网空威胁情报(CTI)日益成熟: 2020年SANS CTI调查结果解读
一、报告核心观点
2020年2月份,SANS如期公布了《2020 SANS Cyber Threat Intelligence(CTI) Survey》,报告中首先强调了一下CTI的定义:网空威胁情报(CTI)是分析关于满足利益相关方特定需求的对手的能力、机会和意图的信息。组织利用网空威胁情报项目来聚焦于他们所面临的威胁,并提供具体的信息来帮助组织抵御这些威胁。
2020年的这篇报告受访组织数高达1006,几乎是2019年受访者的2倍。相比2019年,在2020年的调查报告中SANS听到了受访者们更多成熟的回答。SANS研究所在本次调研报告中,探讨了网空威胁情报在过去一年中的发展,下面摘录了《2020 SANS Cyber Threat Intelligence (CTI) Survey》的核心观点:
1. 合作是关键
尽管拥有专门的威胁情报团队的组织越来越多,但我们发现:无论是通过付费服务提供商的关系或是通过信息共享组织或项目来使用威胁情报,均强调与彼此间的合作。此外,组织内的协作也在增加,许多受访者报告说,他们的CTI团队是整个组织协调工作的一部分。
2. 并非所有处理威胁情报的过程都需要相同的自动化水平
当涉及到数据处理时,半自动化可能是黄金标准,即使是一些经常被认为是冗余的任务,例如数据去重;因为在某些时候,数据去重中的部分信息是对分析人员是有用的。
3. 必要的数据和工具一直在随着CTI团队的发展而变化
随着越来越多的组织开始产生他们自己的情报,CTI分析师需要的信息本质也从最初的威胁订阅或供应商提供的情报转变为来自内部工具和团队的数据。虽然可以使用许多类似的工具和流程来处理这类信息,但组织也必须明确如何使用合适的工具来处理内部生产的数据。
4. 成熟团队逐步形成对CTI的具体计划和需求
需求是情报处理过程中的关键部分,有助于确保分析人员重点关注的情报收集和分析,以及适当的情报生产。这使得情报处理更有效率、更可测量——这是长期成功的关键。去年报告中,少数组织表示他们已明确定义和记录了情报需求;而今年,近一半的受访者表示他们已经定义并记录了情报要求。这是数据上的一次奇妙飞跃,鼓励人们在CTI项目中文档化记录对威胁情报的具体需求。
5. 消费和生产情报的共同体才能为CTI做出贡献
SANS本以为在调研中会有更多的组织消费情报而非生产情报,但是实际调研发现:超过40%的受访者既能生产又能消费情报——这是网空威胁情报领域日益成熟和专业化的重要标志。只消耗情报或缺少任何优先的情报需求而难以满足组织机构中的大部分情报需求,他们因此考虑同时去生产和使用情报。
二、报告调查主要内容(节选)
2.1 如何衡量情报计划的有效性?
CTI社区和许多组织都生产和消费情报。多年来,越来越多的组织表示他们在同时生产和消费情报数据。从2019年开始,基于原始数据生产和消费威胁情报的组织增加了10%;基于带上下文威胁告警数据和发布的威胁报告来生产和消费威胁情报的组织增加了近7%。在CTI的三种类型中,我们看到只有“已发布的威胁情报报告”有更多的单一消费者,约55%的受访者使用这种类型情报而不去生产它(参见图5)。
图5 CTI 生产和消费的类型
(译者注:此文图例均遵循SANS报告原始图例编号)
对于许多组织来说,无论是情报生产还是消费,真正能够提升防御能力的情报计划,是一套利用威胁情报从发现到行动的流程——这套流程就是经典的情报周期闭环。
图6 情报周期
情报周期是一个产生准确情报、有效情报的过程。
1. 计划 / 需求(Planning/Requirements)
它开始于一个计划阶段,在这个阶段,必须回答情报问题(这也称为“情报需求”)。
2. 收集(Collection)
当需求明确下来,下一个阶段就是收集情报了。这个阶段中,收集数据来帮助组织回答问题并满足需求。
3. 处理(Processing)
下一个阶段是处理:在这个阶段中,数据将转换成可用的格式进行分析。
4. 分析(Ananlysis)
第四阶段是分析,在这一阶段中,数据被综合运用来满足(最初的)情报需求。
5. 传播(Dissemination)
最后一个阶段是传播:此阶段以适当的格式收集调查结果,以达到第一阶段“计划阶段”所设定的目标。在计划阶段需要注意的是,虽然情报周期是一个循环的过程,但有时有必要在这个过程中反馈和调整。例如,如果在分析阶段发现还需要额外的信息时,或者信息必须以不同的格式被处理,那么需要灵活调整情报采集计划。在每个阶段做灵活的调整和情报反馈,这样的情报流程最终会得出一个有根据、准确的分析结果。
2.2 哪些流程和工具能有效支持CTI的协作工作?
网空威胁情报包括有关威胁的分析信息并提供指导采取哪些步骤来应对这些威胁。利用网空威胁情报分析并采取针对性步骤来防御威胁的过程,在概念上看,似乎比较直观好理解,但是其实际过程是非常复杂的,它依赖于人、流程和工具的组合来产生、消费和作用于威胁情报。
这三个组件对于任何一个CTI项目的成功来说都是至关重要的。如果没有人员评估信息和做出分析判断,就不会有CTI。同样,如果没有流程和工具,即使是最优秀的分析师也会发现,他们的组织能够转化为可操作的情报数据量也会受到严重的限制。随着更多的人与更多团队间的协同工作,拥有正确的流程和工具来支撑CTI的工作越发重要了。
SANS报告中将CTI工具分为两组:
一组是处理数据并将其转换为情报的工具;
数据必须经过处理才能被分析并转化为情报。处理流程包括一些重复的工作,例如数据去重、数据富化和数据标准化,以及其它需要分析师操作的任务,例如逆向恶意软件。大多数组织表示其情报处理流程要么是手工操作的过程,要么是半自动化的过程。数据去重是最常见的自动化过程,只有27%的组织是靠人工数据去重。样本的逆向工程是自动化程度最低的处理流程,有48%受访者申报人工处理样本逆向工程;这个比例比2019年略有上升。