近日,来自荷兰和德国大学的研究人员对比了4个开源威胁情报源和2个商业威胁情报源(厂商名称隐去)的威胁指标,发现这样的services之间的数据几乎没有重叠。在商业威胁情报方面,较大的厂商B拥有厂商A的13%的指标,而厂商A的情报仅包含厂商B的1.3%的指标。“如果两个威胁情报供应商描述了相同的威胁,那么对于用户来说应该是相同的,”代尔夫特理工大学的博士候选人和该论文的第一作者XanderBouwman说。“但我们发现,事实并非如此。”即使在跟踪相同的APT组时,威胁情报供应商似乎也不会收集相同的数据。Bouwman表示,研究人员查看了两家供应商跟踪的22个威胁组,发现威胁指标只有4%的重叠。这不可避免地引发了对这些供应商提供的产品的质疑,”Bouwman说。“如果没有大量数据重叠,那么这些供应商对整体威胁态势提供了什么样的可见性?”威胁情报包括开源威胁情报,同一个行业的组织和商业威胁情报服务之间的共享情报。开源威胁情报通常包括来自DNS黑名单、滥用源、恶意软件哈希和网络钓鱼诱饵的数据。除非组织加入特定的行业团体,否则共享情报通常不可用。商业威胁情报通常作为报告的组合出售,以通知安全团队和分析师以及指标sofcompromise(IOCs)来检测威胁。例如,典型的商业智能服务通常每月提供数十份威胁报告和数百份IOC。不幸的是,对于潜在客户而言,覆盖面不均匀意味着每个威胁情报提供商的数据集都会不同,并且几乎无法保证(或可能)将威胁与客户所看到的相匹配。Bouwman说,如果没有更多信息,这些服务将难以评估。“这就是我们所说的信息不对称市场,”他说。“卖家知道他们在卖什么,但买家不知道他们在买什么。”Bouwman比较了Alienvault、Blocklist.de、CINScore和EmergingThreats这四种开源威胁情报(OTI)。虽然一些OSTI与其他供应商有很大的重叠,但商业供应商与任何OSTI的重叠都不到1%。Bouwman说,缺乏重叠引发了关于覆盖范围以及该服务是否提供了威胁情况的真实情况的问题。研究人员发现,客户通常将威胁情报用于网络检测、态势感知和安全运营中心(SOC)活动的优先级排序。根据对14位威胁情报用户的调查,商业数据更善于为用户提供上下文。此外,威胁情报似乎不受成本的约束,只有五分之一的受访者认为这是一个因素。“客户似乎并不关心覆盖范围,他们没有针对检测进行优化,他们没有谈论指标,”他说。“如果他们确实提到指标,他们几乎总是在谈论误报。”一般威胁情报似乎较少深入了解大多数威胁,更多地使用报告和IOC作为了解威胁态势和偶尔进行威胁搜寻的一种方式。研究人员说,也许最重要的因素是威胁情报服务是否有助于节省分析师的时间。Bouwman说,商业供应商应该帮助客户充分利用他们的情报来源,以证明其高成本背后的高价值是合理的,而客户将需要询问有关供应商涵盖范围的更多信息。他说:“在信息不对称的市场中,消费者的支付意愿最终可能会下降,因为他们无法区分威胁情报产品的好坏。”安全牛(微信公众号id:gooann-sectv)获得授权】点此阅读作者更多好文
