瞎子摸象?商業威脅情報價值遭受質疑
近日,來自荷蘭和德國大學的研究人員比較了四個開源威脅情報源和兩個商業威脅情報源(廠商名字被隱去)的威脅指標,發現此類服務之間幾乎沒有重疊的數據。在商業威脅情報方面,較大的供應商B擁有13%的供應商A的指標數據,而供應商A的提供的情報僅包含1.3%的供應商B的指標。
德爾福特理工大學博士候選人,論文的主要作者Xander Bouwman指出:“如果兩個威脅情報供應商描述的威脅相同,那么對于用戶來說,他們提供的數據也應該是相同的。”“但我們發現情況并非如此。”
即使在跟蹤相同的APT組織時,威脅情報供應商似乎也沒有收集到相同的數據。Bouwman說,研究人員調查了兩家供應商跟蹤的22個威脅組織,發現威脅指標重合度最高只有4%。
Bouwman指出:“這難免讓人對這些廠商提供的服務產生疑問。”“如果沒有太多數據重疊,那么這些供應商對整個威脅態勢提供的可見性算是什么?”
威脅情報包括開源威脅情報,同一行業中的組織之間的共享情報以及商業威脅情報服務。開源威脅情報通常包括來自DNS阻止列表、濫用源、惡意軟件哈希和網絡釣魚誘餌的數據。除非組織加入特定的行業組織,否則通常無法獲得共享的情報。
商業威脅情報通常作為報告的組合出售,以通知安全團隊和分析人員以及用于檢測威脅的失陷指標(IOC)。例如,一個典型的商業情報服務,通常會每月提供數十個威脅報告和數百個IOC。
不幸的是,對于潛在客戶而言,覆蓋范圍不均勻意味著每個威脅情報提供者的數據集都將有所不同,并且幾乎沒有保證(或可能性)使威脅與客戶所看到的相匹配。Bouwman說,如果沒有更多信息,這些服務將很難評估。
他說:“這就是我們所說的信息不對稱的市場。”“賣家知道他們在賣什么,但是買家不知道他們在買什么。”
Bouwman比較了Alienvault、Blocklist.de、CINScore和EmergingThreats這四個開源威脅情報(OTI)。盡管某些開源威脅情報與其他開源情報有明顯重疊,但商業供應商與任何開源威脅情報的重疊都不到1%。
Bouwman說,缺乏重疊會引起人們關于覆蓋范圍以及服務是否提供了威脅狀況的真實描述的問題。
研究人員發現,客戶通常將威脅情報用于網絡檢測,態勢感知以及確定安全運營中心(SOC)活動的優先級。根據對14位威脅情報用戶的調查,商業數據更擅長為用戶提供上下文。此外,威脅情報似乎不受成本的限制,只有五分之一的受訪者將成本作為考量因素。
他說:“客戶似乎并不關心覆蓋范圍,他們沒有針對檢測進行優化,也沒有在談論指標。”“如果他們確實提到指標,那么幾乎總是在談論誤報。”
總體而言,威脅情報似乎不是要對大多數威脅進行深入了解,而更多地是要使用報告和IOC作為了解威脅狀況的方法,并偶爾用于威脅搜尋。研究人員說,最重要的因素可能是威脅情報服務是否有助于節省分析師時間。
Bouwman說,商業供應商應幫助客戶從其情報源中獲得最大的生產力,以證明其高成本背后的高價值,而客戶則需要要求供應商覆蓋范圍內的更多信息。
他說:“在信息不對稱的市場中,消費者的支付意愿最終可能會下降,因為他們無法區分威脅情報產品的優劣。”
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
