SANS：2019年网络威胁情报现状调研报告

2019年2月，SANS照例发布了全新年度的CTI（网络威胁情报）现状调研报告。

今年的报告更换了主笔分析师。但SANS对CTI的广义定义依然没有变。总体上，SANS认为CTI的应用越发成熟，其发挥的价值也越来越大，CTI的应用正逐步深化。

1）报告显示，72%的受访组织生产或消费了CTI，比2017年的60%有显著提升。

2）更多的组织开始关注情报报告，但认为将那些情报报告中的有用信息转换为机读情报比较麻烦【笔者注：一方面，现在有一些开源的报告情报信息提取工具；另一方面，情报报告的提供者开始一并提供配套的机读情报】。3）情报价值的发挥越发依赖于与情报与组织的特定相关性，而非泛泛的情报。

4）组织越来越关注情报的应用，而非数据的收集和处理。

以下摘录笔者感兴趣的部分调研结果：

【笔者注：里面有一些数据我觉得前后矛盾，语焉不详，让人摸不清头脑】1）81%的受访者认为CTI对于安全阻断/检测/响应是有价值的

如何更加客观地评价CTI的价值？SANS推荐了一个度量指标：有CTI参与的安全事件平均解决时间，并将这个指标与无CTI参与的安全事件平均解决时间进行对比。

2）SANS让受访者针对4种使用CTI进行分析的方法进行排序，结果显示IoC排名第一，往后依次是TTP、数字足迹识别、战略分析。也就是说，最主流的使用CTI的方法就是收集和比对IoC（失陷指标）。SANS认为这表明大家对CTI的理解还不够深入，认为将来大家应该逐步将焦点放到TTP上，也就是更加关注威胁的行为和对手方所采用的TTP，譬如对MITRE的ATT&CK就是这类应用的一个实例。

3）在情报收集方面，最主要的情报来源还是外部情报，尤其是外部的开源情报，而在针对内部情报收集方面显得不足【而内部情报与组织自身的相关性更高，更有价值，是未来深化的一个方向】

4）在利用CTI做什么的问题上，SANS调研了以下使用用例（场景），并表示用例比较分散，尚没有领导性场景。安全运维类的用例居多。

5）当前和未来最有价值的威胁情报类型排名：

可以看到目前主要发挥价值的CTI是漏洞情报、包括组织品牌/重要个人/IP的威胁告警和攻|击指标、恶意代码和攻|击趋势。跟 去年的

差不多。同时，对攻|击者的溯源目前价值排在最后，但对其未来的期许排名最高。

6）CTI的价值分析，SANS从12个维度来调查CTI的价值。这12个维度也可以认为是CTI的12种价值点。

7）SANS还设定了15个维度的指标去调查CTI的满意度，也可以认为是怎样才算一个好的威胁情报的15个方面。

8）情报采集处理时最关键的操作有哪些？

SANS认为最关键的几个操作包括：信息去重、基于外部公开情报的数据丰富化、基于外部商业情报的数据丰富化、基于内部情报的数据丰富化、恶意代码样本的逆向、情报信息的通用格式标准化（范式化）。

9）针对情报管理与集成这部分，SANS的报告依然显示SIEM平台是最主要的手段（82%），其次是与NTA整合（77%），再往后使用电子表格/EMail来管理和CTI，而借助商业TIP（威胁情报平台）（66%）和开源TIP（64%）跟随其后。这个 排序 跟去年基本一致。

声明：本文来自叶蓬，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。