【注：SANS2017年度的报告出炉后，我一直没空摘译出来，正好华为的“中发表了出来，我就不费劲了，转贴于此】

SANS今年针对情报的调查报告刚刚发布，认真拜读了一下，学习行业对情报的使用情况和落地的发力点。作为第三年的调查报告被命名为“Cyber Threat Intelligence Uses, Successes and Failures”（去年是CTI Important and Maturing）。有60%的受访企业已经使用了情报还有25%的企业计划使用。78%受访者认为情报能够提高他们的安全及响应的能力。通过今年的报告，总体感觉，情报价值的可衡量仍然是一个难题，今年报告的参考价值（使用场景、落地方面）比不上去年的那么详细具体。下面挑出了情报来源、使用、工具整合、收益等几个有意思的数据记录一下。

情报数据来源

情报数据来源，和去年调查报告一样占第一位的还是来自行业或者社区例如CERT之类的，而今年不一样的是来自内部数据也占了很大席位（去年46%排到第四位，今年排第二位）。    社区或行业组织提供例如CERT，73%    各种内部数据（使用现有的安全工具和feed），54%    安全厂商提供的feed，52%    开源情报，50%    情报厂商提供的feed    其他正式和非正式团队因兴趣而贡献的

2016年的报告还有一项调查是受访者使用什么安全厂商的feed比较多，去年最高的得票是IDS/IPS/防火墙厂商的feed。也许今年安全厂商类的feed下降到第三位了，所以没有单列这个调查结果。

处理情报数据受访企业的反馈中，占最多的（19%）他们大致每周能处理11~100个indicator，而（占22%的反馈者）表示每周能够有效利用的indicator是1~10个。但其实反馈数据中还有35%的企业其实不知道每周能处理多少indicator，有43.6%的受访者也不知道有多少能够有效利用。不过SANS的报告强调不知道具体的数字与认为没有用（占0.4%）是完全两回事。之所以会出现“不知道”很可能是因为目前的情报还未很成熟，情报厂商和情报的使用者之间对情报的有效使用还有gap，客户还不知道如何有效的使用这些情报。

情报的使用

关于情报的使用场景，72%受访者在定位（***）源和拦截恶意活动和威胁中使用威胁情报，72%受访者在incident response中使用威胁情报。其他还包括：    安全感知（向管理层或团队汇报趋势数据和报告）    威胁管理（识别威胁）    漏洞管理    威胁狩猎（用IoC去hunting）    合规    安全优先排序    IT运营    漏洞优先排序    管理层感知    威胁建模    预算和花费的优先排序

情报的收益

情报在安全上带来的提升，19%的受访者认为在阻止和检测方面可以提升50%~75%，在响应方面，18%的受访者认为可以提升11%~25%或者26%~50%。但是其实最大部分反馈的是unknown，特别是响应方面，去年的调查中对响应的提升有19%表示unknown，而今年提升到31%。这表明其实比去年更少组织能够准确衡量情报带来的提升。但是不能衡量和没有提升是两个不同的概念，因为只有0.5%的受访者认为不能提升。报告里面提到情报对安全的（可衡量的）提升程度之所以低，可能跟情报还缺乏成熟的实现和程序整合有关

再具体一点，受访者最明显感觉到情报在安全上带来的提升是对影响企业的威胁和***手法有更好的“看得见”的能力（72%），第二个明显的感觉分别是提供安全运营和检测未知威胁上（都占了63%），其余还包括阻止了数据泄露和提升事件检测和响应时间上（刚过50%）

2016年的报告则更具体的指出了几个情报的使用场景，例如拦截恶意域名或IP（63%），在调查中丰富上下文信息（50%）等

情报的实现与整合情报依托的工具。从受访者的调查反馈看，情报的聚合、分析和表现依托的工具主要还是SIEM，其次是网络流量分析工具，第三位是***监控平台（去年是第二位），而商业的威胁情报管理平台则位于第五位。比较有趣的是最原始的Excel和email占据了第四的位置

具体对feed的整合，通过API占了主流，这个调查结果和去年差不多。反馈结果显示47%用厂商提供的API，46%用自定义的API，41%通过专门的情报平台包括商业或者开源的。

情报标准

最后情报使用的标准，今年的调查结果STIX（40%），OpenIOC（38%）稍微略高一点，但是报告指出综合这几年的调查看，几大共享情报标准（去年STIX是29%）的结果数据其实起伏较大，总体来说没有真正的赢家。

今年的报告还有其他一些数据，例如制约企业使用情报的因素（无非就是人员和资金投入还有流程），情报从业者所需要的技能，受访者在企业安全中的角色等等。

【参考】