SANS:2018年网络威胁情报现状调研报告

简介:

2018年2月初,SANS发布了一年一度的网络威胁情报调研报告。以下是本人的一些理解和内容摘录。

21.jpg

报告给出了SANS对CTI的定义:收集、整理和探寻关于对手方的知识。collection, classification, and exploitation of knowledge about adversaries。以及“analyzed information about the intent, opportunity and capability of cyber threats”(针对网络威胁意图、机会和能力的分析信息)。这个定义比较宽泛。

报告显示,不少结果与去年的分析基本一致。譬如CTI的主要使用场景还是安全运营、应急响应和安全意识提升。SIEM依然是集成威胁情报的最佳选择

SANS认为调研显示北美地区对威胁情报的收集、集成和使用已经趋于成熟。下面就进一步看看接近成熟的威胁情报市场是个什么样子吧。

需要特别指出的是,SANS调研中对CTI的理解跟Gartner以及我的理解是不同的,SANS对CTI的界定更加广泛,不仅包括严格意义上的威胁情报,还包括了漏洞情报,并且将特征库(譬如恶意代码签名)也算在内。事实上,在全世界范围内的威胁情报的具体实践中,上述问题一直就比较模糊。尤其是对特征库的认定,往往看作是最基本/简单的威胁情报,而我们看到的大部分威胁情报信息其实就是signature!严格来说,我比较赞同Gatner的Anton Chuvakin的观点,即威胁情报不是签名!本人认为,由于这种宽泛的界定,降低了SANS这份威胁情报报告对于威胁情报利用情况的分析敏感度,从而失去了不少价值。

1)威胁情报的普及程度:调查显示,没有使用威胁情报,也没有计划使用威胁情报的受访者比例只有11%,比去年的15%进一步降低。

2)更加注重内部威胁情报:尽管外部情报仍然是用户主要的威胁情报来源,但对内部情报的重视程度显著上升。所谓内部情报就是指借助自身的安全基础设施和分析能力获得情报,这类情报与用户自身的相关度更高,有效性更强,是威胁情报下一步发力的重点。

3)威胁情报更多用于安全运营,包括:威胁检测、威胁阻断、威胁捕猎、威胁管理,等等。

22.jpg

4)人员配备上,41.5%的受访者有专门的威胁情报团队,12%表示至少有一个专人,31%表示有兼职人员,而没有人负责威胁情报的情况只有16%。

5)威胁情报跟SOC团队的相关性最高,也表明SOC最需要威胁情报,或者说威胁情报最适合跟SOC集成。

23.jpg

6)什么类型威胁情报最有用?包括:攻击中用到的恶意代码指示器(其实还是恶意代码签名)81%,攻击者利用的漏洞(其实就是漏洞信息)79%,攻击者趋势76%,IoC(占67%)。这个分析结果令我有些无语,毕竟排名前两位的都是古老的东西。而针对未来哪些类型的情报最有用的调查中,我倒是发现人们更倾向于对威胁情报核心的信息的追求。譬如关注敌对方的信息,关注攻击者的TTP,IoC,等等。

24.jpg

7)一些用户使用CTI的感言值得一读:

  • “We will monitor threat feeds and escalate [a] certain vulnerability remediation priority based on active exploitation campaigns in the wild. These feeds include vendor threat feeds or just security news.”

  • “We utilize several intelligence feeds to augment our perimeter firewall capabilities.”

  • “Pulled info on threat actors, source IPs, domains and [fed] them into EDR [endpoint detection and response] for [blacklists] and traffic reports from them.”

  • “We have alerting set up in our SIEM that correlates event searches against our subscribed threat intelligence feeds. From there we conduct our investigations and take whatever actions [are] deemed an appropriate response. The response is typically blocking malicious activities and hunting for further indicators of compromise across the enterprise environment.”

  • “As CTI raw data, we gathered ransomware IPs, domain names, file hashes from CTI providers as a service and integrated those valuable data [points into] our SIEM, malware analysis appliance, firewall and IPS. Then, when traffic occurs from our [network] to those
    blacklisted IPs or when an email is received with a file attached with a hash of Wcry files, alarms are sent to related security teams. If the system is in blocking mode, we block that traffic.”

8)CTI都跟谁集成?如前所述,还是跟SIEM集成为最多选择。

25.jpg

对比一下去年的,基本一致。

wKiom1jfC8GiZ89oAAC3wloLDWM696.jpg

可以看出,更多的人选择了SIEM。而选择TIP的人依然排在第五位。

9)对威胁情报的整体满意度。今年的数字是81%,去年是78%,前年是64%。而在具体对哪些地方满意的调查中,主要体现在以下几个方面(排名靠前的跟去年也差不多):

26.jpg

10)CTI依然面临的主要挑战。主要还是人员素质和水平、预算。

最后,引用一段SANS分析师的原话作为结束:

According to John Pescatore, SANS’director of emerging technologies, increasing automation and adding more staff are not the approaches organizations should take. He says, “The real successes in cyber security have been where skills are continually upgraded, staff growth is moderate and next-generation cyber security tools are used to act as ‘force multipliers’ that enable limited staff to keep up with the speed of both threats and business demands.”




【参考】

SANS:2017年网络威胁情报现状调研报告

SANS:2016年网络威胁情报现状调研报告



本文转自   叶蓬博客,原文链接:   http://blog.51cto.com/yepeng/2062038     如需转载请自行联系原作者

相关文章
|
7月前
|
传感器 物联网 网络架构
WiMinet 评说1.1:多跳无线网络的现状
对于无线通讯而言,有多个因素会影响到系统的整体性能,其中通讯距离是非常关键的一项。
|
6月前
|
存储 安全 网络安全
云计算与网络安全:现状、挑战与前景
随着信息技术的快速发展,云计算作为一种革命性的计算模式,极大地推动了现代社会的数字化转型。然而,随之而来的是网络安全面临的新挑战,特别是在云服务和信息安全领域。本文将探讨云计算在网络安全中的关键作用,分析当前面临的挑战,并展望未来的发展前景。
106 1
|
5月前
|
数据采集 监控 安全
网络安全中的威胁情报与风险管理:技术解析与策略
【7月更文挑战第4天】网络安全中的威胁情报与风险管理是保障网络安全的重要手段。通过收集、分析和处理各种威胁情报,可以及时发现并应对潜在的网络威胁;而通过科学的风险管理流程,可以构建稳固的防御体系,降低安全风险。未来,随着技术的不断进步和应用场景的拓展,威胁情报与风险管理技术将不断发展和完善,为网络安全提供更加坚实的保障。
|
6月前
|
网络协议 小程序 生物认证
Web应用&企业产权&指纹识别&域名资产&网络空间&威胁情报
Web应用&企业产权&指纹识别&域名资产&网络空间&威胁情报
|
5月前
|
云安全 安全 网络安全
云计算与网络安全:现状、挑战与未来
随着云计算技术的迅猛发展,网络安全问题日益突显。本文探讨了云计算的基本概念及其在现代信息技术中的重要性,分析了云服务与网络安全的关系,探讨了当前面临的挑战,并展望了未来可能的发展方向。 【7月更文挑战第12天】
62 7
|
6月前
|
存储 安全 网络安全
云计算与网络安全:现状与挑战
随着信息技术的迅猛发展,云计算作为一种革命性的技术模式,已经深刻改变了企业和个人的信息处理方式。然而,云计算的普及也带来了新的安全挑战,特别是在网络安全和信息安全方面。本文探讨了云计算背景下的网络安全问题,分析了当前技术领域的挑战和解决方案,旨在帮助读者更好地理解和应对这些挑战。
48 4
|
6月前
|
存储 安全 网络安全
云计算与网络安全:现状与发展
云计算和网络安全作为当今信息技术领域的两大关键议题,对于企业和个人用户而言至关重要。本文将从云服务、网络安全和信息安全等技术领域展开探讨,分析当前形势下的挑战与机遇,并展望未来的发展趋势。
51 1
|
6月前
|
机器学习/深度学习 人工智能 自然语言处理
人工智能在网络安全中的威胁情报分析与响应的应用
人工智能在网络安全中的威胁情报分析与响应的应用
|
5月前
|
存储 安全 网络安全
云计算与网络安全:现状与挑战
在当今数字化快速发展的背景下,云计算技术正日益成为企业信息化和数据管理的核心。然而,随之而来的网络安全问题也日益凸显,信息泄露、数据隐私、网络攻击等成为云计算环境下亟待解决的挑战。本文将探讨云计算在网络安全方面的现状、挑战及其解决方案,以及未来发展的趋势。【7月更文挑战第1天】
60 0
|
6月前
|
云安全 监控 安全
企业对网络威胁情报计划的投资正在蓄势待发
企业对网络威胁情报计划的投资正在蓄势待发