SANS：2018年網絡威脅情報現狀調研報告

2018年2月初，SANS發佈了一年一度的網絡威脅情報調研報告。如下是本人的一些理解和內容摘錄。

報告給出了SANS對CTI的定義：收集、整理和探尋關於對手方的知識。collection, classification, and exploitation of knowledge about adversaries。以及「analyzed information about the intent, opportunity and capability of cyber threats」（針對網絡威脅意圖、機會和能力的分析信息）。這個定義比較寬泛。

報告顯示，很多結果與去年的分析基本一致。譬如CTI的主要使用場景仍是安全運營、應急響應和安全意識提高。SIEM依然是集成威脅情報的最佳選擇。

SANS認爲調研顯示北美地區對威脅情報的收集、集成和使用已經趨於成熟。下面就進一步看看接近成熟的威脅情報市場是個什麼樣子吧。

須要特別指出的是，SANS調研中對CTI的理解跟Gartner以及個人理解是不一樣的，SANS對CTI的界定更加普遍，不只包括嚴格意義上的威脅情報，還包括了漏洞情報，而且將特徵庫（譬如惡意代碼簽名）也算在內。事實上，在全世界範圍內的威脅情報的具體實踐中，上述問題一直就比較模糊。尤爲是對特徵庫的認定，每每看做是最基本/簡單的威脅情報，而咱們看到的大部分威脅情報信息其實就是signature!嚴格來講，我比較贊同Gatner的Anton Chuvakin的觀點，即威脅情報不是簽名！本人認爲，因爲這種寬泛的界定，下降了SANS這份威脅情報報告對於威脅情報利用狀況的分析敏感度，從而失去了很多價值。

1）威脅情報的普及程度：調查顯示，沒有使用威脅情報，也沒有計劃使用威脅情報的受訪者比例只有11%，比去年的15%進一步下降。

2）更加註重內部威脅情報：儘管外部情報仍然是用戶主要的威脅情報來源，但對內部情報的重視程度顯著上升。所謂內部情報就是指藉助自身的安全基礎設施和分析能力得到情報，這類情報與用戶自身的相關度更高，有效性更強，是威脅情報下一步發力的重點。

3）威脅情報更多用於安全運營，包括：威脅檢測、威脅阻斷、威脅捕獵、威脅管理，等等。

4）人員配備上，41.5%的受訪者有專門的威脅情報團隊，12%表示至少有一個專人，31%表示有兼職人員，而沒有人負責威脅情報的狀況只有16%。

5）威脅情報跟SOC團隊的相關性最高，也代表SOC最須要威脅情報，或者說威脅情報最適合跟SOC集成。

6）什麼類型威脅情報最有用？包括：攻/擊中用到的惡意代碼指示器（其實仍是惡意代碼簽名）81%，攻/擊者利用的漏洞（其實就是漏洞信息）79%，攻/擊者趨勢76%，IoC（佔67%）。這個分析結果令我有些無語，畢竟排名前兩位的都是古老的東西。而針對將來哪些類型的情報最有用的調查中，我卻是發現人們更傾向於對威脅情報核心的信息的追求。譬如關注敵對方的信息，關注攻/擊者的TTP，IoC，等等。

7）一些用戶使用CTI的感言值得一讀：

• 「We will monitor threat feeds and escalate [a] certain vulnerability remediation priority based on active exploitation campaigns in the wild. These feeds include vendor threat feeds or just security news.」

• 「We utilize several intelligence feeds to augment our perimeter firewall capabilities.」

• 「Pulled info on threat actors, source IPs, domains and [fed] them into EDR [endpoint detection and response] for [blacklists] and traffic reports from them.」

• 「We have alerting set up in our SIEM that correlates event searches against our subscribed threat intelligence feeds. From there we conduct our investigations and take whatever actions [are] deemed an appropriate response. The response is typically blocking malicious activities and hunting for further indicators of compromise across the enterprise environment.」

• 「As CTI raw data, we gathered ransomware IPs, domain names, file hashes from CTI providers as a service and integrated those valuable data [points into] our SIEM, malware analysis appliance, firewall and IPS. Then, when traffic occurs from our [network] to those
  blacklisted IPs or when an email is received with a file attached with a hash of Wcry files, alarms are sent to related security teams. If the system is in blocking mode, we block that traffic.」
  

8）CTI都跟誰集成？如前所述，仍是跟SIEM集成爲最多選擇。

對比一下去年的，基本一致。

能夠看出，更多的人選擇了SIEM。而選擇TIP的人依然排在第五位。

9）對威脅情報的總體滿意度。今年的數字是81%，去年是78%，前年是64%。而在具體對哪些地方滿意的調查中，主要體如今如下幾個方面（排名靠前的跟去年也差很少）：

10）威脅情報的價值點分佈以下：

11）CTI依然面臨的主要挑戰。主要仍是人員素質和水平、預算。

最後，引用一段SANS分析師的原話做爲結束：

According to John Pescatore, SANS’director of emerging technologies, increasing automation and adding more staff are not the approaches organizations should take. He says, 「The real successes in cyber security have been where skills are continually upgraded, staff growth is moderate and next-generation cyber security tools are used to act as ‘force multipliers’ that enable limited staff to keep up with the speed of both threats and business demands.」

【參考】

SANS：2017年網絡威脅情報現狀調研報告

SANS：2016年網絡威脅情報現狀調研報告