《2024 年 Elastic 全球威胁报告》:预测和建议

158175_-_Blog_header_image_Prancheta_1-05_(1).jpg

昨天,Elastic Security Labs 发布了《2024 年 Elastic 全球威胁报告》,这是一份基于 Elastic 独特的数据遥测技术对超过 10 亿个数据点进行分析的全面报告。该报告从防御者的角度深入分析了威胁行为者的方法、技术和趋势 — 为安全团队确定优先级和改进安全态势提供了重要见解。 

本报告中的观察结果基于 Elastic 的匿名和净化遥测数据以及自愿提交的公共和第三方数据。Elastic Security Labs 的专家已对遥测数据进行了广泛审查,并将其提炼为可供客户、合作伙伴和广大安全社区使用的见解。

预测与建议要点

今年,Elastic Security Labs 观察到了威胁行为者的演变 — 其中包括凭据访问攻击的增加和对攻击性安全工具的持续操纵。以下是报告中的一些重要预测和建议。  

访问代理和信息窃取者生态系统将增加暴露凭据的影响

在今年发生的几起备受瞩目的事件中,研究人员观察到攻击者使用了从受害者环境中窃取的凭据。在大多数情况下,环境中还包含先前信息窃取者的证据或后门程序的痕迹。一段时间后,可能很难确定哪些凭据已泄露。

建议:轮换暴露的帐户凭据,并投资响应工作流程以重置帐户。用户和实体行为分析 (UEBA) 是一类可以帮助识别遭入侵帐户的技术,监控暴力攻击(在云环境中非常常见)中使用的帐户可以在证据丢失或删除的情况下提供帮助。

遥测发现,安全团队对云服务提供商 (CSP) 资源过于宽容,这增加了未来数据泄露的风险

我们观察到,所有超大规模业者的云安全态势设置一直存在频繁的误配置问题。用户以各种形式错误配置了所有 CSP 的相同功能:

  • 宽松的访问策略允许从任何位置登录

  • 宽松的存储策略允许所有类型的帐户进行文件操作

  • 宽松的数据处理策略或弱加密

企业在平衡可用性和保护关键资源的开销时,可能很难将积极的态势放在首位,或始终将其放在首位。在很多情况下,审计和指导都是众所周知的,并可免费广泛获取。

建议:安全团队应考虑使用网络安全中心 (CIS) 基准流程来确定其环境中的哪些设置需要更多关注。一旦 CIS 态势分数达到 100,请确保信息安全团队对最常见的基于云的入侵技术有深入了解。从这种基准状态进行监控应有助于提高威胁检测的速度,同时加强环境抵御未来威胁的能力。

攻击者将下更大力气进行防御规避,尤其是阻碍传感器可见性的技术

在 Windows 系统中最常见的防御规避信号通常涉及三种技术:进程注入、系统二进制代理执行和削弱防御。综合运用这三种技术,可以在数据发送到数据存储库之前,获得足够的权限来进行篡改或禁用仪器操作。

建议:对于这种复杂的方法论,不存在万全之策,但安全团队应密切关注端点可见性、内置二进制代理以及进程注入等指标的变化。但是,如果没有在发现威胁活动之前部署交互式端点代理,就无法实现有效监控。而如果配置不当,交互式端点代理将无法发挥作用。研究人员经常发现,在一些企业中,管理员未能启用获得许可的缓解措施,从而导致了不良后果。

通过《2024 年 Elastic 全球威胁报告》,在攻击者面前保持领先地位

这些预测只是我们预计未来一年将出现的威胁、攻击者和防御措施的简要概述。要查看其他预测和安全形势的详细概述,您可以访问完整的《2024 年 Elastic 全球威胁报告》

本博文所描述的任何特性或功能的发布及上市时间均由 Elastic 自行决定。当前尚未发布的任何特性或功能可能无法按时提供或根本无法提供。