SANS:2019年网络威胁情报现状调研报告

栏目: 后端 · 发布时间: 4年前

内容简介:2019年2月,SANS照例发布了全新年度的CTI(网络威胁情报)现状调研报告。今年的报告更换了主笔分析师。但SANS对CTI的广义定义依然没有变。总体上,SANS认为CTI的应用越发成熟,其发挥的价值也越来越大,CTI的应用正逐步深化。1)报告显示,72%的受访组织生产或消费了CTI,比2017年的60%有显著提升。

2019年2月,SANS照例发布了全新年度的CTI(网络威胁情报)现状调研报告。

SANS:2019年网络威胁情报现状调研报告

今年的报告更换了主笔分析师。但SANS对CTI的广义定义依然没有变。总体上,SANS认为CTI的应用越发成熟,其发挥的价值也越来越大,CTI的应用正逐步深化。

1)报告显示,72%的受访组织生产或消费了CTI,比2017年的60%有显著提升。

SANS:2019年网络威胁情报现状调研报告 2)更多的组织开始关注情报报告,但认为将那些情报报告中的有用信息转换为机读情报比较麻烦【笔者注:一方面,现在有一些开源的报告情报信息提取工具;另一方面,情报报告的提供者开始一并提供配套的机读情报】。3)情报价值的发挥越发依赖于与情报与组织的特定相关性,而非泛泛的情报。

4)组织越来越关注情报的应用,而非数据的收集和处理。

以下摘录笔者感兴趣的部分调研结果:

【笔者注:里面有一些数据我觉得前后矛盾,语焉不详,让人摸不清头脑】1)81%的受访者认为CTI对于安全阻断/检测/响应是有价值的 SANS:2019年网络威胁情报现状调研报告

如何更加客观地评价CTI的价值?SANS推荐了一个度量指标:有CTI参与的安全事件平均解决时间,并将这个指标与无CTI参与的安全事件平均解决时间进行对比。

2)SANS让受访者针对4种使用CTI进行分析的方法进行排序,结果显示IoC排名第一,往后依次是TTP、数字足迹识别、战略分析。也就是说,最主流的使用CTI的方法就是收集和比对IoC(失陷指标)。SANS认为这表明大家对CTI的理解还不够深入,认为将来大家应该逐步将焦点放到TTP上,也就是更加关注威胁的行为和对手方所采用的TTP,譬如对MITRE的ATT&CK就是这类应用的一个实例。

SANS:2019年网络威胁情报现状调研报告

3)在情报收集方面,最主要的情报来源还是外部情报,尤其是外部的开源情报,而在针对内部情报收集方面显得不足【而内部情报与组织自身的相关性更高,更有价值,是未来深化的一个方向】

SANS:2019年网络威胁情报现状调研报告

4)在利用CTI做什么的问题上,SANS调研了以下使用用例(场景),并表示用例比较分散,尚没有领导性场景。安全运维类的用例居多。

SANS:2019年网络威胁情报现状调研报告

5)当前和未来最有价值的威胁情报类型排名:

SANS:2019年网络威胁情报现状调研报告 可以看到目前主要发挥价值的CTI是漏洞情报、包括组织品牌/重要个人/IP的威胁告警和攻|击指标、恶意代码和攻|击趋势。跟 去年的

差不多。同时,对攻|击者的溯源目前价值排在最后,但对其未来的期许排名最高。

6)CTI的价值分析,SANS从12个维度来调查CTI的价值。这12个维度也可以认为是CTI的12种价值点。

SANS:2019年网络威胁情报现状调研报告

7)SANS还设定了15个维度的指标去调查CTI的满意度,也可以认为是怎样才算一个好的威胁情报的15个方面。

SANS:2019年网络威胁情报现状调研报告

8)情报采集处理时最关键的操作有哪些?

SANS:2019年网络威胁情报现状调研报告

SANS认为最关键的几个操作包括:信息去重、基于外部公开情报的数据丰富化、基于外部商业情报的数据丰富化、基于内部情报的数据丰富化、恶意代码样本的逆向、情报信息的通用格式标准化(范式化)。

9)针对情报管理与集成这部分,SANS的报告依然显示SIEM平台是最主要的手段(82%),其次是与NTA整合(77%),再往后使用电子表格/EMail来管理和CTI,而借助商业TIP(威胁情报平台)(66%)和开源TIP(64%)跟随其后。这个 排序 跟去年基本一致。

声明:本文来自叶蓬,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

算法分析导论(第2版)(英文版)

算法分析导论(第2版)(英文版)

[美]Robert Sedgewick(罗伯特•塞奇威克)、[美]Philippe Flajolet(菲利普•弗拉若莱) / 电子工业出版社 / 2015-6 / 128.00元

《算法分析导论(第2版)(英文版)》全面介绍了算法的数学分析中所涉及的主要技术。涵盖的内容来自经典的数学课题(包括离散数学、初等实分析、组合数学),以及经典的计算机科学课题(包括算法和数据结构)。《算法分析导论(第2版)(英文版)》的重点是“平均情况”或“概率性”分析,书中也论述了“最差情况”或“复杂性”分析所需的基本数学工具。 《算法分析导论(第2版)(英文版)》第 1 版为行业内的经典著......一起来看看 《算法分析导论(第2版)(英文版)》 这本书的介绍吧!

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具