SANS:2019年网络威胁情报现状调研报告

2019年2月,SANS照例发布了全新年度的CTI(网络威胁情报)现状调研报告。

今年的报告更换了主笔分析师。但SANS对CTI的广义定义依然没有变。总体上,SANS认为CTI的应用越发成熟,其发挥的价值也越来越大,CTI的应用正逐步深化。
1)报告显示,72%的受访组织生产或消费了CTI,比2017年的60%有显著提升。

2)更多的组织开始关注情报报告,但认为将那些情报报告中的有用信息转换为机读情报比较麻烦【笔者注:一方面,现在有一些开源的报告情报信息提取工具;另一方面,情报报告的提供者开始一并提供配套的机读情报】。
3)情报价值的发挥越发依赖于与情报与组织的特定相关性,而非泛泛的情报。
4)组织越来越关注情报的应用,而非数据的收集和处理。

以下摘录笔者感兴趣的部分调研结果:
【笔者注:里面有一些数据我觉得前后矛盾,语焉不详,让人摸不清头脑】
1)81%的受访者认为CTI对于安全阻断/检测/响应是有价值的

如何更加客观地评价CTI的价值?SANS推荐了一个度量指标:有CTI参与的安全事件平均解决时间,并将这个指标与无CTI参与的安全事件平均解决时间进行对比。

2)SANS让受访者针对4种使用CTI进行分析的方法进行排序,结果显示IoC排名第一,往后依次是TTP、数字足迹识别、战略分析。也就是说,最主流的使用CTI的方法就是收集和比对IoC(失陷指标)。SANS认为这表明大家对CTI的理解还不够深入,认为将来大家应该逐步将焦点放到TTP上,也就是更加关注威胁的行为和对手方所采用的TTP,譬如对MITRE的ATT&CK就是这类应用的一个实例。

3)在情报收集方面,最主要的情报来源还是外部情报,尤其是外部的开源情报,而在针对内部情报收集方面显得不足【而内部情报与组织自身的相关性更高,更有价值,是未来深化的一个方向】

4)在利用CTI做什么的问题上,SANS调研了以下使用用例(场景),并表示用例比较分散,尚没有领导性场景。安全运维类的用例居多。

5)当前和未来最有价值的威胁情报类型排名:

可以看到目前主要发挥价值的CTI是漏洞情报、包括组织品牌/重要个人/IP的威胁告警和攻|击指标、恶意代码和攻|击趋势。跟去年的差不多。同时,对攻|击者的溯源目前价值排在最后,但对其未来的期许排名最高。

6)CTI的价值分析,SANS从12个维度来调查CTI的价值。这12个维度也可以认为是CTI的12种价值点。

7)SANS还设定了15个维度的指标去调查CTI的满意度,也可以认为是怎样才算一个好的威胁情报的15个方面。

8)情报采集处理时最关键的操作有哪些?

SANS认为最关键的几个操作包括:信息去重、基于外部公开情报的数据丰富化、基于外部商业情报的数据丰富化、基于内部情报的数据丰富化、恶意代码样本的逆向、情报信息的通用格式标准化(范式化)。

9)针对情报管理与集成这部分,SANS的报告依然显示SIEM平台是最主要的手段(82%),其次是与NTA整合(77%),再往后使用电子表格/EMail来管理和CTI,而借助商业TIP(威胁情报平台)(66%)和开源TIP(64%)跟随其后。这个排序跟去年基本一致。

【参考】

SANS:2018年网络威胁情报现状调研报告

SANS:2017年网络威胁情报现状调研报告

SANS:2016年网络威胁情报现状调研报告

原文地址:http://blog.51cto.com/yepeng/2351297

时间: 2024-11-08 02:44:11

SANS:2019年网络威胁情报现状调研报告的相关文章

SANS:2016年网络威胁情报现状调研报告

2016年8月份,SANS发布了最新一期有关网络威胁情报的发展现状调研报告. 注意,本文不是译文.原文请前往http://www.sans.org/reading-room/,题为<The SANS State of Cyber Threat Intelligence Survey: CTI Important and Maturing>,需翻墙. 报告指出,随着网络空间安全威胁日趋严重,网络威胁情报(CTI)的作用更加凸显.41%的受访者表示他们运用CTI的能力趋于成熟,更有26%的人表示能

大数据使用及现状调研报告

大数据,指无法在一定时间范围内用常规软件工具进行捕捉.管理和处理的数据集合,是需要新处理模式才能具有更强的决策力.洞察发现力和流程优化能力的海量.高增长率和多样化的信息资产. 大数据特征分析 大数据,不仅有“大”这个特点,除此之外,它还有很多其他特色.在这方面,业界各个厂商都有自己独特的见解,但是总体而言,可以用“4V+1C”来概括,“4V+1C分别代表了Variety(多样化).Volume(海量).Velocity(快速).Vitality(灵活)以及Complexity(复杂)这五个单词.

SANS:2016年安全分析调研报告

2016年12月6日,SANS发布了第4期(2016年度)安全分析调研报告.报告对全球348名受访者进行了调研.结果显示,38%的人用安全分析来评估风险,35%的人用安全分析来识别恶意行为,31%的人用来实现合规.这也是安全分析最常用的三个场景.安全分析自动化不足的问题依然没有多大改观,和上次调研相比,依然仅有4%的人认为自己完全最到了安全分析自动化,仅有22%的人使用了机器学习相关的工具来参与安全分析. 1.数据收集的范围 首先是应用日志(包括应用的审计日志),第二是网络FW/IDS/IPS/

stix/taxii 威胁情报共享机制的解读(1)

比赛第73分钟,中国队4:0不丹.趁着这个时间,一边看球,一边总结下最近做的工作. Cyber Threat Intelligence 网络威胁情报系统,作为RSA2013+起就一直吵的非常热的话题,在国内竟然找不到很多消息源,怪不得说国内的安全界从整体上落后国外两三年(是整体上而言). 但是也不是说没有途径.各大安全厂商必然炒的很热,毕竟这是和市场价值相关的部分.但相对独立而言,有几个微信公众平台做的很棒.比如老大推荐给我的 sec-un.org ,里面有很多大咖已经关注了这个行业很久了. 此

PJzhang:国内常用威胁情报搜索引擎说明

猫宁!!! 参考链接: https://www.freebuf.com/column/136763.html https://www.freebuf.com/sectool/163946.html 如果遇到一个ip,查看对方是不是恶意的,很多人通常会想到微步在线,但在国内除了微步在线,还有几家别的平台提供个人免费服务,而且威胁情报不光是查下ip或者域名之类的,安全漏洞情报,安全讯息情报,都是威胁情报的重要组成部分. 微步在线 https://x.threatbook.cn/ 可以查询ip.域名.

关于网络空间情报、威胁情报的一些定义

Gartner给威胁情报下的一个定义:Threat intelligence is evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding

美国网络安全态势感知(4):威胁情报发展现状

美国政府依托其不断发展完善的威胁情报共享技术,构建了名为"网络天气地图"的威胁情报管理体系,如下图所示: "网络天气地图"的威胁情报管理体系运行过程以及每个过程中的关键信息如下所述: 通过国家网络安全保护系统与互联网中相关的探测器关联,收集相关的威胁情报信息: 利用大数据分析技术,并结合外部的其他威胁情报来源,提取形成有价值的威胁情报: 根据威胁情报信息,生成相关的安全策略,并下发至防护设备,进行有目标的防护: 将获得的威胁情报信息能够快速地在网络中交换共享,并与外

埃森哲:2019年网络犯罪成本研究报告(分析)

2019年3月,埃森哲联合Ponemon发布了第九次网络犯罪成本调研报告(Ninth Annual Cost of Cybercrime Study).这份报告针对来自11个国家(都是发达经济体,不含中国)的16个行业的355家公司的2647名高阶主管进行了调研,结果显示,随着被攻|击目标越来越多.影响越来越大.攻|击手段越来越先进,安全泄露事件持续攀升,尽管组织的安全投入也在不断增长,但其应付网络攻|击犯罪的成本(这里的cost也可以叫做代价.开销)仍然在不断提升,预计从2019年到2023年

SANS:2014年安全分析与安全智能调研报告

2014年10月份,紧接着2014年度日志管理调研报告(Log management survey),SANS又发布了2014年度的安全分析与智能调研报告(Analytics and Intelligence Survey 2014). 正如我之前博客所述,SANS认为安全分析与日志管理逐渐分开了,当下主流的SIEM/安管平台厂商将目光更多地聚焦到了安全分析和安全智能上,以实现所谓的下一代SIEM/安管平台.而安全分析和安全智能则跟BDA(大数据分析)更加密切相关. SANS对安全智能的定义采纳