SANS：2019年網絡威脅情報現狀調研報告

【按】本文不是譯文，包含了筆者我的體會和解讀。本文首發於我的微信公衆號。

2020年2月， SANS發佈了一年一度的網絡威|脅情報(CTI)調研報告。

SANS將CTI定義爲「知足利益相關者特定需求的、通過分析加工的、有關敵對方能力、機會和意圖的信息」（Cyber Threat Intelligence is analyzed information about the capabilities, opportunities and intent of adversaries that meets a specific requirement determined by a stakeholder）。這個定義跟2019年度的措詞略有不一樣，更加簡練。這個定義包括如下幾層意思：

1）威|脅情報是一種信息，一種通過了加工（分析、提煉）的信息；

2）這種信息是相對於特定使用者而言，要知足其特定的需求。也就是說對你多是情報，但對我可能不是情報，有明確的使用者屬性；

3）情報是關於敵對方的，涉及它的能力、機會和意圖。

 

此次的調研收到了大量的參與者，有1006個受訪者參與調研，比2019年的505人增長了一倍。

SANS給出了五點關鍵發現：

·      協做很關鍵，包括內外部之間，內部不一樣團隊之間，等等多個方面；

·      不是全部的過程都須要同一個級別的自動化水平，對於某些場景，半自動化其實剛恰好，全自動不見得就是最佳選擇；

·      情報應用（尤爲是內生情報）的升級帶來了相關數據和工具的變化；

·      需求是情報流程和團隊的關鍵

·      情報社區須要生產者和消費者共同努力，超過40%的受訪者即消費情報也生產情報，這是情報應用成熟的標誌

 

如下筆者列舉部分感興趣的結論：

1）SIEM依然是首要的應用威|脅情報的工具/系統，高於去年的水平，而且自動化程度也最高的。

排在SIEM後面的依次爲NTA、***監控平臺【文中未給出定義】、開源情報管理平臺（開源TIP）。值得注意的是，商業TIP的使用比例雖然上升，但排名卻降低了。

 

---------

【這裏插入一段筆者本身的體會】

隨着CTI技術的日益成熟，情報的生產和消費的界限愈來愈模糊。筆者考慮使用「情報的輸出者」（intelligence provider）和「情報的應用者」（intelligence user）來區分原來的生產者與消費者【若是有更好的術語/名詞，歡迎提供/留言給我擇優選擇】。不管是輸出者仍是應用者，都包括生產情報和消費情報的環節。

對於輸出者，譬如情報提供商，它爲了生產情報，其實也在不斷的消費本身甚至第三方的初級情報，以產生更高級的情報。更進一步來講，若是要提高情報的質量，對於情報提供商而言，必須從客戶側得到反饋信息。也就是說，情報應用者輸出的情報對於情報提供商頗有價值。譬如，對於APT攻|擊而言，只有特定的受害者才能接觸到相關的攻|擊源，而這是情報提供商難以得到的。

而對於情報的應用者，不只要運用外部情報去更好地實施阻斷、檢測與響應，還須要以這些外部情報爲線索，經過分析和加工，產生本身的威|脅情報（內部情報），並向外、或者向下/上/同行進行輸出與分享。某種程度上而言，對於應用者而言，利用外部情報僅僅是開始，只有產生本身的情報纔有價值，而這個過程也是從追求情報IOC到情報TTP的演進過程。換句話說，對本身有價值的情報TTP大部分都是結合自身的狀況得到的，而很難是情報提供商直接給予的。這也是ATT&CK在甲方盛行起來的緣由之一。

能夠看出，將來情報提供商和應用者要緊密協做，互通有無，才能提高情報的價值。

所以，至少在情報處理的方法論上，不管是提供者仍是應用者，都是大致類似的，只是側重點有所不一樣。

---------

也正如SANS報告所述，它給出了一個情報處理環：

事實上，SANS的CTI調研報告受訪者一直都是用戶和提供商混在一塊兒的。

 

2）情報收集的來源統計，以下圖：

對比去年，幾乎列出來的全部來源的比例都升高了。其中，開源情報依然是最大的來源。值得注意的是，情報供應商（CTI-specific vendors）的feed排名相較於去年躍居第二，符合筆者的預期。

 

3）威|脅情報的對網絡安全價值是毋庸置疑的，今年再也不統計這個問題了，轉而詢問威|脅情報主要應用哪一個領域，以下圖：

顯然，最主要的應用領域是檢測。

 

4）對於使用CTI進行分析的四種方法，排第一的仍是IOC，緊跟着是TTP，再日後是數字痕跡/攻|擊面識別【文中沒有給出定義，筆者猜想是攻|擊路徑分析】和敵對方戰略分析，跟去年排序同樣。

今年的報告，SANS依然鼓勵你們將分析的方法論從以IOC爲出發點轉向以TTP爲出發點。對此，我其實在《談談情報引領的安全體系建設落地》一文中講到了：避免一上來就比對IOC，轉而先進行其它分析（譬如TTP分析、行爲分析），再利用IOC作覈實。

5）此次的調研還增長了一個問題，即抑制CTI有效應用的因素有哪些，以下圖：

【參考】

SANS：2019年網絡威脅情報現狀調研報告

SANS：2018年網絡威脅情報現狀調研報告

SANS：2017年網絡威脅情報現狀調研報告

SANS：2016年網絡威脅情報現狀調研報告