2016年8月份,SANS发布了最新一期有关网络威胁情报的发展现状调研报告。

注意,本文不是译文。原文请前往http://www.sans.org/reading-room/,题为《The SANS State of Cyber Threat Intelligence Survey: CTI Important and Maturing》,需×××。

报告指出,随着网络空间安全威胁日趋严重,网络威胁情报(CTI)的作用更加凸显。41%的受访者表示他们运用CTI的能力趋于成熟,更有26%的人表示能十分成熟地运用CTI,而仅有6%的人表示没有使用过CTI。

在前两年,人们对于CTI的理解还都比较粗浅,而今年的这份报告则让我们看到了更加丰富的CTI使用实践,譬如:

1)传统的安全厂商纷纷提供情报订阅服务;

2)在网络出口处利用威胁情报来阻断恶意域名或者恶意IP地址,并为安全调查和失陷评估提供上下文(情境)信息;

3)大部分安全团队会使用来自行业或者社区分享组织的威胁情报,以及安全情报提供商的商业情报。


报告的一些调研结果如下:

1)只有不到6%的受访者表示尚没有使用威胁情报的计划,而有40.5%的人表示威胁情报在他们的环境中的应用趋于成熟。相比而言,在去年的调研中,甚至有7%的人表示从未听说过威胁情报。

SANS:2016年网络威胁情报现状调研报告_第1张图片

2)在威胁情报发挥价值程度方面,64%的人表示威胁情报提升了他们的安全及响应能力。进一步地,提升的地方包括:

  • 73%认为威胁情报能帮他们更好地进行决策支持;

  • 71%认为威胁情报提升了他们“看见威胁”的能力;

  • 58%认为威胁情报提升了他们的响应速度和精度;

  • 53%认为威胁情报能帮助他们检测未知威胁;

  • 48%认为威胁情报帮他们减少信息泄露(这里特指敏感数据的真实暴露和业务中断);

  • 39%认为威胁情报通过更加智能的阻断可量化地降低了安全事件的不良影响。

值得注意的是,在定量评价威胁情报用于减少信息泄露方面,还很不够,目前还缺乏评估的指标、方法和工作。而在威胁情报用于提升事件响应能力方面则更加可以量化评估。

对比一下,波耐蒙去年底对威胁情报所做的《第二次关于网络空间威胁情报交换的年度调查报告》指出65%的受访者认为利用威胁情报能够组织或者减轻***造成后果。看得出来,两份独立的调研结果还是比较吻合的。


3)在威胁情报信息来源方面,74%的人使用了社区或行业组织分享的情报,70%使用了外部威胁情报服务提供者的数据,还有46%使用了内部情报。而使用内部情报被视作是一种威胁情报运用成熟化的表现,尽管他们目前使用内部情报方面还有很多可以改进之处。

SANS:2016年网络威胁情报现状调研报告_第2张图片

针对威胁情报服务提供者,具体有分为以下几种来源:

SANS:2016年网络威胁情报现状调研报告_第3张图片

有意思的是,只有25%的受访者使用了专业威胁情报服务提供商的数据,更多的人则更多依赖传统厂商提供的情报数据。但我认为是否就是说专业威胁情报服务提供商发挥的价值不大,还需要进一步研判。


4)报告给出了三个最常用的威胁情报使用用例:

  • 在网络出口处阻断恶意域名和IP;

  • 为安全调查和失陷评估提供上下文(情境)信息;

  • 检查DNS服务器日志识别恶意域名和IP

其它用例排名如下图所示:

SANS:2016年网络威胁情报现状调研报告_第4张图片


5)在情报数据如何与现有防护及响应系统集成方面,目前主要是利用情报提供商的API,其次是使用自己的API。在具体对接方面,主要是依靠SIEM系统,其次是***监测平台、商业化威胁情报管理平台。在对接方式上,也是SIEM的集成化程度最高(做到了GUI集成)。

SANS:2016年网络威胁情报现状调研报告_第5张图片

看到这里,让我不禁想起Gartner对于威胁情报的分析。在Garnter的《机读威胁情报技术概览》报告中指出SIEM是承载机读威胁情报(也就是可集成情报)的最好选择。


6)在威胁情报管理解决方案,以及利用标准和框架方面,目前显得比较杂乱、碎片化,缺少较为统一和一致认可的思路,还有很多企业和组织使用自定义的规范和框架。这也体现出了当前威胁情报领域的现状。


7)61%的受访者表示他们是威胁情报的消费者,而有33%的受访者表示他们既消费也产生威胁情报,仅不到7%的受访者专门聚焦于生产威胁情报。

在那些消费威胁情报的企业和组织中,具体消费的人的角色依次是:SOC团队、应急响应团队、风险合规小组、高管及董事会成员、中层主管、等等。

在人员编制方面,28%的受访者表示有专门的正式团队负责处理威胁情报,18%表示有专人负责威胁情报事宜,还有21%表示虽然现在没有专门负责,但正在进行内训即将上岗。

对于企业和组织中负责威胁情报的专业人员而言,报告给出了一份技能优先列表:

SANS:2016年网络威胁情报现状调研报告_第6张图片

感觉如何?要求是不是太高了?而且还需要跨界人才。

报告还做了一个有趣的调研,发现目前来看一个团队每周最多处理100条威胁情报指示器(Indicator)是比较靠谱的,再多,他们就忙不过来了。


8)对于组织和企业而言,用好威胁情报最大的阻碍是缺乏训练有素的人员(分析师),高达59%的人持这个观点,其次有37%的人认为缺乏集成威胁情报的技术能力。总之,人的因素排在第一位。


9)对于威胁情报的未来展望,69%的人认为威胁情报将在防御和响应上发挥十分重要的作用,54%的人认为在未来5年威胁情报对风险分级和决策发挥重要价值,只有3%的人认为威胁情报未来不会扮演重要角色。

将来要想将威胁情报更好的集成,需要更好地符合标准、降低误报、覆盖工控环境,以及更好的数据增强和分析能力。


总之,威胁情报的重要性已是不争的事实,尤其是未来5年。围绕威胁情报实践的工具、知识和流程趋于成熟,但在威胁阻止、检测和调查等等很多地方还可以去加强。当前这个市场还比较混乱,标准不一、厂商鱼龙混杂,情报数据质量有好有坏。很多人就觉得获取通用的威胁情报价值不大,更需要有针对性的情报,而且一些人认为必须要建立自己的内部情报源和内部情报集成。

但无论如何,企业和组织必须着手利用威胁情报,这是大势所趋。


【参考】

我的安全情报 & 威胁情报专栏

Gartner:智能SOC/情报驱动的SOC的五大特征