随时了解当前的安全状况并理解当今日益增长的威胁形势的影响对于我作为 Elastic 的 CISO 的职责至关重要。 其中包括密切关注最新的安全威胁报告,重点关注趋势,并针对不良行为者用来破坏环境的方法提供宝贵的见解。
2022 年 Elastic 全球威胁报告等威胁情报资源对于帮助我的团队评估我们组织在识别和预防网络安全威胁方面的可见性、能力和专业知识至关重要。 它帮助我们回答以下问题:
- 我们的环境如何受到本报告中指出的现有和新出现的威胁的影响?
- 这些新信息是否会改变我们的风险状况并影响我们的风险分析?
- 我们需要对控制措施做出哪些调整?
- 我们是否在任何部分缺乏可见性?
- 我们是否已采取正确的检测措施?
- 这些见解可能对我团队的工作流产生怎样的影响?
Elastic 的威胁报告提供了一份现实世界的路线图,帮助我的团队建立必要的联系,以加强我们的安全态势。 它影响我们的整体计划路线图,帮助我们确定资源集中的优先顺序,包括调整防御措施、测试事件响应计划以及确定安全运营中心 (SOC) 的更新。 或许最重要的是,该报告强调了我们的信念:为所有组织提供开放、透明和可访问的安全是防御网络安全威胁的关键。
检查你的云安全性,然后再次检查
威胁报告通常会强化我们在安全领域看到的许多现有趋势和现象,但它们也能揭示一些意想不到的见解。 虽然云使组织能够更快、更大规模地运营,但它也带来了安全漏洞,随着威胁行为者继续将注意力转移到云端,为潜在攻击留下了空间。
《Elastic 全球威胁报告》显示,近 40% 的恶意软件感染发生在 Linux 端点上,这进一步强调了对更好的云安全性的需求。 排名前十的公共云中有九个都在 Linux 上运行,这一统计数据提醒各组织不要仅仅依赖其云提供商的标准配置来确保安全。
调查结果进一步显示,大约 57% 的云安全事件归因于 AWS,其次是 Google Cloud 的 22% 和 Azure 的 21%,并且每 3 个云警报中就有 1 (33%) 与所有云服务提供商的凭据访问有关。
虽然这些数据点表明组织越来越需要正确地保护云环境,但它也加强了我们的信念,即云安全态势管理 (CSPM) 需要像终端安全那样不断发展。
最初,端点安全依赖于简单的防病毒软件,其效果仅取决于其防病毒签名。 为了避免日益复杂的恶意软件和威胁,端点安全通过采用更先进的技术(如具有机器学习和人工智能的下一代防病毒软件)不断发展。 CSPM目前也面临着类似的情况。 目前,我们距离云安全学习曲线的底部比顶部更近,我们的技术和策略必须不断发展以管理新出现的威胁。
Elastic 全球威胁报告表明,在云环境中实施时,本机工具和传统安全策略是无效的,并为组织如何适应不断变化的威胁形势提供了建议。
首先做好基础工作
安全领导者和团队应该利用这份报告中的见解让员工了解他们的优先事项,并相应地调整工作流程。
研究结果清楚地表明了为什么关注和改善基本的安全卫生对于改善安全结果如此重要。 很多时候,组织的环境会因为一些简单的原因受到损害,例如密码薄弱或无法更新默认配置。 优先考虑安全基础(身份和访问管理、修补、威胁建模、密码意识和多因素身份验证)是安全团队预防和防范潜在威胁的简单而有效的方法。
开放发展安全
组织应该考虑采用开放的安全方法。 例如,Elastic 的威胁报告链接到我们最近发布的保护工件,该工件透明地分享了我们在 Elastic 开发的端点行为逻辑,以识别对手的技术并将其免费提供给我们的社区。
报告还重点介绍了 Elastic Security 的预构建检测规则如何映射到每个云服务提供商的 MITRE ATT&CK 矩阵。 作为自成立以来一直采用 MITRE 框架的人员,Elastic 深知将检测规则映射到行业标准的重要性。 对于我的团队来说,这有助于我们更深入地了解我们的安全态势的广度和深度。
提供开放的检测规则、开放的工件和开放的代码使组织能够专注于解决其安全技术堆栈中的漏洞并针对新出现的威胁制定风险概况。 如果安全方面缺乏开放性和透明度,组织将面临更大的未来网络安全威胁风险。