SANS 2023年網路威脅情報現狀調研報告

2021-09-05 05:18:55 字數 2170 閱讀 2508

2023年2月初,sans發布了一年一度的網路威脅情報調研報告。以下是本人的一些理解和內容摘錄。

報告給出了sans對cti的定義:收集、整理和探尋關於對手方的知識。collection, classification, and exploitation of knowledge about adversaries。以及「analyzed information about the intent, opportunity and capability of cyber threats」(針對網路威脅意圖、機會和能力的分析資訊)。這個定義比較寬泛。

報告顯示,不少結果與去年的分析基本一致。譬如cti的主要使用場景還是安全運營、應急響應和安全意識提公升。siem依然是整合威脅情報的最佳選擇

sans認為調研顯示北美地區對威脅情報的收集、整合和使用已經趨於成熟。下面就進一步看看接近成熟的威脅情報市場是個什麼樣子吧。

需要特別指出的是,sans調研中對cti的理解跟gartner以及我的理解是不同的,sans對cti的界定更加廣泛,不僅包括嚴格意義上的威脅情報,還包括了漏洞情報,並且將特徵庫(譬如惡意**簽名)也算在內。事實上,在全世界範圍內的威脅情報的具體實踐中,上述問題一直就比較模糊。尤其是對特徵庫的認定,往往看作是最基本/簡單的威脅情報,而我們看到的大部分威脅情報資訊其實就是signature!嚴格來說,我比較贊同gatner的anton chuvakin的觀點,即威脅情報不是簽名!本人認為,由於這種寬泛的界定,降低了sans這份威脅情報報告對於威脅情報利用情況的分析敏感度,從而失去了不少價值。

1)威脅情報的普及程度:調查顯示,沒有使用威脅情報,也沒有計畫使用威脅情報的受訪者比例只有11%,比去年的15%進一步降低。

2)更加注重內部威脅情報:儘管外部情報仍然是使用者主要的威脅情報**,但對內部情報的重視程度顯著上公升。所謂內部情報就是指借助自身的安全基礎設施和分析能力獲得情報,這類情報與使用者自身的相關度更高,有效性更強,是威脅情報下一步發力的重點。

4)人員配備上,41.5%的受訪者有專門的威脅情報團隊,12%表示至少有乙個專人,31%表示有兼職人員,而沒有人負責威脅情報的情況只有16%。

5)威脅情報跟soc團隊的相關性最高,也表明soc最需要威脅情報,或者說威脅情報最適合跟soc整合。

6)什麼型別威脅情報最有用?包括:***中用到的惡意**指示器(其實還是惡意**簽名)81%,***者利用的漏洞(其實就是漏洞資訊)79%,***者趨勢76%,ioc(佔67%)。這個分析結果令我有些無語,畢竟排名前兩位的都是古老的東西。而針對未來哪些型別的情報最有用的調查中,我倒是發現人們更傾向於對威脅情報核心的資訊的追求。譬如關注敵對方的資訊,關注***者的ttp,ioc,等等。

7)一些使用者使用cti的感言值得一讀:

8)cti都跟誰整合?如前所述,還是跟siem集成為最多選擇。

對比一下去年的,基本一致。

可以看出,更多的人選擇了siem。而選擇tip的人依然排在第五位。

9)對威脅情報的整體滿意度。今年的數字是81%,去年是78%,前年是64%。而在具體對哪些地方滿意的調查中,主要體現在以下幾個方面(排名靠前的跟去年也差不多):

10)cti依然面臨的主要挑戰。主要還是人員素質和水平、預算。

最後,引用一段sans分析師的原話作為結束:

【參考】

sans:2023年網路威脅情報現狀調研報告

sans:2023年網路威脅情報現狀調研報告

SANS 2023年網路威脅情報現狀調研報告

sans今年針對情報的調查報告剛剛發布,認真拜讀了一下,學習行業對情報的使用情況和落地的發力點。作為第三年的調查報告被命名為 cyber threat intelligence uses,successes and failures 去年是cti important and maturing 有60...

2023年網路熱詞

2009 年就要過去。這一年,3g網路的普及使中國網路程序又向前跨了一大步。網路與我們息息相關 網路裡發生的事與現實的生活息息相關。網路流行語更是生活的風向標 賈君鵬,你媽媽喊你回家吃飯 賈君鵬事件可以理解為一次網際網路行為藝術,一次貼吧文化狂歡。後有 公司坦白,這是一次動用800員工註冊2萬賬號的...

NOI2018網路同步賽遊記

day1 t1是一道noi選手眼中的送分題,對於我來說還是有難度的,用了個把小時想了出來可持久化並查集的做法,最後乙個點被卡常。賽後才發現kruskal重構樹是這樣的簡單。t2 t3由於我真的是太弱了,連暴力都寫掛了.day2 t1自己邊做題邊搞了搞中國剩餘定理和拓展歐幾里得,又稱拓展中國剩餘定理 ...