SANS：2019年網絡威脅情報現狀調研報告

2019年2月，SANS照例發佈了全新年度的CTI（網絡威脅情報）現狀調研報告。

今年的報告更換了主筆分析師。但SANS對CTI的廣義定義依然沒有變。整體上，SANS認爲CTI的應用愈加成熟，其發揮的價值也愈來愈大，CTI的應用正逐步深化。
1）報告顯示，72%的受訪組織生產或消費了CTI，比2017年的60%有顯著提高。

2）更多的組織開始關注情報報告，但認爲將那些情報報告中的有用信息轉換爲機讀情報比較麻煩【筆者注：一方面，如今有一些開源的報告情報信息提取工具；另外一方面，情報報告的提供者開始一併提供配套的機讀情報】。
3）情報價值的發揮愈加依賴於與情報與組織的特定相關性，而非泛泛的情報。
4）組織愈來愈關注情報的應用，而非數據的收集和處理。

如下摘錄筆者感興趣的部分調研結果：
【筆者注：裏面有一些數據我以爲先後矛盾，語焉不詳，讓人摸不清頭腦】
1）81%的受訪者認爲CTI對於安全阻斷/檢測/響應是有價值的

如何更加客觀地評價CTI的價值？SANS推薦了一個度量指標：有CTI參與的安全事件平均解決時間，並將這個指標與無CTI參與的安全事件平均解決時間進行對比。

2）SANS讓受訪者針對4種使用CTI進行分析的方法進行排序，結果顯示IoC排名第一，日後依次是TTP、數字足跡識別、戰略分析。也就是說，最主流的使用CTI的方法就是收集和比對IoC（失陷指標）。SANS認爲這代表你們對CTI的理解還不夠深刻，認爲未來你們應該逐步將焦點放到TTP上，也就是更加關注威脅的行爲和對手方所採用的TTP，譬如對MITRE的ATT&CK就是這類應用的一個實例。

3）在情報收集方面，最主要的情報來源仍是外部情報，尤爲是外部的開源情報，而在針對內部情報收集方面顯得不足【而內部情報與組織自身的相關性更高，更有價值，是將來深化的一個方向】

4）在利用CTI作什麼的問題上，SANS調研瞭如下使用用例（場景），並表示用例比較分散，尚沒有領導性場景。安全運維類的用例居多。

5）當前和將來最有價值的威脅情報類型排名：

能夠看到目前主要發揮價值的CTI是漏洞情報、包括組織品牌/重要我的/IP的威脅告警和攻|擊指標、惡意代碼和攻|擊趨勢。跟去年的差很少。同時，對攻|擊者的溯源目前價值排在最後，但對其將來的期許排名最高。

6）CTI的價值分析，SANS從12個維度來調查CTI的價值。這12個維度也能夠認爲是CTI的12種價值點。

7）SANS還設定了15個維度的指標去調查CTI的滿意度，也能夠認爲是怎樣纔算一個好的威脅情報的15個方面。

8）情報採集處理時最關鍵的操做有哪些？

SANS認爲最關鍵的幾個操做包括：信息去重、基於外部公開情報的數據豐富化、基於外部商業情報的數據豐富化、基於內部情報的數據豐富化、惡意代碼樣本的逆向、情報信息的通用格式標準化（範式化）。

9）針對情報管理與集成這部分，SANS的報告依然顯示SIEM平臺是最主要的手段（82%），其次是與NTA整合（77%），再日後使用電子表格/EMail來管理和CTI，而藉助商業TIP（威脅情報平臺）（66%）和開源TIP（64%）跟隨其後。這個排序跟去年基本一致。

【參考】

SANS：2018年網絡威脅情報現狀調研報告

SANS：2017年網絡威脅情報現狀調研報告

SANS：2016年網絡威脅情報現狀調研報告