Elastic 的 2022 年全球威胁报告：应对当今日益扩大的威胁环境的路线图

作为 Elastic 的 CISO，及时了解安全现状，并了解现今日益扩大的威胁环境带来的影响是至关重要的。其中包括密切关注最新的安全威胁报告，格外注意趋势，并对威胁制造者用来破坏环境的方式提供有价值的见解。

像《2022 年 Elastic 全球威胁报告》这样的威胁情报资源，对于帮助我们团队评估在识别和防范网络安全威胁方面的组织可见性、能力和专业知识而言至关重要。这份报告可以帮助我们回答以下问题：

• 我们的环境受到本报告中确定的当前和新出现的威胁的影响程度如何？ 
• 这些新信息是否会改变我们的风险状况并影响我们的风险分析？
• 我们需要对控制措施做出哪些调整？
• 我们是否在任何部分缺乏可见性？
• 我们进行了正确的检测吗？ 
• 这些见解可能对我团队的工作流产生怎样的影响？

Elastic 的威胁报告提供了一个真实的路线图，帮助我的团队建立必要的联系，从而加强安全态势。它对我们的整体计划路线图都有影响，帮助我们确定重点投放资源的领域，其中包括调整防御措施、测试事件响应计划，以及确定安全运维中心 (SOC) 的更新内容。或许最重要的是，该报告坚定了我们的信念，即为所有组织提供公开、透明且可访问的安全性是抵御网络安全威胁的关键所在。

检查您的云安全状况，然后再确认一下 

威胁报告始终强化了我们在安全性方面看到的许多现有趋势和现象，但同时也揭示出了一些意想不到的见解。虽然云使组织能够更快地大规模运作，但随着威胁制造者不断将注意力转向云，它也带来了安全漏洞，为潜在的攻击留下了空间。

Elastic 全球威胁报告显示，将近 40% 的恶意软件感染发生在 Linux 终端上，这进一步强调了改善云安全的必要性。排名前十的公共云中有九个在 Linux 上运行，这一统计数据对组织来说是一个重要的提醒，即不要仅仅依靠云服务提供商的标准配置来保证安全。

研究结果进一步显示，大约 57% 的云安全事件归因于 AWS，其次是 22% 的 Google Cloud 和 21% 的 Azure；在所有云服务提供商中，每 3 个云告警中就有 1 个（占 33%）与凭据访问相关。

虽然这些数据点表明组织越来越需要正确地保护云环境，但它也加强了我们的信念，即云安全态势管理 (CSPM) 需要像终端安全那样不断发展。

最初，终端安全依赖于简单的防病毒软件，但它只能应对病毒特征码威胁。为了避免日益复杂的恶意软件和威胁，需要采用更先进的技术（如基于机器学习和人工智能的下一代防病毒技术），让终端安全得到发展。CSPM 目前正面临类似的情况。现在，我们更加接近云安全学习曲线的底部，而不是顶部，并且我们的技术和战略必须继续发展，才能成功应对新的和新出现的威胁。

Elastic 全球威胁报告表明，在云环境中实施本地工具和传统安全策略是无效的，并就组织如何适应不断变化的威胁环境提出了建议。 

首先做好基础工作

安全领导者和团队应该利用这份报告中的见解让员工了解他们的优先事项，并相应地调整工作流程。

研究结果清楚地表明了为什么关注和改善基本安全防护机制是安全成果得以提升的关键所在。组织的环境往往会因为一些简单的操作而受到损害，比如使用弱密码或没有更新默认配置。优先考虑安全基础知识，这是安全团队预防和防范潜在威胁的简单而有效的方法，这些基础知识包括身份和访问管理、补丁、威胁建模、密码感知和多因素身份验证。

在开放环境中建立安全机制 

各组织应考虑采用开放的安全方法。例如，Elastic 的威胁报告链接到我们最近出版的保护工件，以透明的方式分享我们在 Elastic 开发的终端行为逻辑，以识别敌手的谍报技术，并免费向我们的社区提供。

该报告还强调了 Elastic 安全的预构建检测规则如何与 MITRE ATT&CK 矩阵中的每个云服务提供商相对应。Elastic 自 MITRE 框架成立以来就采用了 MITRE 框架，深知将检测规则映射到行业标准的重要性。对我的团队来说，这可以帮助我们对安全态势的广度和深度有更深入的了解。

提供开放的检测规则、开放的工件和开放的代码，使组织能够专注于弥补安全技术堆栈中的差距，并为新的和新出现的威胁制定风险档案。如果安全缺乏公开性和透明度，组织就会将自己置于未来网络安全威胁的更大风险之中。 

下载《2022 年 Elastic 全球威胁报告》。