SANS:2017年網絡威脅情報現狀調研報告

時間  2021-01-04
標籤 安全 微信 網絡 ide 工具 學習 spa 3d blog 排序 欄目 系統網絡 简体版
原文   原文鏈接

【注:SANS2017年度的報告出爐後,我一直沒空摘譯出來,正好華爲的「張三丰」在微信公衆號中發表了出來,我就不費勁了,轉貼於此】安全


SANS今年針對情報的調查報告剛剛發佈,認真拜讀了一下,學習行業對情報的使用狀況和落地的發力點。做爲第三年的調查報告被命名爲「Cyber Threat Intelligence Uses, Successes and Failures」(去年是CTI Important and Maturing)。有60%的受訪企業已經使用了情報還有25%的企業計劃使用。78%受訪者認爲情報可以提升他們的安全及響應的能力。經過今年的報告,整體感受,情報價值的可衡量仍然是一個難題,今年報告的參考價值(使用場景、落地方面)比不上去年的那麼詳細具體。下面挑出了情報來源、使用、工具整合、收益等幾個有意思的數據記錄一下。

情報數據來源

情報數據來源,和去年調查報告同樣佔第一位的仍是來自行業或者社區例如CERT之類的,而今年不同的是來自內部數據也佔了很大席位(去年46%排到第四位,今年排第二位)。

    社區或行業組織提供例如CERT,73%

    各類內部數據(使用現有的安全工具和feed),54%

    安全廠商提供的feed,52%

    開源情報,50%

    情報廠商提供的feed

    其餘正式和非正式團隊因興趣而貢獻的
wKioL1jfCsjiRJKTAABtpM3dEMc245.jpg
微信

2016年的報告還有一項調查是受訪者使用什麼安全廠商的feed比較多,去年最高的得票是IDS/IPS/防火牆廠商的feed。也許今年安全廠商類的feed降低到第三位了,因此沒有單列這個調查結果。

處理情報數據

受訪企業的反饋中,佔最多的(19%)他們大體每週能處理11~100個indicator,而(佔22%的反饋者)表示每週可以有效利用的indicator是1~10個。但其實反饋數據中還有35%的企業其實不知道每週能處理多少indicator,有43.6%的受訪者也不知道有多少可以有效利用。不過SANS的報告強調不知道具體的數字與認爲沒有用(佔0.4%)是徹底兩回事。之因此會出現「不知道」極可能是由於目前的情報還未很成熟,情報廠商和情報的使用者之間對情報的有效使用還有gap,客戶還不知道如何有效的使用這些情報。
wKiom1jfCvXDKeOuAACxFa23UxA803.jpg
網絡

情報的使用

關於情報的使用場景,72%受訪者在定位(***)源和攔截惡意活動和威脅中使用威脅情報,72%受訪者在incident response中使用威脅情報。其餘還包括:

    安全感知(向管理層或團隊彙報趨勢數據和報告)

    威脅管理(識別威脅)

    漏洞管理

    威脅狩獵(用IoC去hunting)

    合規

    安全優先排序

    IT運營

    漏洞優先排序

    管理層感知

    威脅建模

    預算和花費的優先排序
wKiom1jfCzCh6AcCAACii5Jirm4667.jpg
ide

情報的收益

情報在安全上帶來的提高,19%的受訪者認爲在阻止和檢測方面能夠提高50%~75%,在響應方面,18%的受訪者認爲能夠提高11%~25%或者26%~50%。可是其實最大部分反饋的是unknown,特別是響應方面,去年的調查中對響應的提高有19%表示unknown,而今年提高到31%。這代表其實比去年更少組織可以準確衡量情報帶來的提高。可是不能衡量和沒有提高是兩個不一樣的概念,由於只有0.5%的受訪者認爲不能提高。報告裏面提到情報對安全的(可衡量的)提高程度之因此低,可能跟情報還缺少成熟的實現和程序整合有關
wKiom1jfC1_CR0LiAACmawWlwp8326.jpg
工具

再具體一點,受訪者最明顯感受到情報在安全上帶來的提高是對影響企業的威脅和***手法有更好的「看得見」的能力(72%),第二個明顯的感受分別是提供安全運營和檢測未知威脅上(都佔了63%),其他還包括阻止了數據泄露和提高事件檢測和響應時間上(剛過50%)
wKioL1jfC4GwKhdQAACfPftGgpo652.jpg
學習

2016年的報告則更具體的指出了幾個情報的使用場景,例如攔截惡意域名或IP(63%),在調查中豐富上下文信息(50%)等

情報的實現與整合

情報依託的工具。從受訪者的調查反饋看,情報的聚合、分析和表現依託的工具主要仍是SIEM,其次是網絡流量分析工具,第三位是***監控平臺(去年是第二位),而商業的威脅情報管理平臺則位於第五位。比較有趣的是最原始的Excel和email佔據了第四的位置
wKiom1jfC8GiZ89oAAC3wloLDWM696.jpg
spa

具體對feed的整合,經過API佔了主流,這個調查結果和去年差很少。反饋結果顯示47%用廠商提供的API,46%用自定義的API,41%經過專門的情報平臺包括商業或者開源的。
3d

wKioL1jfC_SDgSyUAAB64D6fmBk102.jpg

情報標準

最後情報使用的標準,今年的調查結果STIX(40%),OpenIOC(38%)稍微略高一點,可是報告指出綜合這幾年的調查看,幾大共享情報標準(去年STIX是29%)的結果數據其實起伏較大,整體來講沒有真正的贏家。
wKiom1jfDBPROi_UAACHA66GXHE353.jpg
blog

今年的報告還有其餘一些數據,例如制約企業使用情報的因素(無非就是人員和資金投入還有流程),情報從業者所須要的技能,受訪者在企業安全中的角色等等。排序


【參考】

SANS:2016年網絡威脅情報現狀調研報告

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程