SANS 2023年網路威脅情報現狀調研報告

2021-09-05 03:58:29 字數 2856 閱讀 8726

sans今年針對情報的調查報告剛剛發布,認真拜讀了一下,學習行業對情報的使用情況和落地的發力點。作為第三年的調查報告被命名為「cyber threat intelligence uses, successes and failures」(去年是cti important and maturing)。有60%的受訪企業已經使用了情報還有25%的企業計畫使用。78%受訪者認為情報能夠提高他們的安全及響應的能力。通過今年的報告,總體感覺,情**值的可衡量仍然是乙個難題,今年報告的參考價值(使用場景、落地方面)比不上去年的那麼詳細具體。下面挑出了情報**、使用、工具整合、收益等幾個有意思的資料記錄一下。

情報資料**

情報資料**,和去年調查報告一樣佔第一位的還是來自行業或者社群例如cert之類的,而今年不一樣的是來自內部資料也佔了很大席位(去年46%排到第四位,今年排第二位)。

社群或行業組織提供例如cert,73%

各種內部資料(使用現有的安全工具和feed),54%

安全廠商提供的feed,52%

開源情報,50%

情報廠商提供的feed

其他正式和非正式團隊因興趣而貢獻的

2023年的報告還有一項調查是受訪者使用什麼安全廠商的feed比較多,去年最高的得票是ids/ips/防火牆廠商的feed。也許今年安全廠商類的feed下降到第三位了,所以沒有單列這個調查結果。

處理情報資料

受訪企業的反饋中,佔最多的(19%)他們大致每週能處理11~100個indicator,而(佔22%的反饋者)表示每週能夠有效利用的indicator是1~10個。但其實反饋資料中還有35%的企業其實不知道每週能處理多少indicator,有43.6%的受訪者也不知道有多少能夠有效利用。不過sans的報告強調不知道具體的數字與認為沒有用(佔0.4%)是完全兩回事。之所以會出現「不知道」很可能是因為目前的情報還未很成熟,情報廠商和情報的使用者之間對情報的有效使用還有gap,客戶還不知道如何有效的使用這些情報。

情報的使用

關於情報的使用場景,72%受訪者在定位(***)源和攔截惡意活動和威脅中使用威脅情報,72%受訪者在incident response中使用威脅情報。其他還包括:

安全感知(向管理層或團隊匯報趨勢資料和報告)

威脅管理(識別威脅)

漏洞管理

威脅狩獵(用ioc去hunting)

合規安全優先排序

it運營

漏洞優先排序

管理層感知

威脅建模

預算和花費的優先排序

情報的收益

情報在安全上帶來的提公升,19%的受訪者認為在阻止和檢測方面可以提公升50%~75%,在響應方面,18%的受訪者認為可以提公升11%~25%或者26%~50%。但是其實最大部分反饋的是unknown,特別是響應方面,去年的調查中對響應的提公升有19%表示unknown,而今年提公升到31%。這表明其實比去年更少組織能夠準確衡量情報帶來的提公升。但是不能衡量和沒有提公升是兩個不同的概念,因為只有0.5%的受訪者認為不能提公升。報告裡面提到情報對安全的(可衡量的)提公升程度之所以低,可能跟情報還缺乏成熟的實現和程式整合有關

再具體一點,受訪者最明顯感覺到情報在安全上帶來的提公升是對影響企業的威脅和***手法有更好的「看得見」的能力(72%),第二個明顯的感覺分別是提供安全運營和檢測未知威脅上(都佔了63%),其餘還包括阻止了資料洩露和提公升事件檢測和響應時間上(剛過50%)

2023年的報告則更具體的指出了幾個情報的使用場景,例如攔截惡意網域名稱或ip(63%),在調查中豐富上下文資訊(50%)等

情報的實現與整合

情報依託的工具。從受訪者的調查反饋看,情報的聚合、分析和表現依託的工具主要還是siem,其次是網路流量分析工具,第三位是***監控平台(去年是第二位),而商業的威脅情報管理平台則位於第五位。比較有趣的是最原始的excel和email佔據了第四的位置

具體對feed的整合,通過api佔了主流,這個調查結果和去年差不多。反饋結果顯示47%用廠商提供的api,46%用自定義的api,41%通過專門的情報平台包括商業或者開源的。

情報標準

最後情報使用的標準,今年的調查結果stix(40%),openioc(38%)稍微略高一點,但是報告指出綜合這幾年的調查看,幾大共享情報標準(去年stix是29%)的結果資料其實起伏較大,總體來說沒有真正的贏家。

今年的報告還有其他一些資料,例如制約企業使用情報的因素(無非就是人員和資金投入還有流程),情報從業者所需要的技能,受訪者在企業安全中的角色等等。

【參考】

sans:2023年網路威脅情報現狀調研報告

SANS 2023年網路威脅情報現狀調研報告

2018年2月初,sans發布了一年一度的網路威脅情報調研報告。以下是本人的一些理解和內容摘錄。報告給出了sans對cti的定義 收集 整理和探尋關於對手方的知識。collection,classification,and exploitation of knowledge about advers...

2023年網路小說人氣排行榜

最近,由中國作家網路 家 中國公司贊助,到2017年,中國網路 排行榜公布,每半年一次的排名價值權威發布傳送工作組的工作,他們的閱讀列表贏得4個席位,未完成的工作列為五席,名單上有強大的行業類別的領袖結果表明,閱讀生態建設成果的全部內容,證明中國網路文學價值和社會價值。這份名單,材料與往年相比,希望...

2023年網路熱詞

2009 年就要過去。這一年,3g網路的普及使中國網路程序又向前跨了一大步。網路與我們息息相關 網路裡發生的事與現實的生活息息相關。網路流行語更是生活的風向標 賈君鵬,你媽媽喊你回家吃飯 賈君鵬事件可以理解為一次網際網路行為藝術,一次貼吧文化狂歡。後有 公司坦白,這是一次動用800員工註冊2萬賬號的...