2018年2月初,SANS发布了一年一度的网络威胁情报调研报告。以下是本人的一些理解和内容摘录。

21.jpg

报告给出了SANS对CTI的定义:收集、整理和探寻关于对手方的知识。collection, classification, and exploitation of knowledge about adversaries。以及“analyzed information about the intent, opportunity and capability of cyber threats”(针对网络威胁意图、机会和能力的分析信息)。这个定义比较宽泛。

报告显示,不少结果与去年的分析基本一致。譬如CTI的主要使用场景还是安全运营、应急响应和安全意识提升。SIEM依然是集成威胁情报的最佳选择

SANS认为调研显示北美地区对威胁情报的收集、集成和使用已经趋于成熟。下面就进一步看看接近成熟的威胁情报市场是个什么样子吧。

需要特别指出的是,SANS调研中对CTI的理解跟Gartner以及我的理解是不同的,SANS对CTI的界定更加广泛,不仅包括严格意义上的威胁情报,还包括了漏洞情报,并且将特征库(譬如恶意代码签名)也算在内。事实上,在全世界范围内的威胁情报的具体实践中,上述问题一直就比较模糊。尤其是对特征库的认定,往往看作是最基本/简单的威胁情报,而我们看到的大部分威胁情报信息其实就是signature!严格来说,我比较赞同Gatner的Anton Chuvakin的观点,即威胁情报不是签名!本人认为,由于这种宽泛的界定,降低了SANS这份威胁情报报告对于威胁情报利用情况的分析敏感度,从而失去了不少价值。

1)威胁情报的普及程度:调查显示,没有使用威胁情报,也没有计划使用威胁情报的受访者比例只有11%,比去年的15%进一步降低。

2)更加注重内部威胁情报:尽管外部情报仍然是用户主要的威胁情报来源,但对内部情报的重视程度显著上升。所谓内部情报就是指借助自身的安全基础设施和分析能力获得情报,这类情报与用户自身的相关度更高,有效性更强,是威胁情报下一步发力的重点。

3)威胁情报更多用于安全运营,包括:威胁检测、威胁阻断、威胁捕猎、威胁管理,等等。

22.jpg

4)人员配备上,41.5%的受访者有专门的威胁情报团队,12%表示至少有一个专人,31%表示有兼职人员,而没有人负责威胁情报的情况只有16%。

5)威胁情报跟SOC团队的相关性最高,也表明SOC最需要威胁情报,或者说威胁情报最适合跟SOC集成。

23.jpg

6)什么类型威胁情报最有用?包括:***中用到的恶意代码指示器(其实还是恶意代码签名)81%,***者利用的漏洞(其实就是漏洞信息)79%,***者趋势76%,IoC(占67%)。这个分析结果令我有些无语,毕竟排名前两位的都是古老的东西。而针对未来哪些类型的情报最有用的调查中,我倒是发现人们更倾向于对威胁情报核心的信息的追求。譬如关注敌对方的信息,关注***者的TTP,IoC,等等。

24.jpg

7)一些用户使用CTI的感言值得一读:

  • “We will monitor threat feeds and escalate [a] certain vulnerability remediation priority based on active exploitation campaigns in the wild. These feeds include vendor threat feeds or just security news.”

  • “We utilize several intelligence feeds to augment our perimeter firewall capabilities.”

  • “Pulled info on threat actors, source IPs, domains and [fed] them into EDR [endpoint detection and response] for [blacklists] and traffic reports from them.”

  • “We have alerting set up in our SIEM that correlates event searches against our subscribed threat intelligence feeds. From there we conduct our investigations and take whatever actions [are] deemed an appropriate response. The response is typically blocking malicious activities and hunting for further indicators of compromise across the enterprise environment.”

  • “As CTI raw data, we gathered ransomware IPs, domain names, file hashes from CTI providers as a service and integrated those valuable data [points into] our SIEM, malware analysis appliance, firewall and IPS. Then, when traffic occurs from our [network] to those
    blacklisted IPs or when an email is received with a file attached with a hash of Wcry files, alarms are sent to related security teams. If the system is in blocking mode, we block that traffic.”

8)CTI都跟谁集成?如前所述,还是跟SIEM集成为最多选择。

25.jpg

对比一下去年的,基本一致。

wKiom1jfC8GiZ89oAAC3wloLDWM696.jpg

可以看出,更多的人选择了SIEM。而选择TIP的人依然排在第五位。

9)对威胁情报的整体满意度。今年的数字是81%,去年是78%,前年是64%。而在具体对哪些地方满意的调查中,主要体现在以下几个方面(排名靠前的跟去年也差不多):

26.jpg

10)CTI依然面临的主要挑战。主要还是人员素质和水平、预算。

最后,引用一段SANS分析师的原话作为结束:

According to John Pescatore, SANS’director of emerging technologies, increasing automation and adding more staff are not the approaches organizations should take. He says, “The real successes in cyber security have been where skills are continually upgraded, staff growth is moderate and next-generation cyber security tools are used to act as ‘force multipliers’ that enable limited staff to keep up with the speed of both threats and business demands.”


【参考】

SANS:2017年网络威胁情报现状调研报告

SANS:2016年网络威胁情报现状调研报告