第一份Elastic 全球威胁报告已于本周早些时候发布。在报告中,您将了解到我们的威胁研究人员观察到的趋势、我们对未来趋势的预测,以及我们在面对当今和未来威胁时安全运营的一些建议。如果您还没有阅读过,请查看一下。
作为 Elastic Security 的技术负责人,我想揭示一些有关此类报告的制作过程以及它为何重要的信息。
我们为什么要做?
如果您之前不知道,现在您应该知道了:Elastic 是一家安全公司。我们也很特别 — 我们是开放和透明的。我们会在 protections-artifacts 和 detection-rules 代码库中准确分享我们的检测和防御工作原理。我们已经启动了 Elastic 安全实验室,并定期发布我们的研究成果、发现和工具。任何人都可以启动一个试用版并试用我们所有的功能 — 没有障碍,没有销售宣传。这份报告是我们向您展示透明度的另一种方式。我们希望通过分享我们所知道的以及我们认为即将发生的事情来为您赋能,我们将在未来几个月内继续扩大我们分享的范围。
我们是如何做的?
简而言之,通过分析大量数据。在Elastic 安全实验室背后,是一支由恶意软件和情报分析师、安全工程师、研究人员、数据科学家和其他专家组成的大型团队。该团队构建和维护 Elastic 安全产品中的所有保护功能:阻止恶意软件、内存中的威胁、勒索软件和其他恶意行为。您能想到的,我们都能做到。为了有效地做到这一点,我们需要了解我们的功能如何执行以及它们接触到的威胁。我们通过用户与我们共享的匿名遥测数据(以及我们团队在威胁源和其他公共数据集上进行的研究)来获得这种可见性。
我们的研究人员每天都在查看遥测数据。通常,我们专注于特定功能的性能,消除误报并增加对新兴技术的保护,您可以在我们的威胁报告中了解其中一些信息。这场战斗永无止境,而且我们预计这种情况在短期内不会改变。
为什么现在?
随着我们的用户群在过去一年中迅速增长,我们得出的结论是,我们现在观察到了所有威胁的很大一部分。在达到那个临界点后,我们决定抽调一些最优秀的研究人员,缩小范围,分析我们所看到的所有内容,并确定我们是否有一个值得分享的故事。我们认为我们可能可以为社区对威胁态势的集体理解做出贡献,并且当您阅读报告时,我们希望您会同意我们这样想是正确的。
深入了解
有了这样的背景,我可以分享更多关于此类报告是如何产生的。在 Devon Kerr 的领导下,我们制定了一项为期八周的计划,以分析和总结来自我们各种功能的遥测数据。我们所有的事件遥测数据都存储在 Elasticsearch 中,这使得汇总和可视化变得简单直接。
数据规范化是一个重大挑战。这包括过滤掉过度嘈杂的端点,以免结果出现偏差,忽略来自测试集群的数据,忽略我们后来意识到是误报的数据警报,从我们的完整 Elastic Security 解决方案中提取信号等等。这不是世界上最光鲜的工作,但它是最终产生有意义结果的基础。我们计划下次再花几周时间在这个阶段 — 它将始终是一个重要的提升。
一旦数据状态良好,我们就从大量事件的原始聚合中提取含义,以确定值得分享的见解,这有助于我们了解威胁态势的现状。特别是,我们想解释我们看到的最普遍的威胁并将其置于上下文中。这些是在全年起伏的模式,使年度概述对于发现产生最大影响的威胁特别有用。这导致了报告中列出的各种图表和统计数据。我们花了几周时间才在团队中确定了一个列表。
接下来,我们不得不写作。Devon、Andy Pease、Daniel Stepanic 和 Terrance DeJesus 在这里承担了繁重的工作。任何做过技术写作的人都知道,清晰简洁对于传达公众可以理解的信息有多么重要。几十页内容以我们引以为豪的方式汇集在一起。重要的是,我们与产品管理负责人 Dhrumil Patel 和安全产品营销负责人 Jen Ellard 紧密合作,共同完成 威胁报告的工作,以确保我们的观点对我们的用户群清晰且有意义。
所有这些使我们完成了制定报告的八周计划。到八月底,我们在内容方面基本上已经停止了工作,但远未完成。我们很幸运在 Elastic 拥有一支设计师团队,他们可以帮助我们将 Google 文档中的一堆文本转换为 PDF,其中包含样式和图形,以增强含义并帮助我们的结论和建议跃然纸上。我们知道这个过程需要时间、许多草稿以及大量的来回修改。计划和执行该项目部分所花费的时间与数据收集、分析和写作所花费的时间大致相同。我们了解了很多关于从完成草稿到最终稿需要多长时间,并且将尽早并经常地让我们的内部合作伙伴参与到流程中。
告诉我们您的想法
我们很乐意收到您对第一份 Elastic 全球威胁报告的反馈。更多内容正在路上。我们希望将其作为年度出版物,从现在到那时,我们希望提供该首份报告的更具交互性的版本。