セキュリティの現状を常に把握し、今日の増大する脅威の状況がどのような意味を持つかを理解することは、ElasticのCISOとしての私の役割にとって非常に重要です。 これには、最新のセキュリティ脅威レポートを綿密に追跡し、傾向を強調し、悪意のある人物が環境を侵害するために使用する方法に関する貴重な洞察を提供することが含まれます。
2022年版Elasticグローバル脅威レポートのような脅威インテリジェンスリソースは、サイバーセキュリティの脅威を特定して防止するための組織の可視性、能力、専門知識を私のチームが評価するために不可欠です。これは、次のような質問に答えるのに役立ちます。
- このレポートで特定された現在および新たな脅威は、私たちの環境にどのような影響を与えますか?
- この新たな情報によってリスクプロファイルに変更が生じたり、リスク分析が影響を受けたりするのか
- 自社の管理にどのような変更を加える必要があるのか
- 可視性が不足している領域はあるか
- 適切な検出が行われていますか?
- これらのインサイトはチームのワークフローにどのような影響を及ぼすのか
Elasticの脅威レポートは、私のチームがセキュリティ体制を強化するために必要なつながりを作るのに役立つ、現実的なロードマップを提供します。 これは、プログラム全体のロードマップに影響を与え、防御の調整、インシデント対応計画のテスト、セキュリティ オペレーション センター (SOC) の更新の特定など、リソースを集中させる場所に優先順位を付けるのに役立ちます。 そしておそらく最も重要なことは、このレポートが、すべての組織にオープンで透明性があり、アクセス可能なセキュリティを提供することが、サイバーセキュリティの脅威から身を守るための鍵であるという私たちの信念を強調していることです。
クラウドのセキュリティを確認し、再度確認してください
脅威レポートは、多くの場合、セキュリティ内で見られる既存の傾向や現象の多くを強化しますが、予期しない洞察を明らかにすることもあります。 クラウドは、組織のより迅速かつ大規模な運用を可能にする一方で、脅威アクターがクラウドに焦点を移し続けるにつれて、潜在的な攻撃の余地を残すセキュリティギャップも生み出します。
Elasticグローバル脅威レポートでは、マルウェア感染全体の約40%がLinuxエンドポイントで発生していることが明らかになり、クラウドセキュリティの強化の必要性がさらに強調されています。 上位10のパブリッククラウドのうち9つがLinuxで実行されているため、この統計は、セキュリティをクラウドプロバイダーの標準構成だけに頼らないように組織に思い出させる重要なものです。
さらに、クラウドセキュリティイベントの約57%がAWSに起因し、次いでGoogle Cloudが22%、Azureが21%であり、クラウドアラートの 3 のうち 1 (33%)が、すべてのクラウドサービスプロバイダーの認証情報へのアクセスに関連していたことが明らかになりました。
これらのデータはクラウド環境を適切に保護する必要性の高まりを示していると同時に、"クラウドセキュリティ態勢管理(CSPM)をエンドポイントセキュリティと同様に進化させる必要がある"というElasticの考えを補強するものでもあります。
当初、エンドポイントセキュリティは単純なアンチウイルスに依存していましたが、これはアンチウイルスシグネチャと同じくらい優れていました。 ますます巧妙化するマルウェアや脅威を回避するために、エンドポイントセキュリティは、機械学習や人工知能を備えた次世代アンチウイルスなどのより高度なテクノロジーを採用することで進化しました。 CSPMは現在、同様の状況に直面しています。 現在、クラウドセキュリティの学習曲線は頂点よりも底辺に近づいており、新たな脅威を管理するために、テクノロジーと戦略は進化し続ける必要があります。
Elastic Global Threat Reportは、ネイティブツールや従来のセキュリティ戦術をクラウド環境に導入すると効果がないことを示し、組織が進化する脅威の状況にどのように適応できるかについての推奨事項を提供しています。
まずは基本から
セキュリティリーダーとチームは、このレポートから得られるインサイトを活用して優先事項を把握し、それに従ってワークフローを調整できるでしょう。
この調査結果は、基本的なセキュリティ衛生に焦点を当て、改善することがセキュリティの成果を向上させるために非常に重要である理由を明確に示しています。 多くの場合、組織の環境は、脆弱なパスワードやデフォルト設定の更新の失敗などの単純なものによって危険にさらされます。 セキュリティの基本(IDとアクセスの管理、パッチ適用、脅威モデリング、パスワード認識、多要素認証)を優先することは、セキュリティチームが潜在的な脅威を防止し、保護するためのシンプルかつ効果的な方法です。
オープンな環境でのセキュリティ開発
組織は、セキュリティに対してオープンなアプローチを採用することを検討する必要があります。 たとえば、Elasticの脅威レポートは、最近公開された 保護アーティファクトにリンクしており、Elasticで開発しているエンドポイントの動作ロジックを透過的に共有し、敵対者のトレードクラフトを特定し、コミュニティが自由に利用できるようにしています。
また、Elasticセキュリティの 事前構築済み検知ルール が、各クラウドサービスプロバイダーのMITRE ATT&CKマトリクスにどのようにマッピングされているかについても取り上げています。 MITREフレームワークを創業以来採用してきたElasticは、検出ルールを業界標準にマッピングすることの重要性を理解しています。 私のチームにとっては、これにより、セキュリティ体制の幅と深さについてより深い洞察を得ることができます。
オープンな検出ルール、オープンなアーティファクト、オープンコードを提供することで、組織はセキュリティテクノロジースタックのギャップに対処し、新たな脅威に対するリスクプロファイルの開発に集中できます。 セキュリティのオープン性と透明性がなければ、組織は明日のサイバーセキュリティの脅威に対してより大きなリスクにさらされることになります。
2022年版Elasticグローバル脅威レポートをダウンロードしてください。