2019年2月,SANS照例发布了全新年度的CTI(网络威胁情报)现状调研报告。
今年的报告更换了主笔分析师。但SANS对CTI的广义定义依然没有变。总体上,SANS认为CTI的应用越发成熟,其发挥的价值也越来越大,CTI的应用正逐步深化。
1)报告显示,72%的受访组织生产或消费了CTI,比2017年的60%有显著提升。
2)更多的组织开始关注情报报告,但认为将那些情报报告中的有用信息转换为机读情报比较麻烦【笔者注:一方面,现在有一些开源的报告情报信息提取工具;另一方面,情报报告的提供者开始一并提供配套的机读情报】。
3)情报价值的发挥越发依赖于与情报与组织的特定相关性,而非泛泛的情报。
4)组织越来越关注情报的应用,而非数据的收集和处理。
以下摘录笔者感兴趣的部分调研结果:
【笔者注:里面有一些数据我觉得前后矛盾,语焉不详,让人摸不清头脑】
1)81%的受访者认为CTI对于安全阻断/检测/响应是有价值的
如何更加客观地评价CTI的价值?SANS推荐了一个度量指标:有CTI参与的安全事件平均解决时间,并将这个指标与无CTI参与的安全事件平均解决时间进行对比。
2)SANS让受访者针对4种使用CTI进行分析的方法进行排序,结果显示IoC排名第一,往后依次是TTP、数字足迹识别、战略分析。也就是说,最主流的使用CTI的方法就是收集和比对IoC(失陷指标)。SANS认为这表明大家对CTI的理解还不够深入,认为将来大家应该逐步将焦点放到TTP上,也就是更加关注威胁的行为和对手方所采用的TTP,譬如对MITRE的ATT&CK就是这类应用的一个实例。
3)在情报收集方面,最主要的情报来源还是外部情报,尤其是外部的开源情报,而在针对内部情报收集方面显得不足【而内部情报与组织自身的相关性更高,更有价值,是未来深化的一个方向】
4)在利用CTI做什么的问题上,SANS调研了以下使用用例(场景),并表示用例比较分散,尚没有领导性场景。安全运维类的用例居多。
5)当前和未来最有价值的威胁情报类型排名:
可以看到目前主要发挥价值的CTI是漏洞情报、包括组织品牌/重要个人/IP的威胁告警和***指标、恶意代码和***趋势。跟去年的差不多。同时,对***者的溯源目前价值排在最后,但对其未来的期许排名最高。
6)CTI的价值分析,SANS从12个维度来调查CTI的价值。这12个维度也可以认为是CTI的12种价值点。
7)SANS还设定了15个维度的指标去调查CTI的满意度,也可以认为是怎样才算一个好的威胁情报的15个方面。
8)情报采集处理时最关键的操作有哪些?
SANS认为最关键的几个操作包括:信息去重、基于外部公开情报的数据丰富化、基于外部商业情报的数据丰富化、基于内部情报的数据丰富化、恶意代码样本的逆向、情报信息的通用格式标准化(范式化)。
9)针对情报管理与集成这部分,SANS的报告依然显示SIEM平台是最主要的手段(82%),其次是与NTA整合(77%),再往后使用电子表格/EMail来管理和CTI,而借助商业TIP(威胁情报平台)(66%)和开源TIP(64%)跟随其后。这个排序跟去年基本一致。
【参考】