仅可以加快网络钓鱼尝试的次数，而且还可以让技术水平较低的黑客更容易开展复杂的活动。

顶级 PhaaS 方法是网络钓鱼工具包——本质上是威胁参与者所需的一切包——和开源网络钓鱼框架，可以在代码共享论坛上找到，并提供一系列功能来执行特定的攻击功能或自动化整个过程。他们也是免费的。

“网络钓鱼工具包打包并商品化了快速启动数百或数千个令人信服且有效的网络钓鱼页面所需的一切，而所需的技术技能很少，”德赛说。

“即使是具有高级技能的攻击者也正在从开发转向利用网络钓鱼工具包来大规模发起活动。现在攻击者可以简单地将模板从工具包复制到受感染的网络服务器或托管服务，从而为目标品牌生成网络钓鱼页面。 "

他说，网络钓鱼工具包使发起攻击变得更容易，而安全团队更难检测到它们。使用开源模板可以消除安全专业人员通常用来识别网络钓鱼诈骗的许多拼写错误、语法错误和未签名证书。

“随着沉没成本的增加，网络犯罪分子还开发了一种更有针对性的方法来选择他们的理想目标，”德赛说。“这些转变的结果是，在过去几年中，遭受网络钓鱼诈骗的组织的财务损失急剧增加。”

黑客们也在改进传递载体和技术，包括 SMiShing，它使用移动设备上的 SMS 文本消息而不是电子邮件作为吸引目标的入口点。据 ThreatLabz 研究人员称，这种情况自 2006 年以来一直存在，但使用量正在飙升，报告显示 2020 年最后一个季度增长了 300%，2021 年前六个月又增长了 700%。

在此类信息中，犯罪分子伪装成公司高管、知名品牌、银行或手机提供商以及竞赛组织者，以引诱受害者点击网络钓鱼链接。

研究人员写道：“这些攻击可能非常有效，因为许多受害者更信任来自无法识别号码的文本，而不是来自无法识别发件人的电子邮件。” “许多人还习惯于 SMS 营销，这增加了对该媒介的信任。威胁参与者创建本地电话号码并在同一区号中向这些人发送消息相对容易，从而增加了信任。”

Desai 说，其他攻击也在增长，比如网络钓鱼——语音网络钓鱼，黑客假装来自一家有信誉的公司——以及浏览器中的浏览器——在浏览器窗口中部署恶意浏览器窗口，攻击者复制弹出窗口- 似乎来自 Google、Microsoft 和 Apple 等公司的登录窗口。

他说，使用网络钓鱼方法的不良行为者还使用亚马逊网络服务、微软 Azure 和谷歌云等公共云存储服务提供商来托管网络钓鱼页面。

时事——例如 COVID-19 大流行和加密货币的日益普及——继续作为诱饵说服受害者点击恶意链接。向更远程工作的转变也增加了网络钓鱼的威胁级别。员工在家中不再拥有与在办公室相同的安全感。Desai 说，VPN 和协作应用程序被用作网络钓鱼活动的主题。

“我们现在正在过渡到一个混合世界，这为网络犯罪分子提供了另一个机会，可以在成功进行网络钓鱼攻击后感染远程员工的机器，然后在同一员工在办公室时将其用作滩头阵地进行横向移动，”他说.

                                                                                   印度-裸金属服务器（报价单）
                               提供印度原生IP，优质线路，印度裸机服务器

交付时间：最快2小时，保守时间8-24小时，默认仅提供linux系统

流行的短视频平台 TikTok 对来自俄罗斯的用户引入了新的限制——该服务应用程序已从 Apple App Store 俄罗斯部分的搜索结果中消失。白俄罗斯的用户也面临着类似的问题。

有趣的是，TikTok 并没有从 App Store 的俄罗斯部分完全消失——该应用程序仍然可以在其页面上下载。您可以通过直接链接（此处）访问它，也可以通过 Google 或其他搜索引擎找到该链接，例如搜索“ TikTok App Store ”。

据报道，在俄亥俄州建造的数据中心将成为美国第一个部署两相浸没式冷却的数据中心——但该设施只有一部分将用于 HPC 托管，其余部分用于挖掘加密货币。

该设施由 Standard Power 建造，液体冷却公司 LiquidStack 以 24 个 DataTank 48U 单元的形式提供硬件，并打算稍后安装总共 96 个 48U。LiquidStack 表示，DataTank 48U 的散热能力是风冷系统的 28 倍，与风冷相比，能耗降低了 41%。

该设施计划在未来两年内完成，将位于俄亥俄州科肖克顿，位于哥伦布和阿克伦之间。总体而言，新数据中心将能够扩展至 52 兆瓦，其中 12 个将由 LiquidStack 的系统进行液冷，而其余 40 兆瓦的容量将由风冷。

两家公司表示，液体冷却可能只占新数据中心容量的一部分，但该设施正在采取额外措施以确保其影响尽可能低。LiquidStack 首席执行官 Joe Capes 告诉我们，数据中心的所有电力都将来自可再生能源。

Capes 补充说，风冷系统的散热将通过河水进行，这些河水被拉入、加热并倾倒回河中，以尽量减少其影响。首席执行官告诉我们，40 兆瓦将用于挖掘加密货币，其余用于高性能计算托管。

LiquidStack 参与加密采矿游戏并不令人惊讶：它于 2012 年在香港开始作为比特币采矿业务，然后开始专注于构建它与 3M 开发的两相浸入式冷却系统以冷却采矿设备。Capes 说，美国中西部拥有水电和风能等可再生资源，是在中国等国家受到打击后重新安置加密采矿的自然场所。

“采矿数据中心实际上使用了更高比例的可再生能源，”Capes 说。“这个项目的独特之处在于它是一个混合用途，使 Standard Power 能够在采矿领域以及 HPC 托管领域获得市场份额。”

Capes 表示，浸入式数据中心冷却即将起飞。更密集的芯片无处不在，而且这些芯片很难冷却。再加上人们对气候变化和可持续性的担忧日益增加，Capes 说你有一个完美的增长风暴。

“对液体冷却的投资始于 2017 年左右，因此与大多数新技术一样，它需要 5 到 7 年才能走到最前沿。因此，我们预计最快明年就会看到使用浸没式冷却建造大型超大规模数据中心，”Capes 说.

LiquidStack 计划建造更多的两相浸没式冷却托管数据中心，Capes 表示该公司希望在 2022 年全年宣布。

谷歌云为用户提供了一个人工智能平台的访问权限，该平台允许他们在云中构建、部署和管理人工智能项目，而无需广泛的数据科学知识。

根据 Prevision.io 首席执行官 Tuncay Isik 的博客文章， Prevision.io建立在 Google Cloud 本身之上，现在作为第一个按需付费的 AI 管理平台在Google Cloud Marketplace中提供。

Isik 表示，创建该平台的目的是为小型组织带来人工智能和机器学习的好处，如果您缺乏财富 500 强企业可用的技能和资源，采用人工智能可能是一项艰巨的挑战。

他在一份声明中说：“我的数据科学家团队看到了对能够通过消除这些常见障碍来使机器学习创新民主化的软件的真正需求。”

该平台还包括生命周期管理功能，用于监控基础设施利用率和模型行为。

根据 Prevision.io 的说法，其平台中直观的用户界面和预测分析允许用户在几分钟内完成设置，并在三到四周内建立并运行模型，而现有的构建和部署机器学习模型的方法需要几个月的时间.

但是，这假设您已经将用于训练 AI 或机器学习模型的数据存储在 Google Cloud 平台中，因为它旨在与存储桶或 SQL 数据源（如 BigQuery）中的数据链接。导入数据后，用户可以在 Prevision.io 中应用自己的模型，或使用该平台构建定制模型。

据 Isik 称，Prevision.io 平台可自动执行 AI 项目任务，例如训练和预测，以减少耗时的手动操作。这种自动化涵盖了生产管道，并包括 AutoML 和用于重复任务的调度程序等功能。

据该公司称，除了支持 AI 和 ML 模型的部署外，Prevision.io 还提供了监控自己的基础设施以跟踪资源利用率的能力，并监控模型行为以帮助用户了解数据随时间的变化。

根据 Isik 的说法，Prevision.io 采用即用即付模式运营，没有长期合同、许可或按用户收费。由于它与 Google Cloud 集成，Prevision.io 平台上的支出将用于每个客户的 Google Cloud 支出承诺。