了解最新的安全状况并理解当今日益增长的威胁态势的含义,对于我作为 Elastic 的首席信息安全官 (CISO) 的角色至关重要。其中一部分包括密切关注最新的安全威胁报告,突出趋势,并提供有关恶意行为者用来攻陷环境的方法的宝贵见解。
像 2022 年 Elastic 全球威胁报告这样的威胁情报资源对于帮助我的团队评估我们组织在识别和预防网络安全威胁方面的可见性、能力和专业知识至关重要。它可以帮助我们回答诸如此类的问题:
- 我们的环境如何受到本报告中确定的当前和新兴威胁的影响?
- 这些新信息是否会改变我们的风险状况并影响我们的风险分析?
- 我们需要对我们的控制措施做出哪些调整?
- 我们在任何领域是否缺乏可见性?
- 我们是否部署了正确的检测?
- 这些见解可能会如何影响我团队的工作流程?
Elastic 的威胁报告提供了一个真实的路线图,以帮助我的团队建立必要的联系,从而加强我们的安全态势。它会影响我们的整体计划路线图,帮助我们优先考虑资源投入的重点,包括调整我们的防御、测试事件响应计划以及确定安全运营中心 (SOC) 的更新。也许最重要的是,该报告强调了我们的信念,即为所有组织提供开放、透明和可访问的安全是抵御网络安全威胁的关键。
检查您的云安全,然后再次检查
威胁报告通常会强化我们在安全领域看到的许多现有趋势和现象,但它们也可能揭示一些意想不到的见解。虽然云使组织能够更快、更大规模地运营,但它也制造了安全漏洞,为潜在的攻击留出了空间,因为威胁行为者会继续将重点转移到云上。
Elastic 全球威胁报告显示,近 40% 的恶意软件感染发生在 Linux 端点上,这进一步强调了改进云安全性的必要性。鉴于十大公有云中有九个在 Linux 上运行,这一统计数据提醒组织不要仅仅依赖其云提供商的标准安全配置。
调查结果进一步显示,大约 57% 的云安全事件归因于 AWS,其次是 Google Cloud 的 22% 和 Azure 的 21%,并且所有云服务提供商中,每 3 个 (33%) 云警报中就有 1 个与凭证访问相关。
虽然数据表明组织需要更加重视保护其云环境,但它也强化了我们的信念,即云安全态势管理 (CSPM) 需要像端点安全一样发展。
最初,端点安全依赖于简单的防病毒软件,其效力仅取决于其防病毒签名。为了避免日益复杂的恶意软件和威胁,端点安全通过采用更先进的技术(如使用机器学习和人工智能的下一代防病毒软件)而发展。CSPM 目前也面临着类似的情况。现在,我们更接近云安全学习曲线的底部,而不是顶部,我们的技术和策略必须继续发展,才能管理新的和新兴的威胁。
Elastic 全球威胁报告表明,在云环境中实施本机工具和传统安全策略是无效的,并就组织如何适应不断变化的威胁态势提供了建议。
首先做好基础工作
安全领导者和团队应利用本报告中的见解来指导其优先事项并相应地调整其工作流程。
调查结果清楚地表明,为什么专注于并改进基本的安全卫生对于改善安全结果如此重要。通常,组织的环境会因诸如弱密码或未能更新默认配置之类的事情而受到损害。优先考虑安全基本要素(身份和访问管理、修补程序、威胁建模、密码意识和多因素身份验证)是安全团队预防和防范潜在威胁的一种简单而有效的方法。
公开开发安全
组织应考虑采用开放的安全方法。例如,Elastic 的威胁报告链接到我们最近发布的 保护工件,其中透明地共享我们在 Elastic 开发的端点行为逻辑,以识别对手的手段,并使其可供我们的社区免费使用。
该报告还强调了 Elastic Security 的预构建检测规则如何映射到每个云服务提供商的 MITRE ATT&CK 矩阵。作为自成立以来 MITRE 框架的采用者,Elastic 理解将检测规则映射到行业标准的重要性。对于我的团队来说,这有助于我们更深入地了解我们安全态势的广度和深度。
提供开放的检测规则、开放的工件和开放的代码使组织能够专注于解决其安全技术堆栈中的差距,并为新的和新兴的威胁制定风险状况。如果没有安全方面的开放性和透明度,组织将面临更大的明日网络安全威胁风险。