2. 程式人生 > >SANS:2018年網絡威脅情報現狀調研報告

SANS:2018年網絡威脅情報現狀調研報告

阿新 發佈:2018-02-28
威脅情報 SANS CTI SIEM

2018年2月初,SANS發布了一年一度的網絡威脅情報調研報告。以下是本人的一些理解和內容摘錄。

技術分享圖片

報告給出了SANS對CTI的定義:收集、整理和探尋關於對手方的知識。collection, classification, and exploitation of knowledge about adversaries。以及“analyzed information about the intent, opportunity and capability of cyber threats”(針對網絡威脅意圖、機會和能力的分析信息)。這個定義比較寬泛。

報告顯示,不少結果與去年的分析基本一致。譬如CTI的主要使用場景還是安全運營、應急響應和安全意識提升。SIEM依然是集成威脅情報的最佳選擇

SANS認為調研顯示北美地區對威脅情報的收集、集成和使用已經趨於成熟。下面就進一步看看接近成熟的威脅情報市場是個什麽樣子吧。

需要特別指出的是,SANS調研中對CTI的理解跟Gartner以及我的理解是不同的,SANS對CTI的界定更加廣泛,不僅包括嚴格意義上的威脅情報,還包括了漏洞情報,並且將特征庫(譬如惡意代碼簽名)也算在內。事實上,在全世界範圍內的威脅情報的具體實踐中,上述問題一直就比較模糊。尤其是對特征庫的認定,往往看作是最基本/簡單的威脅情報,而我們看到的大部分威脅情報信息其實就是signature!嚴格來說,我比較贊同Gatner的Anton Chuvakin的觀點,即威脅情報不是簽名!本人認為,由於這種寬泛的界定,降低了SANS這份威脅情報報告對於威脅情報利用情況的分析敏感度,從而失去了不少價值。


1)威脅情報的普及程度:調查顯示,沒有使用威脅情報,也沒有計劃使用威脅情報的受訪者比例只有11%,比去年的15%進一步降低。

2)更加註重內部威脅情報:盡管外部情報仍然是用戶主要的威脅情報來源,但對內部情報的重視程度顯著上升。所謂內部情報就是指借助自身的安全基礎設施和分析能力獲得情報,這類情報與用戶自身的相關度更高,有效性更強,是威脅情報下一步發力的重點。

3)威脅情報更多用於安全運營,包括:威脅檢測、威脅阻斷、威脅捕獵、威脅管理,等等。

技術分享圖片

4)人員配備上,41.5%的受訪者有專門的威脅情報團隊,12%表示至少有一個專人,31%表示有兼職人員,而沒有人負責威脅情報的情況只有16%。

5)威脅情報跟SOC團隊的相關性最高,也表明SOC最需要威脅情報,或者說威脅情報最適合跟SOC集成。

技術分享圖片

6)什麽類型威脅情報最有用?包括:攻擊中用到的惡意代碼指示器(其實還是惡意代碼簽名)81%,攻擊者利用的漏洞(其實就是漏洞信息)79%,攻擊者趨勢76%,IoC(占67%)。這個分析結果令我有些無語,畢竟排名前兩位的都是古老的東西。而針對未來哪些類型的情報最有用的調查中,我倒是發現人們更傾向於對威脅情報核心的信息的追求。譬如關註敵對方的信息,關註攻擊者的TTP,IoC,等等。

技術分享圖片

7)一些用戶使用CTI的感言值得一讀:

  • “We will monitor threat feeds and escalate [a] certain vulnerability remediation priority based on active exploitation campaigns in the wild. These feeds include vendor threat feeds or just security news.”

  • “We utilize several intelligence feeds to augment our perimeter firewall capabilities.”

  • “Pulled info on threat actors, source IPs, domains and [fed] them into EDR [endpoint detection and response] for [blacklists] and traffic reports from them.”

  • “We have alerting set up in our SIEM that correlates event searches against our subscribed threat intelligence feeds. From there we conduct our investigations and take whatever actions [are] deemed an appropriate response. The response is typically blocking malicious activities and hunting for further indicators of compromise across the enterprise environment.”

  • “As CTI raw data, we gathered ransomware IPs, domain names, file hashes from CTI providers as a service and integrated those valuable data [points into] our SIEM, malware analysis appliance, firewall and IPS. Then, when traffic occurs from our [network] to those
    blacklisted IPs or when an email is received with a file attached with a hash of Wcry files, alarms are sent to related security teams. If the system is in blocking mode, we block that traffic.”

8)CTI都跟誰集成?如前所述,還是跟SIEM集成為最多選擇。

技術分享圖片

對比一下去年的,基本一致。

技術分享圖片

可以看出,更多的人選擇了SIEM。而選擇TIP的人依然排在第五位。

9)對威脅情報的整體滿意度。今年的數字是81%,去年是78%,前年是64%。而在具體對哪些地方滿意的調查中,主要體現在以下幾個方面(排名靠前的跟去年也差不多):

技術分享圖片

10)CTI依然面臨的主要挑戰。主要還是人員素質和水平、預算。

最後,引用一段SANS分析師的原話作為結束:

According to John Pescatore, SANS’director of emerging technologies, increasing automation and adding more staff are not the approaches organizations should take. He says, “The real successes in cyber security have been where skills are continually upgraded, staff growth is moderate and next-generation cyber security tools are used to act as ‘force multipliers’ that enable limited staff to keep up with the speed of both threats and business demands.”


【參考】

SANS:2017年網絡威脅情報現狀調研報告

SANS:2016年網絡威脅情報現狀調研報告

SANS:2018年網絡威脅情報現狀調研報告

相關推薦

SANS2018威脅情報現狀調研報告

威脅情報 SANS CTI SIEM 2018年2月初,SANS發布了一年一度的網絡威脅情報調研報告。以下是本人的一些理解和內容摘錄。報告給出了SANS對CTI的定義:收集、整理和探尋關於對手方的知識。collection, classification, and exploitation o

SANS2019威脅情報現狀調研報告

用例 siem 12個 進行 water 報價 依賴 安全 哪些 2019年2月,SANS照例發布了全新年度的CTI(網絡威脅情報)現狀調研報告。 今年的報告更換了主筆分析師。但SANS對CTI的廣義定義依然沒有變。總體上,SANS認為CTI的應用越發成熟,其發揮的價值也越

埃森哲2017犯罪成本研究報告(含分析)

ponemon 埃森哲 accenture 安全調研 網絡犯罪 2017年10月1日,在埃森哲的委托下,Ponemon發布了第九次網絡犯罪成本研究報告。根據這份訪談了來自全球7個國家,254個公司,2182名受訪者的報告顯示,全球一個組織或企業用於網絡安全的年平均成本(/花費)是1170萬

SANS2018SOC調查報告

src 關註 fort nes 流程 pro 統計 依靠 評分 2018年8月份,SANS發布了第二次SOC調查報告。標題"The Definition of SOC-cess?"可以理解為:如何定義SOC的成功(success)?總體上來看,今年的情況

中國信通院2018中國大資料發展調查報告(附下載)

報告下載:新增199IT官方微信【i199it】,回覆關鍵詞【2018年中國大資料發展調查報告】即可! 2015年,大資料席捲全球,時至今日,大資料已經迎來了第4個年頭。國家政策不斷髮布,推動了政府和企業大資料發展;建設模式不斷成熟,奠定了企業大資料基礎;行業應用不斷深入,提升了大資料價值顯現。中國資訊通訊

中國旅遊研究院2018中國避暑旅遊大資料報告

7月25日,中國旅遊研究院&攜程旅遊大資料聯合實驗室釋出《2018年中國避暑旅遊大資料報告》。雙方專業研究團隊通過對全國避暑旅遊市場供給與需求的系統分析、全國主要避暑旅遊目的地城市和傳統高溫城市抽樣調查資料,結合攜程集團3億註冊使用者預訂暑期國內旅遊度假產品的大資料,對2018年避暑旅遊消費情況和市

Counterpoint2018第三季度中國手機市場現狀與雙十一展望

PPT版本下載地址:https://t.zsxq.com/VfiamUb 第三季度總結和預測: 雖然大盤市場連續低迷,但是整體電商市場活躍度較高。 第三季度整體銷量降級,但是單價和收入增長。 OPPO與vivo策略調整,發力電商市場。 Appl

視障使用者的網際網路視界2018視障民移動資訊行為洞察報告

視障者,廣義上個人如果需要透過輔助器具如眼鏡、放大鏡等才能看清楚東西,就稱為視障者。在我國的殘障認定標準是兩眼中視力較佳的一眼未達0.1或視野各為20度以內者,可申請殘疾證。視障又可分為為全盲及弱視,其中又以弱視居多。資料統計,中國現有視障者 1700 多萬, 而且隨著老齡化

教育部2018教育改革,加大成人學歷提升難度!

教育部 自學考試 專科專業 繼續教育 學歷招生 京大學副校長高松:我校學歷繼續教育逐步完成歷史使命,決定自2018年起全面停止夜大學、網絡教育、自學考試等各類學歷繼續教育招生,相關單位積極穩妥做好收尾工作。 各大高校陸續發布公告,將在2018年全面停止各種成人學歷招生,第一波是

VGA系列之一VGA顯示圖片

參數 sed 學習 nal 計數 2個 導入 查看 這一 一休哥是在讀研究生的時候開始正式接觸FPGA的,之所以這麽說呢,是因為之前本科參加電賽的時候也學過一點FPGA的知識,可惜學習周期太短導致那次電賽慘敗。可能世上就是有這麽巧的事,剛上研究生的第一天,老板就給了我一塊F

DICOM醫學圖像處理fo-dicom傳輸之 C-Echo and C-Store

通訊 過程 reading 網絡傳輸 基類 對象 last 控制流程 con 背景: 上一篇博文對DICOM中的網絡傳輸進行了介紹。主要參照DCMTK Wiki中的英文原文。通過對照DCMTK與fo-dicom兩個開源庫對DICOM標準的詳細實現,對理解

python networkx繪制

port enc 技術 簡單 sci sid log () 繪制 1.簡單使用 import networkx as nx import matplotlib.pyplot as plt G = nx.Graph() G.add_edge(1,2) nx.draw_net

威脅防護,Azure 靠的是它?

防火墻 .com 架構 tid 防禦系統 logs 合規 軟件 資源 在當今數字化轉型的浪潮中,越來越多的企業希望轉型於雲。使用雲能幫助企業提高工作效率、降低 IT 成本、增強競爭優勢,有效推動企業的業務發展。但是,在向雲遷移的過程中,基於雲的數據中心更有可能被攻擊,所以必

智能小車25openwrt的配置

設備 開發板 還要 無線 局域網 1.2 open wan 搜索 先看一下如何用上級路由器來訪問我們的openwrt。之前老配錯,錯了就成了板磚,不敢配了。今天買了個openwrt,好好學習了下,實現了幾十次,排除了路由器不穩定等情況,終於實驗和學習到了正確的配置。 1.刷

CloudStack高級模式下的卡配置

otp 高級 ridge pro eno ash add 場景 dst 一、場景描述最近在測試CloudStack高級網絡模式的配置,期間網絡這塊的確對我造成了一些困擾,現將其整理出來,供大家分享。兩塊物理網卡:ifcfg-eno1以及ifcfg-eno2兩塊橋接網卡:if

2018易Java筆試題

特性 stat 歷史 是否 構造方法 final類 sdl 最終 子類 2018年網易Java筆試題 OOP三特性 封裝: 繼承: 多態: Java中如何實現多繼承 實現多個接口 使用內部類 Java對象生成過程 4.HashTable和HashMap的

iptables詳解(11)iptables之防火墻

允許 什麽 模塊 進行 通訊 usr accep 屬於 兩個 我們一起來回顧一下之前的知識,在第一篇介紹iptables的文章中,我們就描述過防火墻的概念,我們說過,防火墻從邏輯上講,可以分為主機防火墻與網絡防火墻。 主機防火墻:針對於單個主機進行防護。 網絡防火墻:

深度視覺經典重讀之一卷積的蠻荒時代

complete red which Y軸 shift initial 變化 minor 數量 最近在找下一篇文章的研究方向,於是重新拿起了入學前看過的一些經典老文,沒想到其中蘊含的信息量這麽大,原來當初naive的我根本沒有領悟其中的精髓。 相對於一些瑣碎的技術細節,我更

互聯網共鳴之聲2018或成為雲計算轉折之

雲計算回望2017年,雲計算市場不難發現,這是深入應用到各個行業的一年,被稱為是雲計算的收獲之年;但在行業人士看來,進入2018年,雲計算的應用將會進一步加速,但在不同的雲計算層面,依然會有一些新的趨勢透露出來。但從另外一個角度看,雲計算的發展將進入新一輪技術轉折期,在這個轉折期,傳統的三層分類已經不再適用,

淺析2018雲計算、大數據和人工智能

雲計算2017年新技術的數量一直很龐大的:雲計算采用的速度比分析家預測的還要快,並因此帶來了一些新的工具。人工智能進入到人們生活的各個領域;物聯網和邊緣計算的應用越來越廣泛;一系列雲原生技術已經實現。今年,人們將看到雲計算提供商更加重視進一步整合具有更高層次抽象的個性化服務。他們還將重點關註與人工智能、數據管