每周云安全資訊-2022年第33周

云隔離問題：PostgreSQL漏洞影響多家云廠商

Wiz Research 在多個云供應商的流行 PostgreSQL 即服務產品中發現了漏洞。這些漏洞不是 PostgreSQL 代碼庫中的錯誤導致的，而是云供應商為滿足他們的需求而引入項目的代碼中的

研究人員在新加坡發現了 Classiscam 詐騙即服務業務

一個名為Classiscam的復雜的詐騙即服務業務現已滲透到新加坡，目標是房地產租賃、酒店預訂、在線銀行轉賬、在線零售等

2022 年 7 大云攻擊路徑

根據Lightspin數據、研究和對市場云安全趨勢的跟蹤，列出了2022 年跨 AWS、Azure、GCP 和 Kubernetes 的 7 大云攻擊路徑

SolidBit 勒索軟件進入 RaaS 領域并通過新變體瞄準游戲玩家和社交媒體用戶

最新的 SolidBit變體偽裝成不同的應用程序以吸引游戲玩家和社交媒體用戶。SolidBit 勒索軟件組織似乎正計劃通過這些欺詐性應用程序和招募勒索軟件即服務合作公司來擴大其業務

繼Twilio后，Cloudflare員工也遭到了同樣的釣魚攻擊

知名云服務提供商Cloudflare 表示，一些公司員工的系統賬戶憑證也在一次網絡釣魚短信攻擊中被盜，手法和之前 Twilio批露的遭遇如出一轍

經驗分享：Docker安全的26項檢查清單（checklist）

由于容器環境的復雜性和動態性，容器安全不同于傳統的安全方法，Docker容器安全需要不同的安全策略

AWSGoat: AWS 漏洞基礎設施靶場

AWSGoat時AWS 上設計的漏洞基礎設施, 具有最新發布的 OWASP Top 10 Web 應用程序安全風險 (2021) 和其他基于 IAM、S3、API Gateway、Lambda、EC2和 ECS 等服務的錯誤配置

AWS、Splunk和Symantec牽頭成立OCSF開放網絡安全架構框架

在拉斯維加斯舉辦的黑帽 USA 會議上，AWS、Splunk 和 Broadcom 旗下的 Symantec，攜手宣布了簡稱 OCSF 的“開放網絡安全架構框架”。作為一個全新的開源網絡安全項目，其旨在簡化各個組織機構之間的數據共享

云原生共享安全模型介紹

在安全社區和創建框架的供應商之間建立一個共享的安全模型，以及一個防御當今和未來威脅形勢的公平起點

如何使用kubeaudit審查Kubernetes集群中的常見安全控制策略

kubeaudit是一款針對Kubernetes集群安全的審計工具，該工具基于命令行實現其功能，并通過Golang包幫助廣大研究人員審計Kubernetes集群中的各種安全問題，其中包括以非root權限運行或使用只讀root文件系統等

SecXOps：打造安全分析自動化運營平臺

Gartner指出XOps的目標是使用DevOps的最佳實踐實現效率和規模經濟，在確保可靠性、可用性和可重復性的前提下，減少技術和流程的重復，實現進階自動化

云計算安全審計概覽

云安全審計是一套流程，旨在識別與云計算應用相關的安全漏洞和風險。云安全審計之所以很重要，是由于它可以幫助組織評估云環境的安全狀況，識別和減小數字化應用上云后的安全風險，保護云上重要數據資產的安全，從而實現組織業務的穩定開展。