今天,我们在 Elastic 发布了第一份全球威胁报告。 现在,客户、合作伙伴和整个安全社区将能够确定我们团队在过去 12 月中关注的许多领域。 除了技术角度之外,该报告还为企业高管和安全领导者提供了一系列战略建议:对未来几个月对手的动向进行总结和准确的预测。
我们希望威胁研究人员和整个安全行业能够利用这份报告为下一轮威胁和活动做好准备。 在 Elastic,我们确保使用 Elastic Security 解决方案的客户能够得到最好的保护以免受这些类型的威胁,包括用于自动保护的端点和云功能。
今年,我们的报告包含了六个关键预测和建议,以便战略家和实践者能够更好地了解威胁行为者在 2023 及以后可能关注的潜在方向。 下面,我们总结了前三个预测。 有关这些建议及我们的其他建议的更多详细信息,请参阅我们 2022 年的完整可下载报告:
攻击者将继续滥用内置的二进制代理来绕开安全检测工具。
使用经过验证的对抗策略仍然是观察到的威胁团体关注的重点领域,今年也不例外。 敌对团体利用合法的本机系统二进制文件来加载恶意软件——逃避现代企业使用的许多检测策略。
通过持续关注,Elastic Security 增强了我们的深度可视性和预构建保护,包括大量规则和签名以及 ML 模型,以更快、更有效地检测这些威胁。
LNK 和 ISO 有效负载将取代更传统的脚本和文档有效负载。
对抗行为专注于寻找更简单、更有效的攻击途径——今年也不例外。 系统默认设置迫使威胁组织调整其策略,利用 LNK 和 ISO 负载来取代我们过去观察到的熟悉的脚本和文档。
LNK 和 ISO 文件经常被用来将恶意软件偷运到企业中,因为大多数安全技术都不会检查它们。 Elastic Security 致力于在我们的产品和平台中构建检测装置,使我们能够确定用于更好地防御这些恶意行为的确切机制。
有效的 IAM 帐户将依然是攻击者的目标。
许多攻击的早期阶段都侧重于各种形式的凭证盗窃;然而,IAM 和管理凭证通常仍然是许多敌对团体关注的重点领域,他们试图逃避检测并避免服务被利用。
了解环境中表现出的标准帐户操作和用户行为对于防御它们至关重要,并确保我们拥有全面的检测库以及堆栈内的集成功能,为更早地检测威胁奠定了坚实的基础。
这只是对报告中发现的结论的一个小介绍。 2022 年 Elastic 全球威胁报告中提供了更详细信息、建议和源数据。
那些希望进一步了解我们观察到的威胁以及敌对团体在过去一年中利用的机制的人,可以在我们的完整报告中阅读到更详细的信息 — — 以及我们利用的许多建议和发现,以帮助制定 Elastic Security 解决方案中使用的策略和未来的功能路线图。
欢迎在此处查看完整的2022 年 Elastic 全球威胁报告。