SANS:2016年网络威胁情报现状调研报告

2016年8月份,SANS发布了最新一期有关网络威胁情报的发展现状调研报告。

注意,本文不是译文。原文请前往http://www.sans.org/reading-room/,题为《The SANS State of Cyber Threat Intelligence Survey: CTI Important and Maturing》,需翻墙。

报告指出,随着网络空间安全威胁日趋严重,网络威胁情报(CTI)的作用更加凸显。41%的受访者表示他们运用CTI的能力趋于成熟,更有26%的人表示能十分成熟地运用CTI,而仅有6%的人表示没有使用过CTI。

在前两年,人们对于CTI的理解还都比较粗浅,而今年的这份报告则让我们看到了更加丰富的CTI使用实践,譬如:

1)传统的安全厂商纷纷提供情报订阅服务;

2)在网络出口处利用威胁情报来阻断恶意域名或者恶意IP地址,并为安全调查和失陷评估提供上下文(情境)信息;

3)大部分安全团队会使用来自行业或者社区分享组织的威胁情报,以及安全情报提供商的商业情报。

报告的一些调研结果如下:

1)只有不到6%的受访者表示尚没有使用威胁情报的计划,而有40.5%的人表示威胁情报在他们的环境中的应用趋于成熟。相比而言,在去年的调研中,甚至有7%的人表示从未听说过威胁情报。

2)在威胁情报发挥价值程度方面,64%的人表示威胁情报提升了他们的安全及响应能力。进一步地,提升的地方包括:

  • 73%认为威胁情报能帮他们更好地进行决策支持;
  • 71%认为威胁情报提升了他们“看见威胁”的能力;
  • 58%认为威胁情报提升了他们的响应速度和精度;
  • 53%认为威胁情报能帮助他们检测未知威胁;
  • 48%认为威胁情报帮他们减少信息泄露(这里特指敏感数据的真实暴露和业务中断);
  • 39%认为威胁情报通过更加智能的阻断可量化地降低了安全事件的不良影响。

值得注意的是,在定量评价威胁情报用于减少信息泄露方面,还很不够,目前还缺乏评估的指标、方法和工作。而在威胁情报用于提升事件响应能力方面则更加可以量化评估。

对比一下,波耐蒙去年底对威胁情报所做的《第二次关于网络空间威胁情报交换的年度调查报告》指出65%的受访者认为利用威胁情报能够组织或者减轻攻击造成后果。看得出来,两份独立的调研结果还是比较吻合的。

3)在威胁情报信息来源方面,74%的人使用了社区或行业组织分享的情报,70%使用了外部威胁情报服务提供者的数据,还有46%使用了内部情报。而使用内部情报被视作是一种威胁情报运用成熟化的表现,尽管他们目前使用内部情报方面还有很多可以改进之处。

针对威胁情报服务提供者,具体有分为以下几种来源:

有意思的是,只有25%的受访者使用了专业威胁情报服务提供商的数据,更多的人则更多依赖传统厂商提供的情报数据。但我认为是否就是说专业威胁情报服务提供商发挥的价值不大,还需要进一步研判。

4)报告给出了三个最常用的威胁情报使用用例:

  • 在网络出口处阻断恶意域名和IP;
  • 为安全调查和失陷评估提供上下文(情境)信息;
  • 检查DNS服务器日志识别恶意域名和IP

其它用例排名如下图所示:

5)在情报数据如何与现有防护及响应系统集成方面,目前主要是利用情报提供商的API,其次是使用自己的API。在具体对接方面,主要是依靠SIEM系统,其次是入侵监测平台、商业化威胁情报管理平台。在对接方式上,也是SIEM的集成化程度最高(做到了GUI集成)。

看到这里,让我不禁想起Gartner对于威胁情报的分析。在Garnter的《机读威胁情报技术概览》报告中指出SIEM是承载机读威胁情报(也就是可集成情报)的最好选择。

6)在威胁情报管理解决方案,以及利用标准和框架方面,目前显得比较杂乱、碎片化,缺少较为统一和一致认可的思路,还有很多企业和组织使用自定义的规范和框架。这也体现出了当前威胁情报领域的现状。

7)61%的受访者表示他们是威胁情报的消费者,而有33%的受访者表示他们既消费也产生威胁情报,仅不到7%的受访者专门聚焦于生产威胁情报。

在那些消费威胁情报的企业和组织中,具体消费的人的角色依次是:SOC团队、应急响应团队、风险合规小组、高管及董事会成员、中层主管、等等。

在人员编制方面,28%的受访者表示有专门的正式团队负责处理威胁情报,18%表示有专人负责威胁情报事宜,还有21%表示虽然现在没有专门负责,但正在进行内训即将上岗。

对于企业和组织中负责威胁情报的专业人员而言,报告给出了一份技能优先列表:

感觉如何?要求是不是太高了?而且还需要跨界人才。

报告还做了一个有趣的调研,发现目前来看一个团队每周最多处理100条威胁情报指示器(Indicator)是比较靠谱的,再多,他们就忙不过来了。

8)对于组织和企业而言,用好威胁情报最大的阻碍是缺乏训练有素的人员(分析师),高达59%的人持这个观点,其次有37%的人认为缺乏集成威胁情报的技术能力。总之,人的因素排在第一位。

9)对于威胁情报的未来展望,69%的人认为威胁情报将在防御和响应上发挥十分重要的作用,54%的人认为在未来5年威胁情报对风险分级和决策发挥重要价值,只有3%的人认为威胁情报未来不会扮演重要角色。

将来要想将威胁情报更好的集成,需要更好地符合标准、降低误报、覆盖工控环境,以及更好的数据增强和分析能力。

总之,威胁情报的重要性已是不争的事实,尤其是未来5年。围绕威胁情报实践的工具、知识和流程趋于成熟,但在威胁阻止、检测和调查等等很多地方还可以去加强。当前这个市场还比较混乱,标准不一、厂商鱼龙混杂,情报数据质量有好有坏。很多人就觉得获取通用的威胁情报价值不大,更需要有针对性的情报,而且一些人认为必须要建立自己的内部情报源和内部情报集成。

但无论如何,企业和组织必须着手利用威胁情报,这是大势所趋。

【参考】

我的安全情报 & 威胁情报专栏

Gartner:智能SOC/情报驱动的SOC的五大特征

时间: 2024-11-04 21:40:33

SANS:2016年网络威胁情报现状调研报告的相关文章

SANS:2019年网络威胁情报现状调研报告

2019年2月,SANS照例发布了全新年度的CTI(网络威胁情报)现状调研报告. 今年的报告更换了主笔分析师.但SANS对CTI的广义定义依然没有变.总体上,SANS认为CTI的应用越发成熟,其发挥的价值也越来越大,CTI的应用正逐步深化.1)报告显示,72%的受访组织生产或消费了CTI,比2017年的60%有显著提升.2)更多的组织开始关注情报报告,但认为将那些情报报告中的有用信息转换为机读情报比较麻烦[笔者注:一方面,现在有一些开源的报告情报信息提取工具:另一方面,情报报告的提供者开始一并提

大数据使用及现状调研报告

大数据,指无法在一定时间范围内用常规软件工具进行捕捉.管理和处理的数据集合,是需要新处理模式才能具有更强的决策力.洞察发现力和流程优化能力的海量.高增长率和多样化的信息资产. 大数据特征分析 大数据,不仅有“大”这个特点,除此之外,它还有很多其他特色.在这方面,业界各个厂商都有自己独特的见解,但是总体而言,可以用“4V+1C”来概括,“4V+1C分别代表了Variety(多样化).Volume(海量).Velocity(快速).Vitality(灵活)以及Complexity(复杂)这五个单词.

SANS:2016年安全分析调研报告

2016年12月6日,SANS发布了第4期(2016年度)安全分析调研报告.报告对全球348名受访者进行了调研.结果显示,38%的人用安全分析来评估风险,35%的人用安全分析来识别恶意行为,31%的人用来实现合规.这也是安全分析最常用的三个场景.安全分析自动化不足的问题依然没有多大改观,和上次调研相比,依然仅有4%的人认为自己完全最到了安全分析自动化,仅有22%的人使用了机器学习相关的工具来参与安全分析. 1.数据收集的范围 首先是应用日志(包括应用的审计日志),第二是网络FW/IDS/IPS/

stix/taxii 威胁情报共享机制的解读(1)

比赛第73分钟,中国队4:0不丹.趁着这个时间,一边看球,一边总结下最近做的工作. Cyber Threat Intelligence 网络威胁情报系统,作为RSA2013+起就一直吵的非常热的话题,在国内竟然找不到很多消息源,怪不得说国内的安全界从整体上落后国外两三年(是整体上而言). 但是也不是说没有途径.各大安全厂商必然炒的很热,毕竟这是和市场价值相关的部分.但相对独立而言,有几个微信公众平台做的很棒.比如老大推荐给我的 sec-un.org ,里面有很多大咖已经关注了这个行业很久了. 此

PJzhang:国内常用威胁情报搜索引擎说明

猫宁!!! 参考链接: https://www.freebuf.com/column/136763.html https://www.freebuf.com/sectool/163946.html 如果遇到一个ip,查看对方是不是恶意的,很多人通常会想到微步在线,但在国内除了微步在线,还有几家别的平台提供个人免费服务,而且威胁情报不光是查下ip或者域名之类的,安全漏洞情报,安全讯息情报,都是威胁情报的重要组成部分. 微步在线 https://x.threatbook.cn/ 可以查询ip.域名.

关于网络空间情报、威胁情报的一些定义

Gartner给威胁情报下的一个定义:Threat intelligence is evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding

美国网络安全态势感知(4):威胁情报发展现状

美国政府依托其不断发展完善的威胁情报共享技术,构建了名为"网络天气地图"的威胁情报管理体系,如下图所示: "网络天气地图"的威胁情报管理体系运行过程以及每个过程中的关键信息如下所述: 通过国家网络安全保护系统与互联网中相关的探测器关联,收集相关的威胁情报信息: 利用大数据分析技术,并结合外部的其他威胁情报来源,提取形成有价值的威胁情报: 根据威胁情报信息,生成相关的安全策略,并下发至防护设备,进行有目标的防护: 将获得的威胁情报信息能够快速地在网络中交换共享,并与外

SANS:2014年安全分析与安全智能调研报告

2014年10月份,紧接着2014年度日志管理调研报告(Log management survey),SANS又发布了2014年度的安全分析与智能调研报告(Analytics and Intelligence Survey 2014). 正如我之前博客所述,SANS认为安全分析与日志管理逐渐分开了,当下主流的SIEM/安管平台厂商将目光更多地聚焦到了安全分析和安全智能上,以实现所谓的下一代SIEM/安管平台.而安全分析和安全智能则跟BDA(大数据分析)更加密切相关. SANS对安全智能的定义采纳

SANS:2015年安全分析与安全智能调研报告

2015年11月,SANS发布了第三次安全分析与安全智能调研报告2015年版(Analytics and Intelligence Survey 2015).报告对来自全球的企业和组织共计476位专业人士进行的调研访谈.今年的调研问题比去年更加深入. 调研表明,与去年相比,大家对安全分析与安全智能的认知更高了,应用也更多了,但距离理想目标依然还有不小的差距,尤其是合格的从业人员(分析师)的短缺问题更加突出了.对于大数据技术应用于安全分析这个问题,得到了更多人士的认同.相较于安全数据的大数据化这个