Orientierung für Ihr Unternehmen mit dem Elastic Global Threat Report 2024
Die Risikominderung auf der Grundlage der Bedrohungslandschaft ist ein komplizierter, aber wesentlicher Teil der Arbeit eines CISOs. Deshalb sind Bedrohungsberichte wie der 2024 Elastic Global Threat Report eine große Hilfe für mich. Die Bedrohungsberichte bieten nicht nur ein umfassendes Verständnis der aktuellen Ereignisse, sondern auch einen schnellen Überblick darüber, was dem Rest des Unternehmens erklärt oder mitgeteilt werden muss.
Als CISO von Elastic habe ich viel Erfahrung darin, Bedrohungen für Sicherheitsverantwortliche, andere C-Suite-Mitglieder und sogar den Vorstand zu übersetzen. Anhand der Ergebnisse von Elastic Security Labs wird dieser Blog einige der wichtigsten Erkenntnisse aus dem neuen Bericht zusammenfassen und einige Bedenken erörtern, die sich aus diesen neuen Daten für Ihr Unternehmen ergeben könnten.
Wichtige Erkenntnisse aus dem Elastic Global Threat Report 2024
Offensive Sicherheitstools
Der Bericht von 2024 hat gezeigt, dass 54 % der Malware mit offensiven Sicherheitstools (OSTs) in Verbindung gebracht wurden – Tools, die zum Testen und Erkennen von Schwachstellen in Umgebungen verwendet werden. Diese Tools werden von verteidigungsorientierten Einzelpersonen und Gruppen entwickelt, von denen einige über Budgets für Forschung und Entwicklung verfügen. Bedrohungsakteure werden von diesen Tools angezogen, weil sie ihre Ziele so einfach und effizient umsetzen können.
Meine Gedanken: Cobalt Strike war in den letzten Jahren die am weitesten verbreitete Malware und die Bedrohungsakteure halten daran fest. Wenn Sie darauf vorbereitet sind, wird es Ihnen gut gehen.
Wie kann ich das mit meiner Organisation besprechen?
Sorge: Wir sollten OSTs nicht verwenden, weil sie von Bedrohungsakteuren missbraucht werden.
Entgegnung: Die Verwendung eines OST in Ihrer Umgebung erhöht das Risiko dieser Art von Angriffen nicht. OSTs liefern wichtige Details der Sicherheitsumgebung und können leistungsstarke Werkzeuge für Simulationen wie Red Teaming oder Pen-Tests sein. Wir können uns auf diese potenziellen Bedrohungen vorbereiten, indem wir unsere Abwehrmaßnahmen auf dem neuesten Stand halten.
Fehlkonfigurationen der Cloud-Sicherheit
Unsere Forscher haben festgestellt, dass viele Cloud-Umgebungen falsch konfiguriert sind. Der Bericht enthält eine klare Aufschlüsselung der Probleme pro Cloud-Service-Anbieter (CSP) und enthüllt einige ziemlich erschreckende Fehlkonfigurationen, einschließlich Speicherkonten und Multifaktor-Authentifizierung (MFA).
Meine Gedanken: Cloud-Anbieter müssen ein Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit finden, wenn sie Standardrichtlinien in Betracht ziehen und gleichzeitig sicherstellen, dass die Cloud-Umgebung optimale Kosten und Leistungen bietet. Versuchen Sie, den Mittelweg zwischen dem, was Ihr Team bewältigen kann, und dem, was Sie gemäß Branchen-Benchmarking und Berichten priorisieren sollten, zu finden.
Wie kann ich dies in meiner Organisation ansprechen?
Anliegen: Wie können wir sicherstellen, dass wir die besten Sicherheitspraktiken verwenden und das Risiko in unserer Cloud-Umgebung minimieren?
Entgegnung: Wir können CSPs zwar ermutigen, sicherere Vorgaben zu machen, aber das CSP-Benchmarking ist dazu gedacht, die Komplexität der Cloud-Sicherheit zu bewältigen. Geben Sie an, wie hoch Ihr CIS-Benchmark ist, und erläutern Sie Ihren Plan, ihn zu erhöhen.
Tarnung
Innerhalb der Endpunkte machte Defense Evasion fast 38 % aller Taktiken aus. Die allgemeine Verteilung der Warnungen verdeutlichte ein Wachstum der Process-Injection-Techniken, auf die 5 3% aller Windows Defense-Umgehungswarnungen entfielen.
Meine Gedanken: Die zunehmende Betonung von Process Injection ist sinnvoll, weil die Abwehrtechnologien verbessert wurden, um die Technik zu bekämpfen, die zuvor die Mehrheit hatte, sodass die Angreifer gezwungen sind, zu einem anderen Ansatz zu wechseln.
Wie kann ich dieses Problem in meiner Organisation ansprechen?
Anliegen: Wir müssen uns darauf konzentrieren, unsere Umgebung auf Process-Injection-Angriffe abzustimmen.
Entgegnung: Es ist zwar häufiger, aber die Zunahme dieser Techniken bedeutet nicht, dass Angreifer keine anderen Arten von Angriffen verwenden werden. Sicherheitsteams sollten vorsichtig sein und ihre Umgebung weiterhin auf Bedrohungen aller Art abstimmen.
Verlust von Anmeldeinformationen
Der Zugriff auf Zugangsdaten ist mit 23 % aller Warnungen die wichtigste Taktik von Angreifern in Cloud-Umgebungen und wird durch die Zunahme von Infostealern noch verstärkt.
Meine Gedanken: Der Verlust von Zugangsdaten und die Manipulation von Konten sind immer noch die wichtigsten Techniken in der Cloud, was bedeutet, dass die Grundlagen nach wie vor entscheidend sind. Die Umsetzung des Prinzips der geringsten Privilegien und eine starke Authentifizierung werden einen großen Unterschied machen. Der beste Weg, um das Risiko der Offenlegung von Zugangsdaten zu verringern, ist eine Mischung aus Prävention und Überwachung – Sicherheitsteams müssen ihren Bestand an Geheimnissen und Zugangsdaten kennen und wissen, wo diese verwendet werden.
Wie kann ich dieses Problem in meiner Organisation ansprechen?
Problem: Anmeldeinformationen werden meist von Benutzern weitergegeben.
Entgegnung: Berechtigungsnachweise sind ein kritisches Gut und sollten auch als solches behandelt werden – Sicherheitstrainings können da nur wenig ausrichten. Die Implementierung von Least Privilege und Phishing-resistenter MFA zusammen mit Identitätsanbietern (IdPs) kann das Risiko verringern. Unternehmen können ihre Umgebung mit Analysen des Benutzer- und Entitätsverhaltens (User and Entity Behavior Analysis, UEBA) und auf Authentifizierung ausgerichtete Analysen weiter stärken, um Ausreißer zu überwachen.
Generative KI
Es ist ein heißes Thema, aber Elastic Security Labs hat in diesem Jahr keinen massiven Anstieg der KI-gestützten Angriffe festgestellt – nur eine leichte Zunahme des Angriffsvolumens.
Meine Gedanken: Mein Team hat von den innovativen generativen KI-Funktionen (GenAI) von Elastic profitiert. Wir verwenden häufig die auf maschinellem Lernen basierenden Erkennungsregeln und Attack Discovery – beide haben unsere Fähigkeit verbessert, Sicherheitsabläufe zu automatisieren und gleichzeitig meinem Team und mir ein beruhigendes Gefühl gegeben.
Wie kann ich dieses Problem in meiner Organisation ansprechen?
Bedenken: GenAI kommt Angreifern zugute.
Entgegnung: GenAI hat einen allgemein beobachteten positiven Einfluss auf Verteidiger, indem es Bedrohungen mit fortschrittlicher Analytik begegnet und schnelle und zuverlässige KI-Anleitung bietet.
Den Bedrohungen einen Schritt voraus sein
Als Sicherheitsexperten müssen wir uns über die aktuelle Bedrohungslandschaft auf dem Laufenden halten. Die Lektüre des Elastic Global Threat Report 2024 liefert Ihnen und Ihren InfoSec-Teams viele wichtige Informationen.
Der Bericht beleuchtet nicht nur aufkommende Trends, sondern gibt uns auch das nötige Wissen an die Hand, um fundierte Entscheidungen über unsere Sicherheitsstrategien zu treffen. Erörtern Sie mit unseren Forschern diese Erkenntnisse im kommenden Webinar, Die Bedrohungslandschaft im Blick.
Die Entscheidung über die Veröffentlichung der in diesem Blogeintrag beschriebenen Leistungsmerkmale und Features sowie deren Zeitpunkt liegt allein bei Elastic. Es ist möglich, dass noch nicht verfügbare Leistungsmerkmale oder Features nicht rechtzeitig oder überhaupt nicht veröffentlicht werden.
In diesem Blogpost haben wir möglicherweise generative KI-Tools von Drittanbietern verwendet oder darauf Bezug genommen, die von ihren jeweiligen Eigentümern betrieben werden. Elastic hat keine Kontrolle über die Drittanbieter-Tools und übernimmt keine Verantwortung oder Haftung für ihre Inhalte, ihren Betrieb oder ihre Anwendung sowie für etwaige Verluste oder Schäden, die sich aus Ihrer Anwendung solcher Tools ergeben. Gehen Sie vorsichtig vor, wenn Sie KI-Tools mit persönlichen, sensiblen oder vertraulichen Daten verwenden. Alle Daten, die Sie eingeben, können für das Training von KI oder andere Zwecke verwendet werden. Es gibt keine Garantie dafür, dass Informationen, die Sie bereitstellen, sicher oder vertraulich behandelt werden. Setzen Sie sich vor Gebrauch mit den Datenschutzpraktiken und den Nutzungsbedingungen generativer KI-Tools auseinander.
Elastic, Elasticsearch, ESRE, Elasticsearch Relevance Engine und zugehörige Marken, Waren- und Dienstleistungszeichen sind Marken oder eingetragene Marken von Elastic N.V. in den USA und anderen Ländern. Alle weiteren Marken- oder Warenzeichen sind eingetragene Marken oder eingetragene Warenzeichen der jeweiligen Eigentümer.