SANS:2019年網絡威脅情報現狀調研報告
今年的報告更換了主筆分析師。但SANS對CTI的廣義定義依然沒有變。總體上,SANS認為CTI的應用越發成熟,其發揮的價值也越來越大,CTI的應用正逐步深化。
1)報告顯示,72%的受訪組織生產或消費了CTI,比2017年的60%有顯著提升。
2)更多的組織開始關註情報報告,但認為將那些情報報告中的有用信息轉換為機讀情報比較麻煩【筆者註:一方面,現在有一些開源的報告情報信息提取工具;另一方面,情報報告的提供者開始一並提供配套的機讀情報】。
3)情報價值的發揮越發依賴於與情報與組織的特定相關性,而非泛泛的情報。
4)組織越來越關註情報的應用,而非數據的收集和處理。
以下摘錄筆者感興趣的部分調研結果:
【筆者註:裏面有一些數據我覺得前後矛盾,語焉不詳,讓人摸不清頭腦】
1)81%的受訪者認為CTI對於安全阻斷/檢測/響應是有價值的
如何更加客觀地評價CTI的價值?SANS推薦了一個度量指標:有CTI參與的安全事件平均解決時間,並將這個指標與無CTI參與的安全事件平均解決時間進行對比。
2)SANS讓受訪者針對4種使用CTI進行分析的方法進行排序,結果顯示IoC排名第一,往後依次是TTP、數字足跡識別、戰略分析。也就是說,最主流的使用CTI的方法就是收集和比對IoC(失陷指標)。SANS認為這表明大家對CTI的理解還不夠深入,認為將來大家應該逐步將焦點放到TTP上,也就是更加關註威脅的行為和對手方所采用的TTP,譬如對MITRE的ATT&CK就是這類應用的一個實例。
3)在情報收集方面,最主要的情報來源還是外部情報,尤其是外部的開源情報,而在針對內部情報收集方面顯得不足【而內部情報與組織自身的相關性更高,更有價值,是未來深化的一個方向】
4)在利用CTI做什麽的問題上,SANS調研了以下使用用例(場景),並表示用例比較分散,尚沒有領導性場景。安全運維類的用例居多。
5)當前和未來最有價值的威脅情報類型排名:
可以看到目前主要發揮價值的CTI是漏洞情報、包括組織品牌/重要個人/IP的威脅告警和攻|擊指標、惡意代碼和攻|擊趨勢。跟去年的差不多。同時,對攻|擊者的溯源目前價值排在最後,但對其未來的期許排名最高。
6)CTI的價值分析,SANS從12個維度來調查CTI的價值。這12個維度也可以認為是CTI的12種價值點。
7)SANS還設定了15個維度的指標去調查CTI的滿意度,也可以認為是怎樣才算一個好的威脅情報的15個方面。
8)情報采集處理時最關鍵的操作有哪些?
SANS認為最關鍵的幾個操作包括:信息去重、基於外部公開情報的數據豐富化、基於外部商業情報的數據豐富化、基於內部情報的數據豐富化、惡意代碼樣本的逆向、情報信息的通用格式標準化(範式化)。
9)針對情報管理與集成這部分,SANS的報告依然顯示SIEM平臺是最主要的手段(82%),其次是與NTA整合(77%),再往後使用電子表格/EMail來管理和CTI,而借助商業TIP(威脅情報平臺)(66%)和開源TIP(64%)跟隨其後。這個排序跟去年基本一致。
【參考】
SANS:2018年網絡威脅情報現狀調研報告
SANS:2017年網絡威脅情報現狀調研報告
SANS:2016年網絡威脅情報現狀調研報告
SANS:2019年網絡威脅情報現狀調研報告