在公开透明的安全领域持续保持领先地位

blog-open-and-transparent-security-720x420-A.png

Elastic 安全长期以来一直秉持开放理念,植根于开源技术,支持开放式开发,还在 2019 年推出了 SIEM 服务。2020 年,我们进一步提高了 Elastic 的开放性,并发布了开放式检测规则存储库,旨在方便与用户协作,以及毫无保留地展示我们是如何为客户提供保护的。该存储库侧重于我们的 SIEM 和安全分析用例,尚未包含 Elastic Endpoint Security 工件。我们目前会继续通过开放新的公共存储库(保护工件)来在此基础上发展进步。

保护工件存储库中,您可以找到 Elastic Endpoint Security 用来在 Windows、macOS 和 Linux 操作系统中阻止威胁所用的保护逻辑。这包括用 EQL 编写的恶意软件行为防护规则,以及应用于文件和内存的 YARA 签名。它既不是子集也不是采样,而是主动阻止威胁的整个规则和签名的集合。随着我们在产品中更新这些功能,您也会看到哪里发生了变化,通过提高透明度,让您能够了解这些功能如何准确识别要阻止的威胁和行为。

透明的方法

虽然共享检测逻辑在 SIEM 供应商中变得越来越普遍,但在终端产品中却并非如此。我们认为这种情况应该改变。终端检测和响应 (EDR) 和终端保护平台 (EPP) 通常并不清晰透明,并且许多供应商希望用户能够忍受缺乏信息和洞见的情况。这种业务方式对用户教育和赋能几乎没有帮助。 

我们将与用户的关系视为合作伙伴关系。在这种关系中,清晰透明是共同成功的先决条件。这样做的必要性应该是显而易见的,且实践应该普遍通用。毕竟,安全解决方案是为了降低风险而构建的,而用户能够确保供应商帮助其降低风险的唯一方法是供应商对他们如何保护环境保持透明。只要实现透明,用户就可以了解产品的优势,并尽最大努力缩小对他们来说风险最大的任何剩余差距。

[相关文章:在“终端检测与响应 Wave”报告中,Forrester 将 Elastic 评为“Strong Performer”(卓越表现者)]

消除顾虑

我们坚信,保持开放透明对用户来说是最好的,从长远来看,这种做法可以提高每个人的安全性。我们在做这个决定时已经过周密的考虑。估计可能有人会认为这样做存在许多缺点,本着透明的精神,我们将会分享我们对这些否定意见的看法:

由于具有透明度,我们可能会受到更多的公众批评和监督。如果我们真正在乎的是为用户赋能并提供保护,就没有理由对产品的工作原理遮遮掩掩。Elastic 目前已经公开提供,每天都有成千上万的人下载和试用,这些人中包括一些仔细研究我们产品的优秀研究员。我们对此表示欢迎。我们希望大多数研究员在发现检测差距时能够与我们联系。 

我们并不奢望每个人都能这么做,毕竟有些人可能会试图通过强调检测差距来引起公众关注,从而使我们陷入困境。我们非常欢迎批评和反馈意见。我们会不断改进,让您见证我们是如何做到的。 

有些人可能认为这可能会使攻击者更容易绕过我们的产品。或许也有人认为,如果是封闭式产品,那么动机不纯的攻击者将很难理解产品是如何检测和阻止威胁的。事实并非如此。无论如何,攻击者都会获得检测逻辑,无论是通过在终端上将逻辑从磁盘或内存中转储,还是通过对产品进行试错。通过隐藏获得的安全不是真正的安全!我们相信,构建防护措施有助于从根本上阻止攻击者了解任何特定保护或规则背后的逻辑。我们以攻击者很难不使用的技术为目标,提供多层保护,即便绕过了一层,后面还有更多层保护。

竞争对手可能会窃取我们的检测逻辑。我们采用开放策略的目标是为用户赋能,并通过提高透明度在安全性方面做出有意义的改进。这意味着会出现水涨船高的局面,即便这么做会让其他安全供应商受益,而其中有部分供应商可能会忽视许可和其他限制,获得任何所能得到的东西,却又不给予任何回报。我们相信,只要我们通过实际行动为用户提供帮助,我们的竞争优势就会变得更强。这也不仅与检测规则有关。Elastic 安全为用户提供了一个最佳架构,能够运行检测逻辑并阻止威胁。

开放式对话

承我们的开放本质,我们希望通过以下方式得到您的反馈:在 GitHub 中提出问题、在 Slack 社区中交流、在论坛中提问。告诉我们您的需求。询问我们做出某个决定的原因。甚至与所有人共享检测逻辑,帮助我们更上一层楼。 

我们邀请共享检测逻辑的对象并非仅限于我们在全球的用户。EPP/EDR 供应商当前的状态应该要努力朝着透明化方向发展。我们知道我们是这方面的先行者,希望其他供应商也能跟上。 

总的来说,我们认为提高终端保护的透明度对我们的用户来说是好事,所以我们就这么做了。我们希望其他供应商也能参与进来,为终端安全带来更大的透明度。Elastic Endpoint Security 更新后,预计将会看到最新的 YARA 签名和行为规则。

Elastic 安全未来会通过密切关注保护工件在终端安全方面带来更大透明度,敬请期待。我们计划在未来发布其他终端保护功能适用的工件。另外,务必记得观看 Elastic 安全实验室,以更深入地了解我们在 Elastic 所做的安全研究。  

接着阅读这篇文章:提高运营效率的同时将更多数据输入 SIEM