SANS:2017年网络威胁情报现状调研报告

时间  2021-01-04
标签 安全 微信 网络 ide 工具 学习 spa 3d blog 排序 栏目 系统网络 繁體版
原文   原文链接

【注:SANS2017年度的报告出炉后,我一直没空摘译出来,正好华为的“张三丰”在微信公众号中发表了出来,我就不费劲了,转贴于此】安全


SANS今年针对情报的调查报告刚刚发布,认真拜读了一下,学习行业对情报的使用状况和落地的发力点。做为第三年的调查报告被命名为“Cyber Threat Intelligence Uses, Successes and Failures”(去年是CTI Important and Maturing)。有60%的受访企业已经使用了情报还有25%的企业计划使用。78%受访者认为情报可以提升他们的安全及响应的能力。经过今年的报告,整体感受,情报价值的可衡量仍然是一个难题,今年报告的参考价值(使用场景、落地方面)比不上去年的那么详细具体。下面挑出了情报来源、使用、工具整合、收益等几个有意思的数据记录一下。

情报数据来源

情报数据来源,和去年调查报告同样占第一位的仍是来自行业或者社区例如CERT之类的,而今年不同的是来自内部数据也占了很大席位(去年46%排到第四位,今年排第二位)。

    社区或行业组织提供例如CERT,73%

    各类内部数据(使用现有的安全工具和feed),54%

    安全厂商提供的feed,52%

    开源情报,50%

    情报厂商提供的feed

    其余正式和非正式团队因兴趣而贡献的
wKioL1jfCsjiRJKTAABtpM3dEMc245.jpg
微信

2016年的报告还有一项调查是受访者使用什么安全厂商的feed比较多,去年最高的得票是IDS/IPS/防火墙厂商的feed。也许今年安全厂商类的feed降低到第三位了,因此没有单列这个调查结果。

处理情报数据

受访企业的反馈中,占最多的(19%)他们大体每周能处理11~100个indicator,而(占22%的反馈者)表示每周可以有效利用的indicator是1~10个。但其实反馈数据中还有35%的企业其实不知道每周能处理多少indicator,有43.6%的受访者也不知道有多少可以有效利用。不过SANS的报告强调不知道具体的数字与认为没有用(占0.4%)是彻底两回事。之因此会出现“不知道”极可能是由于目前的情报还未很成熟,情报厂商和情报的使用者之间对情报的有效使用还有gap,客户还不知道如何有效的使用这些情报。
wKiom1jfCvXDKeOuAACxFa23UxA803.jpg
网络

情报的使用

关于情报的使用场景,72%受访者在定位(***)源和拦截恶意活动和威胁中使用威胁情报,72%受访者在incident response中使用威胁情报。其余还包括:

    安全感知(向管理层或团队汇报趋势数据和报告)

    威胁管理(识别威胁)

    漏洞管理

    威胁狩猎(用IoC去hunting)

    合规

    安全优先排序

    IT运营

    漏洞优先排序

    管理层感知

    威胁建模

    预算和花费的优先排序
wKiom1jfCzCh6AcCAACii5Jirm4667.jpg
ide

情报的收益

情报在安全上带来的提高,19%的受访者认为在阻止和检测方面能够提高50%~75%,在响应方面,18%的受访者认为能够提高11%~25%或者26%~50%。可是其实最大部分反馈的是unknown,特别是响应方面,去年的调查中对响应的提高有19%表示unknown,而今年提高到31%。这代表其实比去年更少组织可以准确衡量情报带来的提高。可是不能衡量和没有提高是两个不一样的概念,由于只有0.5%的受访者认为不能提高。报告里面提到情报对安全的(可衡量的)提高程度之因此低,可能跟情报还缺少成熟的实现和程序整合有关
wKiom1jfC1_CR0LiAACmawWlwp8326.jpg
工具

再具体一点,受访者最明显感受到情报在安全上带来的提高是对影响企业的威胁和***手法有更好的“看得见”的能力(72%),第二个明显的感受分别是提供安全运营和检测未知威胁上(都占了63%),其他还包括阻止了数据泄露和提高事件检测和响应时间上(刚过50%)
wKioL1jfC4GwKhdQAACfPftGgpo652.jpg
学习

2016年的报告则更具体的指出了几个情报的使用场景,例如拦截恶意域名或IP(63%),在调查中丰富上下文信息(50%)等

情报的实现与整合

情报依托的工具。从受访者的调查反馈看,情报的聚合、分析和表现依托的工具主要仍是SIEM,其次是网络流量分析工具,第三位是***监控平台(去年是第二位),而商业的威胁情报管理平台则位于第五位。比较有趣的是最原始的Excel和email占据了第四的位置
wKiom1jfC8GiZ89oAAC3wloLDWM696.jpg
spa

具体对feed的整合,经过API占了主流,这个调查结果和去年差很少。反馈结果显示47%用厂商提供的API,46%用自定义的API,41%经过专门的情报平台包括商业或者开源的。
3d

wKioL1jfC_SDgSyUAAB64D6fmBk102.jpg

情报标准

最后情报使用的标准,今年的调查结果STIX(40%),OpenIOC(38%)稍微略高一点,可是报告指出综合这几年的调查看,几大共享情报标准(去年STIX是29%)的结果数据其实起伏较大,整体来讲没有真正的赢家。
wKiom1jfDBPROi_UAACHA66GXHE353.jpg
blog

今年的报告还有其余一些数据,例如制约企业使用情报的因素(无非就是人员和资金投入还有流程),情报从业者所须要的技能,受访者在企业安全中的角色等等。排序


【参考】

SANS:2016年网络威胁情报现状调研报告

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程