今天,我们在 Elastic 发布了首份全球威胁报告。现在,客户、合作伙伴和整个安全社区都能够了解我们在过去 12 个月中关注的许多领域。除了技术视角外,本报告还为高管和安全领导者带来了一系列战略建议:对未来几个月内我们预计会看到攻击者动向的总结和准确的观点。
我们希望威胁研究人员和整个安全行业能够利用本报告为下一轮威胁和攻击活动做好准备。在 Elastic,我们正在确保使用 Elastic Security 解决方案的客户能够获得最佳保护,免受这些类型的威胁侵害,包括用于自动保护的端点和云功能。
今年,我们的报告包括六项主要预测和建议,供战略家和从业者更好地了解威胁行动者可能在 2023 年及以后关注的潜在方向。下面,我们总结了我们前三个预测。有关这些和其他建议的更多详细信息,请参阅我们完整的 2022 年可下载报告。
攻击者将继续滥用内置二进制代理来规避安全工具。
使用经过验证的对抗战术仍然是观察到的威胁组织关注的关键领域,今年也不例外。敌对组织利用合法的本机系统二进制文件来加载恶意软件,从而规避现代企业使用的许多检测策略。
随着这一持续的关注,Elastic Security 增强了我们的深度可见性和预置保护,包括大量规则和签名,以及机器学习模型,以便更快、更有效地检测这些威胁。
LNK 和 ISO 有效载荷将取代更传统的脚本和文档有效载荷。
对抗行为侧重于寻找更容易、更有效的攻击途径,而今年也不例外。系统默认值迫使威胁组织调整策略,转而利用 LNK 和 ISO 有效载荷,而不是我们过去观察到的熟悉的脚本和文档。
LNK 和 ISO 文件通常用于将恶意软件走私到企业中,因为大多数安全技术不会对其进行检查。Elastic Security 专注于在我们产品和平台中构建工具,使我们能够确定用于更好地构建防御以抵御这些恶意行为的确切机制。
有效的 IAM 帐户将继续成为攻击者的目标。
许多攻击的早期阶段都侧重于各种形式的凭证盗窃;但是,IAM 和管理凭证通常仍然是许多试图逃避检测和避免利用服务的敌对组织关注的重点领域。
了解环境中展示的标准帐户操作和用户行为对于防御它们至关重要,确保我们拥有全面的检测库以及堆栈中的集成功能为更早地检测威胁提供了坚实的基础。
这只是对报告中发现的结果的一个简单介绍。有关更多详细信息、建议和来源数据,请参阅2022 年 Elastic 全球威胁报告。
那些希望了解更多有关我们观察到的威胁以及敌对组织在去年利用的机制的人员可以在我们的完整报告中阅读更多详细信息,以及我们用来帮助制定 Elastic Security 解决方案中使用的策略以及未来功能路线图的许多建议和发现。
请随时在此处查看完整的2022 年 Elastic 全球威胁报告。