SANS：2019年网络威胁情报现状调研报告

2019年2月，SANS照例发布了全新年度的CTI（网络威胁情报）现状调研报告。

今年的报告更换了主笔分析师。但SANS对CTI的广义定义依然没有变。整体上，SANS认为CTI的应用愈加成熟，其发挥的价值也愈来愈大，CTI的应用正逐步深化。
1）报告显示，72%的受访组织生产或消费了CTI，比2017年的60%有显著提高。

2）更多的组织开始关注情报报告，但认为将那些情报报告中的有用信息转换为机读情报比较麻烦【笔者注：一方面，如今有一些开源的报告情报信息提取工具；另外一方面，情报报告的提供者开始一并提供配套的机读情报】。
3）情报价值的发挥愈加依赖于与情报与组织的特定相关性，而非泛泛的情报。
4）组织愈来愈关注情报的应用，而非数据的收集和处理。

如下摘录笔者感兴趣的部分调研结果：
【笔者注：里面有一些数据我以为先后矛盾，语焉不详，让人摸不清头脑】
1）81%的受访者认为CTI对于安全阻断/检测/响应是有价值的

如何更加客观地评价CTI的价值？SANS推荐了一个度量指标：有CTI参与的安全事件平均解决时间，并将这个指标与无CTI参与的安全事件平均解决时间进行对比。

2）SANS让受访者针对4种使用CTI进行分析的方法进行排序，结果显示IoC排名第一，日后依次是TTP、数字足迹识别、战略分析。也就是说，最主流的使用CTI的方法就是收集和比对IoC（失陷指标）。SANS认为这代表你们对CTI的理解还不够深刻，认为未来你们应该逐步将焦点放到TTP上，也就是更加关注威胁的行为和对手方所采用的TTP，譬如对MITRE的ATT&CK就是这类应用的一个实例。

3）在情报收集方面，最主要的情报来源仍是外部情报，尤为是外部的开源情报，而在针对内部情报收集方面显得不足【而内部情报与组织自身的相关性更高，更有价值，是将来深化的一个方向】

4）在利用CTI作什么的问题上，SANS调研了如下使用用例（场景），并表示用例比较分散，尚没有领导性场景。安全运维类的用例居多。

5）当前和将来最有价值的威胁情报类型排名：

能够看到目前主要发挥价值的CTI是漏洞情报、包括组织品牌/重要我的/IP的威胁告警和攻|击指标、恶意代码和攻|击趋势。跟去年的差很少。同时，对攻|击者的溯源目前价值排在最后，但对其将来的期许排名最高。

6）CTI的价值分析，SANS从12个维度来调查CTI的价值。这12个维度也能够认为是CTI的12种价值点。

7）SANS还设定了15个维度的指标去调查CTI的满意度，也能够认为是怎样才算一个好的威胁情报的15个方面。

8）情报采集处理时最关键的操做有哪些？

SANS认为最关键的几个操做包括：信息去重、基于外部公开情报的数据丰富化、基于外部商业情报的数据丰富化、基于内部情报的数据丰富化、恶意代码样本的逆向、情报信息的通用格式标准化（范式化）。

9）针对情报管理与集成这部分，SANS的报告依然显示SIEM平台是最主要的手段（82%），其次是与NTA整合（77%），再日后使用电子表格/EMail来管理和CTI，而借助商业TIP（威胁情报平台）（66%）和开源TIP（64%）跟随其后。这个排序跟去年基本一致。

【参考】

SANS：2018年网络威胁情报现状调研报告

SANS：2017年网络威胁情报现状调研报告

SANS：2016年网络威胁情报现状调研报告