SANS：2019年网络威胁情报现状调研报告

【按】本文不是译文，包含了笔者我的体会和解读。本文首发于我的微信公众号。

2020年2月， SANS发布了一年一度的网络威|胁情报(CTI)调研报告。

SANS将CTI定义为“知足利益相关者特定需求的、通过分析加工的、有关敌对方能力、机会和意图的信息”（Cyber Threat Intelligence is analyzed information about the capabilities, opportunities and intent of adversaries that meets a specific requirement determined by a stakeholder）。这个定义跟2019年度的措词略有不一样，更加简练。这个定义包括如下几层意思：

1）威|胁情报是一种信息，一种通过了加工（分析、提炼）的信息；

2）这种信息是相对于特定使用者而言，要知足其特定的需求。也就是说对你多是情报，但对我可能不是情报，有明确的使用者属性；

3）情报是关于敌对方的，涉及它的能力、机会和意图。

 

此次的调研收到了大量的参与者，有1006个受访者参与调研，比2019年的505人增长了一倍。

SANS给出了五点关键发现：

·      协做很关键，包括内外部之间，内部不一样团队之间，等等多个方面；

·      不是全部的过程都须要同一个级别的自动化水平，对于某些场景，半自动化其实刚恰好，全自动不见得就是最佳选择；

·      情报应用（尤为是内生情报）的升级带来了相关数据和工具的变化；

·      需求是情报流程和团队的关键

·      情报社区须要生产者和消费者共同努力，超过40%的受访者即消费情报也生产情报，这是情报应用成熟的标志

 

如下笔者列举部分感兴趣的结论：

1）SIEM依然是首要的应用威|胁情报的工具/系统，高于去年的水平，而且自动化程度也最高的。

排在SIEM后面的依次为NTA、***监控平台【文中未给出定义】、开源情报管理平台（开源TIP）。值得注意的是，商业TIP的使用比例虽然上升，但排名却降低了。

 

---------

【这里插入一段笔者本身的体会】

随着CTI技术的日益成熟，情报的生产和消费的界限愈来愈模糊。笔者考虑使用“情报的输出者”（intelligence provider）和“情报的应用者”（intelligence user）来区分原来的生产者与消费者【若是有更好的术语/名词，欢迎提供/留言给我择优选择】。不管是输出者仍是应用者，都包括生产情报和消费情报的环节。

对于输出者，譬如情报提供商，它为了生产情报，其实也在不断的消费本身甚至第三方的初级情报，以产生更高级的情报。更进一步来讲，若是要提高情报的质量，对于情报提供商而言，必须从客户侧得到反馈信息。也就是说，情报应用者输出的情报对于情报提供商颇有价值。譬如，对于APT攻|击而言，只有特定的受害者才能接触到相关的攻|击源，而这是情报提供商难以得到的。

而对于情报的应用者，不只要运用外部情报去更好地实施阻断、检测与响应，还须要以这些外部情报为线索，经过分析和加工，产生本身的威|胁情报（内部情报），并向外、或者向下/上/同行进行输出与分享。某种程度上而言，对于应用者而言，利用外部情报仅仅是开始，只有产生本身的情报才有价值，而这个过程也是从追求情报IOC到情报TTP的演进过程。换句话说，对本身有价值的情报TTP大部分都是结合自身的状况得到的，而很难是情报提供商直接给予的。这也是ATT&CK在甲方盛行起来的缘由之一。

能够看出，将来情报提供商和应用者要紧密协做，互通有无，才能提高情报的价值。

所以，至少在情报处理的方法论上，不管是提供者仍是应用者，都是大致类似的，只是侧重点有所不一样。

---------

也正如SANS报告所述，它给出了一个情报处理环：

事实上，SANS的CTI调研报告受访者一直都是用户和提供商混在一块儿的。

 

2）情报收集的来源统计，以下图：

对比去年，几乎列出来的全部来源的比例都升高了。其中，开源情报依然是最大的来源。值得注意的是，情报供应商（CTI-specific vendors）的feed排名相较于去年跃居第二，符合笔者的预期。

 

3）威|胁情报的对网络安全价值是毋庸置疑的，今年再也不统计这个问题了，转而询问威|胁情报主要应用哪一个领域，以下图：

显然，最主要的应用领域是检测。

 

4）对于使用CTI进行分析的四种方法，排第一的仍是IOC，紧跟着是TTP，再日后是数字痕迹/攻|击面识别【文中没有给出定义，笔者猜想是攻|击路径分析】和敌对方战略分析，跟去年排序同样。

今年的报告，SANS依然鼓励你们将分析的方法论从以IOC为出发点转向以TTP为出发点。对此，我其实在《谈谈情报引领的安全体系建设落地》一文中讲到了：避免一上来就比对IOC，转而先进行其它分析（譬如TTP分析、行为分析），再利用IOC作核实。

5）此次的调研还增长了一个问题，即抑制CTI有效应用的因素有哪些，以下图：

【参考】

SANS：2019年网络威胁情报现状调研报告

SANS：2018年网络威胁情报现状调研报告

SANS：2017年网络威胁情报现状调研报告

SANS：2016年网络威胁情报现状调研报告