使用《2024 年 Elastic 全球威胁报告》为您的组织提供指导
根据威胁形势降低风险是首席信息安全官工作中一个复杂但必不可少的部分,这就是为什么像《2024 年 Elastic 全球威胁报告》这样的威胁报告对我帮助很大。除了深入了解正在发生的事情外,威胁报告还提供了需要向组织其他成员解释或传达的内容的快速概述。
作为 Elastic 的首席信息安全官,我拥有丰富的经验,能够为安全利益相关者、其他高管甚至董事会解释威胁。利用 Elastic Security Labs 的调查结果,本博客将提炼新报告中的一些主要见解,并讨论贵组织可能从这些新数据中产生的一些担忧。
《2024 年 Elastic 全球威胁报告》中的主要见解
攻击性安全工具
2024 年的报告显示,54% 的恶意软件与攻击性安全工具 (OST) 有关 — 这些工具用于测试和识别环境中的缺陷。这些工具是由以防御为导向的个人和团体创建的 — 其中一些有研发预算。威胁行为者之所以被这些工具所吸引,是因为它们在执行攻击目标时提供了简单和高效的方式。
我的想法:Cobalt Strike 是过去几年最常见的恶意软件,威胁行为者一直在使用它。只要做好准备,就不会有问题。
我该如何与组织一起解决这个问题?
关注点:我们不应该使用 OST,因为威胁行为者正在滥用它。
反驳:在您的环境中使用 OST 不会增加此类攻击的风险。OST 提供了有关安全环境的重要细节,可以成为像红队演习或渗透测试等模拟的强大工具。通过保持防御措施处于最新状态,我们可以为这些潜在的威胁做好准备。
云安全错误配置问题
我们的研究人员发现了许多云环境配置错误。该报告对每个云服务提供商 (CSP) 所存在的问题进行了清详细分析,并揭示了一些令人担忧的错误配置,包括存储账户和多因素身份验证 (MFA)。
我的想法:云提供商在考虑默认策略时,需要在可用性和安全性之间取得平衡,同时确保云环境提供最佳成本和性能。根据行业基准和报告,尝试在团队能够管理的内容和应优先考虑的内容之间找到平衡点。
我该如何与组织一起解决这个问题?
关注点:我们如何确保在云环境中采用最佳的安全实践并最大程度地降低风险?
反驳:虽然我们可以鼓励 CSP 提供更安全的默认设置,但 CSP 基准测试旨在帮助解决云安全的复杂性。确定您的 CIS 基准是什么,并概述您提高基准的计划。
防御规避
在终端中,防御规避占所有策略的近 38%。警报的总体分布突显了进程注入技术的增长,占所有 Windows 防御规避警报的 53%。
我的想法:对进程注入的日益重视是有道理的,因为防御技术得到了改进,可以对抗以前占主导地位的技术,因此攻击者不得不转向不同方法。
我该如何与组织一起解决这个问题?
关注点:我们需要集中精力调整环境以抵御进程注入攻击。
反驳:尽管这种攻击越来越普遍,但这些技术的增加并不意味着攻击者不会使用其他类型的攻击。安全团队应保持警惕,并继续调整其环境以应对各种威胁。
凭据泄漏
凭据访问是云环境中主要的攻击手段,占所有警报的 23%,并且随着信息窃取者的增多而变得更加普遍。
我的想法:凭据泄露和账户操纵仍然是云端最常见的攻击技术,这意味着基础安全措施仍然至关重要。实施最小特权原则和强身份验证将产生巨大影响。降低凭据暴露风险的最佳方法是预防和监控相结合 — 安全团队必须了解其机密信息和凭据清单以及它们的使用位置。
我该如何与组织一起解决这个问题?
关注点:凭据大多是由用户泄露的。
反驳:凭证是一项重要资产,应予以妥善对待 — 安全培训的作用有限。实施最低特权和防网络钓鱼的 MFA,并结合身份提供者 (IdP),可以降低暴露风险。组织还可以通过用户和实体行为分析 (UEBA) 以及以身份验证为中心的分析来进一步增强其环境,以监控异常情况。
生成式 AI
这是一个热门话题,但 Elastic Security Labs 今年并没有发现由 AI 驱动的攻击大幅增加 — 仅攻击量略有增加。
我的想法:我的团队从 Elastic 的创新型生成式 AI (GenAI) 功能中受益良多。我们经常使用基于机器学习的检测规则和“攻击发现”功能 — 这两项功能都提高了我们自动化安全工作流程的能力,同时让我和团队感到安心。
我该如何与组织讨论这个问题?
关注点:GenAI 使攻击者受益。
反驳:GenAI 通过先进的分析技术来应对威胁,并提供快速可靠的 AI 指导,对防御者产生了广泛的积极影响。
提前准备好应对威胁
作为安全专业人员,我们必须随时了解威胁形势的最新动态。阅读《2024 年 Elastic 全球威胁报告》将为您和您的信息安全团队提供大量重要信息。
阅读这份报告不仅可以了解新兴趋势,还能为我们提供制定安全策略所需的知识。在即将举行的网络研讨会“揭示威胁态势”中,加入我们的研究人员,深入讨论这些见解。
本博文所描述的任何特性或功能的发布及上市时间均由 Elastic 自行决定。当前尚未发布的任何特性或功能可能无法按时提供或根本无法提供。
在本博文中,我们可能使用或提到了第三方生成式 AI 工具,这些工具由其各自所有者拥有和运营。Elastic 对第三方工具没有任何控制权,对其内容、操作或使用不承担任何责任或义务,对您使用此类工具可能造成的任何损失或损害也不承担任何责任或义务。请谨慎使用 AI 工具处理个人、敏感或机密信息。您提交的任何数据都可能用于 AI 训练或其他目的。Elastic 不保证您所提供信息的安全性或保密性。在使用任何生成式 AI 工具之前,您都应自行熟悉其隐私惯例和使用条款。
Elastic、Elasticsearch、ESRE、Elasticsearch Relevance Engine 及相关标志为 Elasticsearch N.V. 在美国和其他国家/地区的商标、徽标或注册商标。所有其他公司和产品名称均为其相应所有者的商标、徽标或注册商标。