2021年1月SANS依例发布了新一年的网络威胁情报调查现状调研报告,报告中网络威胁情报的广义定义大体上并未改变:网络威胁情报(CTI)是分析影响安全运营的恶意人员的能力、机会和意图。了解恶意人员如何将信息、系统、人员和组织作为目标,可以帮助组织和个人理解如何执行威胁检测和安全操作,如何响应事件,设计更好的系统,了解风险和影响,进行策略调整并保护业务降低损失。组织利用网络威胁情报项目来聚焦于面临的威胁,并提供具体的信息来帮助组织防范、应对威胁。

去年,由于新冠疫情的全球大流行,日常生活的方方面面都发生了改变,CTI的工作也不例外,因此今年的调查也涵盖了网络威胁情报工作的变化。尽管2020年举步维艰,但CTI的工作仍然持续蓬勃发展,价值日益增加,CTI的应用也不断深化。

核心要点:

1.新冠疫情促使CTI分析人员的工作方式发生了转变。

CTI分析人员通过电子邮件及可视化仪表板同步信息取代亲自进行简报。越来越多的CTI分析人员居家办公,CTI收集和信息处理等诸多领域中的自动化改进,使分析人员的工作更易于管理。

2.CTI不仅仅服务于顶级组织。

报告表明拥有CTI计划的小型组织数量有所增长。CTI为从战略决策到战略决策的各个级别的安全提供了改进的支持。

3.CTI工具和流程自动化程度加深。

CTI工具和流程变得更加自动化,让分析师有更多时间花在更高层次的分析活动上,而不是重复地收集和处理任务。今年,我们看到CTI分析师整合了来自政府的更多信息安全公告和媒体报告进行分析。

一、行业现状

2021年网络安全组织在去年被政府和金融机构超越之后,再次成为焦点。图1为2021年调查受访者的人口统计数据概貌。

组织的CTI能力可以集中于生成供他人使用的情报,可以将他人生产的情报用于防御目的,也可以将情报生成和应用相结合。

1.1 CTI的流程:情报周期

CIT流程又称CIT情报周期,它完整包括了网络威胁情报从规划、收集、处理、分析、传播的全过程。

规划

随着近些年大部分企业正在逐步走向成熟,我们也可以看到在2019年至2021年之间,企业对CTI的要求呈现逐渐增长的趋势。数据表明有临时要求的组织数量稳步增长,但有正式要求的组织数量却产生了波动,这也表明正式的需求流程并不适合刚起步的组织,需要一个更灵活的流程来满足组织在任何特定时间的需求。

收集

今年,来自“外部来源(如媒体和新闻)”的信息收集和整合显著增加,比去年增长了10%以上。77%的受访者认为媒体和新闻是CTI利用的主要信息来源。这意味着需要避免个人和CTI分析师接收虚假、错误信息。

处理

信息处理将收集到的信息转换为易于利用的格式以进行分析。在过去的几年中,CTI行业一直在努力使这些任务更多地采用自动化相关技术。

分析

在CTI中,必须进行分析以了解威胁,确定威胁与特定组织的相关性以及更好地让分析人员防御或应对威胁。

传播方式

传播是CTI的关键,确保将正确的信息以正确的方式传递给正确的人,在传播的过程中采用自动化的技术,传播方式包括简报、电子邮件、报告或演示文稿等,接收方利用CTI来理解所处的安全态势,以采取下一步行动。

1.2 有效支撑CTI 的工具

CTI工具并非在所有场景下都能有效的发挥作用。CTI分析师需要CTI工具来帮助其维持知识、协助分析、提供一定程度的数据自动化处理。如果无法找到情报间的联系,就无法在规模和范围更广的团队中发挥作用。

大部分CTI信息直接集成在威胁情报平台。威胁情报平台可能是一笔巨大的投资,并且确保它通过直接集成来协助检测和响应工作是提高这些工作效率的简单方法。但是,造成这种差距的原因可能仅仅是SIEM在这些方面对自动化的高度依赖。然而,与去年相比,一个重大变化是该领域的供应商支持的API增长了近10%,达到51%(高于2020年的43%)。

1.3 CTI行业日益成熟

最近几年,开始参与CTI计划的组织数量增长迅速。随着CTI日益成熟而发展的组织数量持续增长,中小型组织也在逐步发展。越来越多的组织将媒体报道整合融入智能收集计划中,这表明了解如何正确分析这些信息以获取错误信息和虚假信息以及如何将其整合到CTI计划中的重要性。需要其他工具功能来解决CTI中此类信息的增加。

有正式要求的组织下降了不到5%,而有临时要求的组织增长了超过6%。这再次凸显了公司正在逐步走向成熟,从临时要求而不是从零开始,这是相较于几年前的极大进步。不同规模的组织对CTI的认识日益加深,逐步重视。除高管和网络安全以外的其他业务部门对合规要求做出了巨大的贡献,但安全运营团队和CTI团队仍然是最大的需求方,这也是行业成熟的另一个标志。

二、新冠疫情下的行业新气象

2.1 CTI的工作方式的转变

CTI分析人员通过电子邮件及可视化仪表板同步信息取代亲自进行简报。CTI收集和信息处理等诸多领域中的自动化改进,使分析人员的工作更易于管理。CTI工具和流程自动化程度越来越高,从而使分析师有更多时间花在更高级的分析活动上,而不是重复进行收集和处理任务。

2.2 CTI适用范围扩大

CTI不仅仅只为大型企业提供数据支撑,越来越多的中小型企业采用了CTI计划。CTI为从战略决策到战略决策的各个级别的安全提供了改进的支持

报告显示,85%的受访组织生产或使用了CTI,比2017年的60%有显著提升,同时没有计划使用或生产情报的受访者人数首次为零。

2.3 CTI团队模式改变

单个组织可以在内部管理其所有CTI能力,也可以完全或以混合模式依赖外部提供商。在过去的五年中,我们看到只有内部团队的百分比缓慢下降,而混合模型团队的百分比有所攀升。今年,这一趋势发生改变,内部团队从2020年的31.2%增加到2021年36.5%,混合模式从2020年的60.9%减少到2021年的55.7%。

三、下一步举措

虽然CTI行业迅猛发展,价值日益增加,CTI的应用也不断深化,但是总体上仍处于探索发展阶段,各厂商组织仍要根据各自的需求探索适合自己的模式,提高CTI的利用率,为企业的发展提供更好的服务。为了推动行业发展,提出以下举措:

  • 与所在行业或类似领域的其他组织交流,以了解相关领域的有效方法并关注情报要求。与SOC或IR团队(内部或外包)等其他安全团队合作,以了解公司过去所遭遇的威胁,以确定CTI需求;

  • 与安全领域之外的利益攸关者保持良好联系,了解威胁情报对公司决策的作用,以保护公司安全;

  • 定期检查和更新情报需求的节奏,以适应威胁态势以及组织内部的变化;

  • 将自动化纳入使CTI技术数据与组织的决策者相关的工作流程中;

  • 通过增加对CTI工作的投入和支持,推动整个行业的发展。

声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。