SANS：2016年網絡威脅情報現狀調研報告

2016年8月份，SANS發佈了最新一期有關網絡威脅情報的發展示狀調研報告。

注意，本文不是譯文。原文請前往http://www.sans.org/reading-room/，題爲《The SANS State of Cyber Threat Intelligence Survey: CTI Important and Maturing》，需×××。

報告指出，隨着網絡空間安全威脅日趨嚴重，網絡威脅情報（CTI）的做用更加凸顯。41%的受訪者表示他們運用CTI的能力趨於成熟，更有26%的人表示能十分紅熟地運用CTI，而僅有6%的人表示沒有使用過CTI。

在前兩年，人們對於CTI的理解還都比較粗淺，而今年的這份報告則讓咱們看到了更加豐富的CTI使用實踐，譬如：

1）傳統的安全廠商紛紛提供情報訂閱服務；

2）在網絡出口處利用威脅情報來阻斷惡意域名或者惡意IP地址，併爲安全調查和失陷評估提供上下文（情境）信息；

3）大部分安全團隊會使用來自行業或者社區分享組織的威脅情報，以及安全情報提供商的商業情報。

報告的一些調研結果以下：

1）只有不到6%的受訪者表示尚沒有使用威脅情報的計劃，而有40.5%的人表示威脅情報在他們的環境中的應用趨於成熟。相比而言，在去年的調研中，甚至有7%的人表示從未據說過威脅情報。

2）在威脅情報發揮價值程度方面，64%的人表示威脅情報提高了他們的安全及響應能力。進一步地，提高的地方包括：

• 73%認爲威脅情報能幫他們更好地進行決策支持；

• 71%認爲威脅情報提高了他們「看見威脅」的能力；

• 58%認爲威脅情報提高了他們的響應速度和精度；

• 53%認爲威脅情報能幫助他們檢測未知威脅；

• 48%認爲威脅情報幫他們減小信息泄露（這裏特指敏感數據的真實暴露和業務中斷）；

• 39%認爲威脅情報經過更加智能的阻斷可量化地下降了安全事件的不良影響。
  

值得注意的是，在定量評價威脅情報用於減小信息泄露方面，還很不夠，目前還缺少評估的指標、方法和工做。而在威脅情報用於提高事件響應能力方面則更加能夠量化評估。

對比一下，波耐蒙去年末對威脅情報所作的《第二次關於網絡空間威脅情報交換的年度調查報告》指出65%的受訪者認爲利用威脅情報可以組織或者減輕***形成後果。看得出來，兩份獨立的調研結果仍是比較吻合的。

3）在威脅情報信息來源方面，74%的人使用了社區或行業組織分享的情報，70%使用了外部威脅情報服務提供者的數據，還有46%使用了內部情報。而使用內部情報被視做是一種威脅情報運用成熟化的表現，儘管他們目前使用內部情報方面還有不少能夠改進之處。

針對威脅情報服務提供者，具體有分爲如下幾種來源：

有意思的是，只有25%的受訪者使用了專業威脅情報服務提供商的數據，更多的人則更多依賴傳統廠商提供的情報數據。但我認爲是否就是說專業威脅情報服務提供商發揮的價值不大，還須要進一步研判。

4）報告給出了三個最經常使用的威脅情報使用用例：

• 在網絡出口處阻斷惡意域名和IP；

• 爲安全調查和失陷評估提供上下文（情境）信息；

• 檢查DNS服務器日誌識別惡意域名和IP

其它用例排名以下圖所示：

5）在情報數據如何與現有防禦及響應系統集成方面，目前主要是利用情報提供商的API，其次是使用本身的API。在具體對接方面，主要是依靠SIEM系統，其次是***監測平臺、商業化威脅情報管理平臺。在對接方式上，也是SIEM的集成化程度最高（作到了GUI集成）。

看到這裏，讓我不由想起Gartner對於威脅情報的分析。在Garnter的《機讀威脅情報技術概覽》報告中指出SIEM是承載機讀威脅情報（也就是可集成情報）的最好選擇。

6）在威脅情報管理解決方案，以及利用標準和框架方面，目前顯得比較雜亂、碎片化，缺乏較爲統一和一致承認的思路，還有不少企業和組織使用自定義的規範和框架。這也體現出了當前威脅情報領域的現狀。

7）61%的受訪者表示他們是威脅情報的消費者，而有33%的受訪者表示他們既消費也產生威脅情報，僅不到7%的受訪者專門聚焦於生產威脅情報。

在那些消費威脅情報的企業和組織中，具體消費的人的角色依次是：SOC團隊、應急響應團隊、風險合規小組、高管及董事會成員、中層主管、等等。

在人員編制方面，28%的受訪者表示有專門的正式團隊負責處理威脅情報，18%表示有專人負責威脅情報事宜，還有21%表示雖然如今沒有專門負責，但正在進行內訓即將上崗。

對於企業和組織中負責威脅情報的專業人員而言，報告給出了一份技能優先列表：

感受如何？要求是否是過高了？並且還須要跨界人才。

報告還作了一個有趣的調研，發現目前來看一個團隊每週最多處理100條威脅情報指示器（Indicator）是比較靠譜的，再多，他們就忙不過來了。

8）對於組織和企業而言，用好威脅情報最大的阻礙是缺少訓練有素的人員（分析師），高達59%的人持這個觀點，其次有37%的人認爲缺少集成威脅情報的技術能力。總之，人的因素排在第一位。

9）對於威脅情報的將來展望，69%的人認爲威脅情報將在防護和響應上發揮十分重要的做用，54%的人認爲在將來5年威脅情報對風險分級和決策發揮重要價值，只有3%的人認爲威脅情報將來不會扮演重要角色。

未來要想將威脅情報更好的集成，須要更好地符合標準、下降誤報、覆蓋工控環境，以及更好的數據加強和分析能力。

總之，威脅情報的重要性已經是不爭的事實，尤爲是將來5年。圍繞威脅情報實踐的工具、知識和流程趨於成熟，但在威脅阻止、檢測和調查等等不少地方還能夠去增強。當前這個市場還比較混亂，標準不1、廠商魚龍混雜，情報數據質量有好有壞。不少人就以爲獲取通用的威脅情報價值不大，更須要有針對性的情報，並且一些人認爲必需要創建本身的內部情報源和內部情報集成。

但不管如何，企業和組織必須着手利用威脅情報，這是大勢所趨。

【參考】

個人安全情報 & 威脅情報專欄

Gartner：智能SOC/情報驅動的SOC的五大特徵