">

SANS 发布《2022网络威胁情报调查报告》

近日,SANS发布《2022网络威胁情报调查报告》展示了网络威胁情报(CTI) 在网络安全运营中的作用。今年的调查SolarWinds软件供应链攻击爆发,Log4j漏洞响应流程两项重大网络安全活动结束。这两个事件突出了快速获得态势感知、对大量共享信息进行情境化以及对重大威胁进行优先修复的必要性。

关键要点:

越来越多的组织开始发展其CTI 能力,越来越多的受访者表示处于CTI早期阶段,仍在开发流程,艰难推进。

自为应对 COVID-19大流行而转向远程工作以来,过去几年的一些有希望的趋势(例如CTI 团队和业务运营团队之间的协作)一直下行。

五分之一的受访者(21%)表示无法衡量其CTI计划是否确实对其组织有价值。这一结果强调需要更多有效的方法来衡量CTI 计划、工具和来源的有效性,呼吁从业者和供应商采取行动,寻找更简单有效的方法来衡量CTI 的成功。

威胁情报平台仍不是CTI 团队使用的主要工具(不在前四名)“电子表格/电子邮件”再次领先,而二分之一的受访者仍然更喜欢本土CTI 平台。这背后的原因可能不同,但供应商可以通过继续了解用例并在从业者和供应商之间分享更多需求来改善分析师的体验。商业和开源CTI 管理平台在自动化/集成方面的小幅增长的趋势令人鼓舞。

今年,有来自200多个组织的代表参与了网络威胁情报调查。这些组织跨越多个部门,规模各异,但展现了一些有趣的趋势。首先,教育部门的受访者显著增加,由去年的3%上涨为10%,可能由于受疫情影响更多的教育机构在线工作。与往年一样,受访者都来自不到10,000人的组织。去年的调查强调了向远程工作和教育转变的影响,以及传统没有专职人员的组织对网络安全和威胁情报人员的需求增加。图1 提供了 2022年调查受访者的人口统计数据快照。

图1. 调查受访者的人口统计

CTI 人员和流程

CTI是针对计算机网络的对手所利用的意图、能力和机会的分析信息。CTI可以由分析自己的有关先前数据泄露或网络入侵的数据的组织生成。组织还可以根据威胁情报供应商或信息共享组等外部资源来使用它。组织通常会结合使用这两种类型:利用内部数据的力量,同时依靠外部专业知识来提供更全面的威胁态势图。无论信息来自何处,组织都需要人员和流程将发现和见解整合到其网络安全计划中。今年的调查显示,内部威胁情报团队与CTI 供应商之间的合作有所增加,越来越多的组织既分析自己的威胁数据,又利用外部获取CTI 计划支持。

01
加强团队合作

早期,通常认为只有拥有强大网络安全团队的大型组织才会使用CTI。自 2019年以来,越来越多的组织正在利用威胁情报功能,无论是否拥有专门的CTI 团队。今年,33% 的受访者为员工人数少于1,000 人的组织工作。尽管受访者报告了纯内部能力存在的一致趋势,同比稳定在36%,但有报告称服务提供商对威胁情报团队的支持有所增加,这是自2017 年以来的最高水平。从2021 年到 2022年,服务提供商支持增加了5%。尽管这种增长表明许多组织正在构建更强大的功能以应对在线业务的增加,但要注意的是,这些功能并不是相互排斥的。许多拥有CTI 团队或CTI任务分散在其他团队中的组织也与外部团队合作,以支持从战略威胁建模到战术威胁检测的方方面面。事实上,超过一半(51%) 的受访者表示,其组织使用了兼具内部能力和外部支持的混合模式。请参见图2。

图2. 内部与服务提供商

02
团队结构和组织

对于内部团队,拥有正式专门威胁情报团队的组织持续增加;在2021 年短暂下降之后,今年这一比例高达47%(见图3)。然而,报告显示他们没有正式的CTI 团队并且没有计划创建团队的组织今年也有所增加,该百分比实际上与前面提到的服务提供商支持的增加一致。这表明组织继续看到 CTI的价值,但愿意将其外包。尽管过去几年中没有看到这种趋势,但它说明了托管威胁情报提供商的演变和可访问性,以及它们支持不同规模和成熟度级别的组织的能力。
在过去几年中,受访者反馈,CTI团队或处理 CTI职能的大多数分析师来自安全运营中心(SOC) 角色。今年这个数字下降到47%,差异分布在其他团队中,其他每个领域都有1%–2%。这个回答还表明,组织正在招聘更多的分析师直接担任CTI 角色,而不是从安全团队的其他地方选择,强调该领域的专业化。一些受访者反馈,他们从网络犯罪和欺诈团队中聘请了CTI 分析师,强调了一个在威胁领域拥有丰富经验的团队如何帮助组织应对各种威胁。

图3. 组织CTI资源

03
CTI 流程:情报流程

为了让CTI团队在团队成员之间保持一致的运作,拥有适当的流程和框架作为团队成员可以执行分析工作的脚手架是很重要的。CTI的基本过程之一是情报过程,也称为情报周期。过程和循环都是可接受的术语,尽管循环通常指的是循环过程,当继续下一步时,不会返回该步骤,直到循环完成完整的旋转。

定义CTI 要求

情报过程始于了解团队或个人负责的CTI 工作的要求。一旦组织确定了这些要求,分析师就可以专注于回答决策者的关键问题,并尽可能优化剩余的流程。今年,更少的受访者表示其组织有正式要求,没有计划制定要求的组织增加了5%。见表1。尽管报告有正式要求的组织较少,但确实有要求的组织将更新它们作为优先事项。只有3% 的受访者表示他们的要求从未更新。超过40% 的人报告说他们没有更新需求的时间表或计划,并且会根据需要进行更新。参见图 4。

图4. 查看和更新CTI 要求

除了具有定期更新的正式要求外,最佳实践也是让所有CTI 计划利益相关者参与这些要求的制定。今年,受访者表示,安全运营是对需求贡献最大的团队,75%的受访者表示他们参与其中。

本报告后面介绍的CTI使用和分析示例表明,许多组织直接参与支持安全运营,即使他们可能没有正式要求,但他们正在直接支持其利益相关者,这代表了朝着正确方向迈出了一大步。

01
CTI 集合

一旦团队有了想要解决的需求,下一步就需要他们开始收集所需的信息。今年,更多的 CTI 团队正在利用媒体报道和新闻等外部报道来源(从2021 年的 77%上升到 82%)。随着新闻中出现的重大入侵和对手活动的数量,CTI团队不能忽视这种类型的报告。请参见图 5。社区提要减少,但来自受访者自己网络的信息(例如IDS 日志和应用程序日志)增加

图5. 情报收集来源

02
CTI分析

很高兴能够在今年的调查中添加有关CTI 分析的问题。分析是复杂的,通常是一个个性化的过程,很难在调查问题中捕捉到,但通过结合多项选择和书面回答,可以更好地了解组织如何进行CTI 分析。
与事件响应者协调
今年的调查响应表明,事件响应(IR) 和 CTI协作发生了短暂的转变。与去年相比,IR团队对需求的贡献更少,取证对数据收集的贡献也更少。虽然很难确定这种转变背后的确切原因,但本次调查的数据指出了两个贡献者。首先,今年的许多受访者都是刚刚发展自己能力的新CTI 组织。CTI和 IR协调是整个网络安全计划的关键部分,但需要一些时间来建立促进强大协作的流程和信任。如刚刚开始新 CTI 计划,请确保与IR 团队建立联系,无论是内部还是外部。

造成这种情况的第二个原因可能是,过去一年对于IR 团队和 CTI团队来说也异常艰难。今年受访者比往年少,这可能是由于工作量大和该领域的倦怠程度高于健康水平。去年的调查涉及远程工作和隔离对心理健康的影响,这些影响可能随着整个行业中重大安全事件的数量和严重程度而增加。

最常用的分析方法是直觉或基于经验的判断。事实上,只有 16% 的人表示他们从未使用过这种方法(见图6)。概念模型,例如用于入侵和分析的菱形模型(杀伤链模型也经常使用),一些受访者明确指出MITRE ATT&CK® 框架是他们认为非常有价值的模型。

组织使用结构化分析技术(SAT) 的情况最少,这是传统情报分析的支柱,33%的受访者表示从不使用,19% 的受访者表示经常使用。

组织通常不使用SAT,因为与概念模型不同,很少有CTI 分析工具或平台将这些方法集成到他们的工作流程中。相反,工具更常见地允许分析师通过杀伤链阶段或钻石模型轴对数据进行分类或标记,而少数产品化的SAT 通常是独立工具,例如专门为更流行的SAT 之一制作的工具:竞争假设分析(ACH)。SAT被证明对于解决分析中的偏见和消除诸如群体思考和分析等事件是有价值的。将其中一些技术更多地集成到用于 CTI的工具中可能会使 CTI团队更容易利用。

03
CTI 传播

一旦CTI 通过情报流程直到分析,情报需要及时到达正确的受众。情报传播因信息的类型和紧迫性而异。
今年,受访者表示通过电子邮件发送文件是他们传播CTI 的最常见方式,其次是报告。这两者都表明威胁情报传播的叙述形式,而不仅仅是IP 地址和域等技术信息。请参见图 7。

对这种技术级别的传播仍然存在很高的需求,55%的受访者表示他们直接与威胁情报平台集成,以促进威胁追踪、电子邮件过滤和恶意软件检测等任务。

图7. CTI 的利用和传播

与CTI 领域的许多事情一样,传播取决于几个因素,包括情况本身。一位受访者很好地阐述了这一点,确定有标准流程,然后在需要时将流程升级到更广泛的受众:分析后的情报被传播给团队线索,并根据需要进一步传播给他们的团队。如果确定需要更广泛的受众,则引入部门负责人。在有可能影响整个组织的大型活动期间,为首席员工和/或董事会创建简报。

今年的调查显示,在人员和流程方面呈现出一种可喜的趋势:越来越多的组织开始在其组织中实施威胁情报功能。尽管这些组织处于发展的早期阶段,但自从 SANS首次开始对 CTI专业人员进行调查以来,CTI领域已经走过了漫长的道路,这些组织将拥有丰富的信息来帮助他们走向成功的计划。

CTI的用途和价值

威胁情报在组织内有许多不同的用途,从战术到战略,从支持风险评估团队到帮助确定修补的优先级。此外,根据每个组织的成熟度水平,人们可以从简单的消费智能转变为全面生产。正如预期的那样,并且通常应该如此,大多数组织都是情报的消费者。在我们的受访者中,使用的情报类型主要是已发布的威胁情报(58%) 和上下文威胁警报(50%),但也有很大一部分人使用原始威胁数据(48%)。因为成熟度更高且需要产生智能的组织数量确实应该更少。请参见图 8。
有趣的是,CTI作为一门学科正在成长和成熟的一个迹象是,同时消耗和产生情报的组织的数量,在提出的三种情报类型中的答案在33% 到 36%之间。

在消费方面,看到CTI 跨组织的各种用途总是很有趣。缓解是最常见的用例之一,一些受访者认为 CTI在宣布新漏洞时帮助评估和优先修补补丁(以及基于已发布报告和IoC 的检测和威胁搜寻)。最后,员工的安全意识,包括对高管层的培训和持续的态势感知,是一个非常常见的用例。所有答案都强化了 CTI对组织特殊性的相关性和适用性的概念,以及对于采取这些做法的人来说,需要不同类型的威胁情报产品/输出。

图8. CTI 的生产与消费

01
CTI 类型的价值和可用性

在公司中拥有威胁情报计划的主要原因之一是改善公司的整体安全状况并帮助其他团队做出更好的决策(无论是响应事件还是评估组织的风险敞口)。

当被问及CTI 是否改进了其组织的安全预防、检测和响应时,75%的受访者确认是这种情况,这一结果也与往年一致。然而,除了这个积极的趋势外,21%的受访者表示他们不知道。这是一个需要注意的重要结果,因为它可能强调需要更多更好的方法来衡量CTI 计划、工具和来源的有效性。无法衡量某件事的价值最终可能是它的终结,因为团队将无法证明对更多资源、新人员、新工具等需求的合理性。

CTI有多种类型和格式,我们想了解受访者现在认为哪种类型的威胁情报最有用,以及他们在未来12 个月内可能会发现哪些有用。

根据受访者,有关恶意软件攻击者使用的技术信息(81%) 和有关当前目标漏洞的信息(80%) 是目前最有用的两种CTI 类型。这与2021 年的结果一致,只是两个位置发生了互换。在考虑未来时,52%的受访者认为,更详细、更及时的有关其所在行业和地理位置的对手群体的信息将被证明是最有用的。及时性和相关性确实是智力的关键,虽然受访者要求更多,这很好,但一个积极的迹象是对上下文(从59% 到61%)、分析(从52% 到 55%)的满意度,并且 CTI 数据的相关性(从66% 到67%)比去年有所增加。这代表了小的改进,但仍然是一个积极的迹象。请参见图9。

战略报告和搜索报告满意度方面有所下降。

最后,确认去年的趋势,受访者仍然对删除过期的IOC 不满意,这可能是导致大量误报的常见问题。

图9. 最有用的CTI

CTI 工具

分析人员总是发现这些工具是有争议的话题,威胁情报平台(TIP) 既代表了加速和增强情报周期的工具,有时也是分析人员痛苦和沮丧的根源。这些工具应该支持自动化和扩展。毕竟,每天都有大量的数据需要关联和分析,如果不集成这些功能是不可想象的。为不同类型的客户(包括内部客户,如 SOC、IR团队等)提供服务很重要,但也要为分析本身留出足够的空间,即不能完全脱离循环的人的方面。

首先,询问受访者使用什么类型的管理工具来汇总、分析或呈现CTI 信息。不出所料,电子表格/电子邮件再次排名第一,44%的受访者表示他们手动/独立使用这些表格。组织最常用SIEM(40%) 和网络流量分析工具(38%) 是最受欢迎的技术来支持某种程度的自动化/集成。这些结果多年来保持一致。

首先是TIP 还不是CTI 团队使用的主要工具;在使用的前四种工具中,没有一个是 CTI平台。第二个惊人的结果是,超过二分之一的CTI 从业者(56%) 使用本土CTI 平台,这是一个不容小觑的迹象。

自2021 年以来,具有一定自动化/集成的商业和开源CTI 管理平台的使用率分别从35% 和 30%增长到两者的 37%。这种采用率的增加表明此类平台的开发正在越来越多地认识到分析师的需求和要求。尽管仍有许多工作要做,但该行业似乎正朝着正确的方向前进。

关于信息处理:除了恶意软件样本逆向工程的预期例外,大多数受访者表示手动处理(41%),其他所有类型的处理对完全自动化的响应比例都很低(15%所有回答的平均值)。所有其他响应都针对半自动化,人工处理的数量仍然很高(平均约为30%)。请参见图10。

图10. CTI 流程

尽管相关性并不意味着因果关系,但如果根据前一点来看这些数据,可以看到需要更多的自动化。因此,提供更多自动化的 CTI平台可能有助于提高其采用率,而提高自动化可能有助于CTI 团队减少手动和半手动处理的数量(仍然很高)。

最后,集成使用的许多不同工具(不仅是CTI 团队自己使用的工具,还包括SOC、IR、漏洞团队等其他人使用的工具)的重要性在今天至关重要。在这方面,第一个结果是只有 46%的受访者将威胁情报整合到防御和响应系统中,比去年的41% 有了显著增长。

组织最常通过CTI 平台(67%的受访者)将 CTI信息集成到防御和响应系统中,其次是情报服务提供商(59%)和供应商API(45%)。这再次表明,供应商目前在实现此类集成方面发挥着重要作用。

展望未来

CTI需要协作和沟通。尽管在过去两年中,向远程工作的转变的趋势、威胁程度的提升和高工作量似乎影响了协作的一些关键组成部分,但组织可以通过流程和工具来解决这些因素。组织应评估他们是否失去了与主要利益相关者的沟通渠道,并应确定重新建立这些渠道的方法。在某些情况下,组织可能需要额外的工具来促进协作。许多CTI 工具(例如TIP)都具有内置的协作功能,团队可以探索这些功能以查看它们是否适合现有流程和工作流,并且不要害怕创建新流程。许多 CTI 团队经历了很多变化,很自然地要适应当前情况下的工作方式。

来源:天极智库

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   

除非注明,本站文章均为原创或编译,未经许可严禁转载。

相关文章:


关于作者

隐私已经死去,软件正在吃掉世界,数据即将爆炸

X