内容简介:2019年2月,SANS照例发布了全新年度的CTI(网络威胁情报)现状调研报告。今年的报告更换了主笔分析师。但SANS对CTI的广义定义依然没有变。总体上,SANS认为CTI的应用越发成熟,其发挥的价值也越来越大,CTI的应用正逐步深化。1)报告显示,72%的受访组织生产或消费了CTI,比2017年的60%有显著提升。
2019年2月,SANS照例发布了全新年度的CTI(网络威胁情报)现状调研报告。
今年的报告更换了主笔分析师。但SANS对CTI的广义定义依然没有变。总体上,SANS认为CTI的应用越发成熟,其发挥的价值也越来越大,CTI的应用正逐步深化。
1)报告显示,72%的受访组织生产或消费了CTI,比2017年的60%有显著提升。
2)更多的组织开始关注情报报告,但认为将那些情报报告中的有用信息转换为机读情报比较麻烦【笔者注:一方面,现在有一些开源的报告情报信息提取工具;另一方面,情报报告的提供者开始一并提供配套的机读情报】。3)情报价值的发挥越发依赖于与情报与组织的特定相关性,而非泛泛的情报。4)组织越来越关注情报的应用,而非数据的收集和处理。
以下摘录笔者感兴趣的部分调研结果:
【笔者注:里面有一些数据我觉得前后矛盾,语焉不详,让人摸不清头脑】1)81%的受访者认为CTI对于安全阻断/检测/响应是有价值的如何更加客观地评价CTI的价值?SANS推荐了一个度量指标:有CTI参与的安全事件平均解决时间,并将这个指标与无CTI参与的安全事件平均解决时间进行对比。
2)SANS让受访者针对4种使用CTI进行分析的方法进行排序,结果显示IoC排名第一,往后依次是TTP、数字足迹识别、战略分析。也就是说,最主流的使用CTI的方法就是收集和比对IoC(失陷指标)。SANS认为这表明大家对CTI的理解还不够深入,认为将来大家应该逐步将焦点放到TTP上,也就是更加关注威胁的行为和对手方所采用的TTP,譬如对MITRE的ATT&CK就是这类应用的一个实例。
3)在情报收集方面,最主要的情报来源还是外部情报,尤其是外部的开源情报,而在针对内部情报收集方面显得不足【而内部情报与组织自身的相关性更高,更有价值,是未来深化的一个方向】
4)在利用CTI做什么的问题上,SANS调研了以下使用用例(场景),并表示用例比较分散,尚没有领导性场景。安全运维类的用例居多。
5)当前和未来最有价值的威胁情报类型排名:
可以看到目前主要发挥价值的CTI是漏洞情报、包括组织品牌/重要个人/IP的威胁告警和攻|击指标、恶意代码和攻|击趋势。跟 去年的差不多。同时,对攻|击者的溯源目前价值排在最后,但对其未来的期许排名最高。
6)CTI的价值分析,SANS从12个维度来调查CTI的价值。这12个维度也可以认为是CTI的12种价值点。
7)SANS还设定了15个维度的指标去调查CTI的满意度,也可以认为是怎样才算一个好的威胁情报的15个方面。
8)情报采集处理时最关键的操作有哪些?
SANS认为最关键的几个操作包括:信息去重、基于外部公开情报的数据丰富化、基于外部商业情报的数据丰富化、基于内部情报的数据丰富化、恶意代码样本的逆向、情报信息的通用格式标准化(范式化)。
9)针对情报管理与集成这部分,SANS的报告依然显示SIEM平台是最主要的手段(82%),其次是与NTA整合(77%),再往后使用电子表格/EMail来管理和CTI,而借助商业TIP(威胁情报平台)(66%)和开源TIP(64%)跟随其后。这个 排序 跟去年基本一致。
声明:本文来自叶蓬,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- Flutter技术调研报告
- Golang 社区调研报告
- 解析《2019 年度中国测试行业问卷调研报告》
- EasyStack位列2018 OpenStack用户调研报告全球前三甲
- 2019企业IT现状和趋势调研报告:70.7%的企业有云原生相关计划
- 威胁情报专栏:谈谈我所理解的威胁情报——认识情报
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
如何把事情做到最好
乔治·伦纳德 / 张乐 / 中国青年出版社 / 2014-2 / 29.90元
•改变全球9800万人的人生指导书 •全美第一本系统阐述学习与成功之道的经典著作 •长期盘踞全美畅销书榜单 •21年后,这本传奇之书终于在中国震撼上市 •把事情做到最好,第一不强求天赋,第二不介意起步的早晚,你要做的就是“起步走”并“不停地走” 《如何把事情做到最好》出 版于1992年,经久不衰,经过一代又一代的读者口碑相传后,畅销至今。作者以其独特的视角告诉人们,如......一起来看看 《如何把事情做到最好》 这本书的介绍吧!
MD5 加密
MD5 加密工具
html转js在线工具
html转js在线工具