Manter-se atualizado sobre o estado atual da segurança e entender as implicações do crescente cenário de ameaças é essencial para minha função como CISO na Elastic. Parte disso inclui acompanhar de perto os últimos relatórios de ameaças à segurança, destacando tendências e oferecendo insights valiosos sobre os métodos que os criminosos usam para comprometer ambientes.
Recursos de inteligência de ameaças, como o Elastic Global Threat Report de 2022, são essenciais para ajudar minha equipe a avaliar a visibilidade, as capacidades e a experiência da nossa organização na identificação e prevenção de ameaças à segurança cibernética. Ela nos ajuda a responder perguntas como:
- Como nosso meio ambiente é impactado pelas ameaças atuais e emergentes identificadas neste relatório?
- Essas novas informações alteram nosso perfil de risco e afetam nossa análise de risco?
- Que ajustes precisamos fazer em nossos controles?
- Falta visibilidade em alguma área?
- Temos as detecções corretas em vigor?
- Como esses insights podem afetar os fluxos de trabalho da minha equipe?
O relatório de ameaças da Elastic fornece um roteiro do mundo real para ajudar minha equipe a fazer as conexões necessárias para fortalecer nossa postura de segurança. Ele influencia nossos roteiros gerais de programas, nos ajudando a priorizar onde concentramos nossos recursos, incluindo o ajuste de nossas defesas, o teste de planos de resposta a incidentes e a identificação de atualizações para nosso centro de operações de segurança (SOC). E talvez o mais importante, o relatório ressalta nossa crença de que fornecer segurança aberta, transparente e acessível para todas as organizações é essencial para nos defendermos contra ameaças à segurança cibernética.
Verifique a segurança da sua nuvem e depois verifique novamente
Os relatórios de ameaças geralmente reforçam muitas das tendências e fenômenos existentes que observamos na segurança, mas também podem revelar alguns insights inesperados. Embora a nuvem permita que as organizações operem mais rapidamente e em escala, ela também cria lacunas de segurança que abrem espaço para possíveis ataques à medida que os agentes de ameaças continuam mudando seu foco para a nuvem.
O Elastic Global Threat Report revelou que quase 40% de todas as infecções por malware ocorrem em endpoints Linux, enfatizando ainda mais a necessidade de melhor segurança na nuvem. Com nove das dez principais nuvens públicas rodando em Linux, essa estatística é um lembrete importante para as organizações não dependerem somente das configurações padrão de seus provedores de nuvem para segurança.
As descobertas revelaram ainda que aproximadamente 57% dos eventos de segurança na nuvem foram atribuídos à AWS, seguidos por 22% para o Google Cloud e 21% para o Azure, e que 1 de cada 3 (33%) alertas na nuvem estavam relacionados ao acesso de credenciais em todos os provedores de serviços de nuvem.
Embora os dados apontem para uma maior necessidade de as organizações protegerem adequadamente seus ambientes de nuvem, também reforçam nossa crença de que o gerenciamento da postura de segurança na nuvem (CSPM) precisa evoluir de forma semelhante à segurança de endpoint.
Inicialmente, a segurança de endpoint dependia de um antivírus simples, cuja qualidade dependia apenas de suas assinaturas antivírus. Para evitar malware e ameaças cada vez mais sofisticados, a segurança de endpoints evoluiu empregando tecnologias mais avançadas, como antivírus de última geração com aprendizado de máquina e inteligência artificial. A CSPM está atualmente enfrentando uma situação semelhante. No momento, estamos mais perto do fundo da curva de aprendizado de segurança na nuvem do que do topo, e nossas tecnologias e estratégias devem continuar a evoluir para gerenciar ameaças novas e emergentes.
O Elastic Global Threat Report demonstra que ferramentas nativas e táticas de segurança tradicionais são ineficazes quando implementadas em ambientes de nuvem e oferece recomendações sobre como as organizações podem se adaptar ao cenário de ameaças em evolução.
Acerte o básico primeiro
Os líderes e equipes de segurança devem aproveitar os insights deste relatório para informar suas prioridades e ajustar seus fluxos de trabalho de acordo.
As descobertas mostram claramente por que focar e melhorar a higiene básica de segurança é tão crucial para melhorar os resultados de segurança. Muitas vezes, o ambiente de uma organização é comprometido por algo tão simples como uma senha fraca ou falha na atualização das configurações padrão. Priorizar os fundamentos de segurança — gerenciamento de identidade e acesso, aplicação de patches, modelagem de ameaças, conscientização de senhas e autenticação multifator — é uma maneira simples, porém eficaz, para as equipes de segurança prevenirem e se protegerem contra ameaças potenciais.
Desenvolver a segurança em aberto
As organizações devem considerar adotar uma abordagem aberta à segurança. Por exemplo, o relatório de ameaças da Elastic tem um link para nossa publicação recente de artefatos de proteção, que compartilha de forma transparente a lógica comportamental do endpoint que desenvolvemos na Elastic para identificar a estratégia do adversário e disponibilizá-la gratuitamente para nossa comunidade.
O relatório também destaca como as regras de detecção pré-criadas do Elastic Security são mapeadas para a matriz MITRE ATT&CK para cada provedor de serviços de nuvem. Como adotante da estrutura MITRE desde seu início, a Elastic entende a importância de mapear regras de detecção para um padrão do setor. Para minha equipe, isso nos ajuda a ter insights mais profundos sobre a amplitude e a profundidade de nossa postura de segurança.
Fornecer regras de detecção abertas, artefatos abertos e código aberto permite que as organizações se concentrem em abordar lacunas em seu conjunto de tecnologias de segurança e desenvolver perfis de risco para ameaças novas e emergentes. Sem abertura e transparência na segurança, as organizações estão se expondo a um risco maior de ameaças cibernéticas futuras.