使用《2024 年 Elastic 全球威胁报告》为您的组织提供指导

2024 年的报告显示，54% 的恶意软件与攻击性安全工具 (OST) 有关 — 这些工具用于测试和识别环境中的缺陷。这些工具是由以防御为导向的个人和团体创建的 — 其中一些有研发预算。威胁行为者之所以被这些工具所吸引，是因为它们在执行攻击目标时提供了简单和高效的方式。

我的想法：Cobalt Strike 是过去几年最常见的恶意软件，威胁行为者一直在使用它。只要做好准备，就不会有问题。 

我该如何与组织一起解决这个问题？
关注点：我们不应该使用 OST，因为威胁行为者正在滥用它。 

反驳：在您的环境中使用 OST 不会增加此类攻击的风险。OST 提供了有关安全环境的重要细节，可以成为像红队演习或渗透测试等模拟的强大工具。通过保持防御措施处于最新状态，我们可以为这些潜在的威胁做好准备。

我们的研究人员发现了许多云环境配置错误。该报告对每个云服务提供商 (CSP) 所存在的问题进行了清详细分析，并揭示了一些令人担忧的错误配置，包括存储账户和多因素身份验证 (MFA)。

我的想法：云提供商在考虑默认策略时，需要在可用性和安全性之间取得平衡，同时确保云环境提供最佳成本和性能。根据行业基准和报告，尝试在团队能够管理的内容和应优先考虑的内容之间找到平衡点。 

我该如何与组织一起解决这个问题？
关注点：我们如何确保在云环境中采用最佳的安全实践并最大程度地降低风险？

反驳：虽然我们可以鼓励 CSP 提供更安全的默认设置，但 CSP 基准测试旨在帮助解决云安全的复杂性。确定您的 CIS 基准是什么，并概述您提高基准的计划。

在终端中，防御规避占所有策略的近 38%。警报的总体分布突显了进程注入技术的增长，占所有 Windows 防御规避警报的 53%。

我的想法：对进程注入的日益重视是有道理的，因为防御技术得到了改进，可以对抗以前占主导地位的技术，因此攻击者不得不转向不同方法。

我该如何与组织一起解决这个问题？
关注点：我们需要集中精力调整环境以抵御进程注入攻击。 

反驳：尽管这种攻击越来越普遍，但这些技术的增加并不意味着攻击者不会使用其他类型的攻击。安全团队应保持警惕，并继续调整其环境以应对各种威胁。

凭据访问是云环境中主要的攻击手段，占所有警报的 23%，并且随着信息窃取者的增多而变得更加普遍。 

我的想法：凭据泄露和账户操纵仍然是云端最常见的攻击技术，这意味着基础安全措施仍然至关重要。实施最小特权原则和强身份验证将产生巨大影响。降低凭据暴露风险的最佳方法是预防和监控相结合 — 安全团队必须了解其机密信息和凭据清单以及它们的使用位置。

我该如何与组织一起解决这个问题？
关注点：凭据大多是由用户泄露的。 

反驳：凭证是一项重要资产，应予以妥善对待 — 安全培训的作用有限。实施最低特权和防网络钓鱼的 MFA，并结合身份提供者 (IdP)，可以降低暴露风险。组织还可以通过用户和实体行为分析 (UEBA) 以及以身份验证为中心的分析来进一步增强其环境，以监控异常情况。

这是一个热门话题，但 Elastic Security Labs 今年并没有发现由 AI 驱动的攻击大幅增加 — 仅攻击量略有增加。 

我的想法：我的团队从 Elastic 的创新型生成式 AI (GenAI) 功能中受益良多。我们经常使用基于机器学习的检测规则和“攻击发现”功能 — 这两项功能都提高了我们自动化安全工作流程的能力，同时让我和团队感到安心。 

我该如何与组织讨论这个问题？
关注点：GenAI 使攻击者受益。 

反驳：GenAI 通过先进的分析技术来应对威胁，并提供快速可靠的 AI 指导，对防御者产生了广泛的积极影响。

作为安全专业人员，我们必须随时了解威胁形势的最新动态。阅读《2024 年 Elastic 全球威胁报告》将为您和您的信息安全团队提供大量重要信息。 

阅读这份报告不仅可以了解新兴趋势，还能为我们提供制定安全策略所需的知识。在即将举行的网络研讨会“揭示威胁态势”中，加入我们的研究人员，深入讨论这些见解。