今年的報告更換了主筆分析師。但SANS對CTI的廣義定義依然沒有變。總體上，SANS認為CTI的應用越發成熟，其發揮的價值也越來越大，CTI的應用正逐步深化。
1）報告顯示，72%的受訪組織生產或消費了CTI，比2017年的60%有顯著提升。

2）更多的組織開始關註情報報告，但認為將那些情報報告中的有用信息轉換為機讀情報比較麻煩【筆者註：一方面，現在有一些開源的報告情報信息提取工具；另一方面，情報報告的提供者開始一並提供配套的機讀情報】。
3）情報價值的發揮越發依賴於與情報與組織的特定相關性，而非泛泛的情報。
4）組織越來越關註情報的應用，而非數據的收集和處理。

以下摘錄筆者感興趣的部分調研結果：
【筆者註：裏面有一些數據我覺得前後矛盾，語焉不詳，讓人摸不清頭腦】
1）81%的受訪者認為CTI對於安全阻斷/檢測/響應是有價值的

如何更加客觀地評價CTI的價值？SANS推薦了一個度量指標：有CTI參與的安全事件平均解決時間，並將這個指標與無CTI參與的安全事件平均解決時間進行對比。

2）SANS讓受訪者針對4種使用CTI進行分析的方法進行排序，結果顯示IoC排名第一，往後依次是TTP、數字足跡識別、戰略分析。也就是說，最主流的使用CTI的方法就是收集和比對IoC（失陷指標）。SANS認為這表明大家對CTI的理解還不夠深入，認為將來大家應該逐步將焦點放到TTP上，也就是更加關註威脅的行為和對手方所采用的TTP，譬如對MITRE的ATT&CK就是這類應用的一個實例。

3）在情報收集方面，最主要的情報來源還是外部情報，尤其是外部的開源情報，而在針對內部情報收集方面顯得不足【而內部情報與組織自身的相關性更高，更有價值，是未來深化的一個方向】

4）在利用CTI做什麽的問題上，SANS調研了以下使用用例（場景），並表示用例比較分散，尚沒有領導性場景。安全運維類的用例居多。

5）當前和未來最有價值的威脅情報類型排名：

可以看到目前主要發揮價值的CTI是漏洞情報、包括組織品牌/重要個人/IP的威脅告警和攻|擊指標、惡意代碼和攻|擊趨勢。跟去年的差不多。同時，對攻|擊者的溯源目前價值排在最後，但對其未來的期許排名最高。

6）CTI的價值分析，SANS從12個維度來調查CTI的價值。這12個維度也可以認為是CTI的12種價值點。

7）SANS還設定了15個維度的指標去調查CTI的滿意度，也可以認為是怎樣才算一個好的威脅情報的15個方面。

8）情報采集處理時最關鍵的操作有哪些？

SANS認為最關鍵的幾個操作包括：信息去重、基於外部公開情報的數據豐富化、基於外部商業情報的數據豐富化、基於內部情報的數據豐富化、惡意代碼樣本的逆向、情報信息的通用格式標準化（範式化）。

9）針對情報管理與集成這部分，SANS的報告依然顯示SIEM平臺是最主要的手段（82%），其次是與NTA整合（77%），再往後使用電子表格/EMail來管理和CTI，而借助商業TIP（威脅情報平臺）（66%）和開源TIP（64%）跟隨其後。這個排序跟去年基本一致。

【參考】

SANS：2018年網絡威脅情報現狀調研報告

SANS：2017年網絡威脅情報現狀調研報告

SANS：2016年網絡威脅情報現狀調研報告

SANS：2019年網絡威脅情報現狀調研報告