近日，來(lái)自荷蘭和德國(guó)大學(xué)的研究人員比較了四個(gè)開(kāi)源威脅情報(bào)源和兩個(gè)商業(yè)威脅情報(bào)源(廠商名字被隱去)的威脅指標(biāo)，發(fā)現(xiàn)此類服務(wù)之間幾乎沒(méi)有重疊的數(shù)據(jù)。在商業(yè)威脅情報(bào)方面，較大的供應(yīng)商B擁有13%的供應(yīng)商A的指標(biāo)數(shù)據(jù)，而供應(yīng)商A的提供的情報(bào)僅包含1.3%的供應(yīng)商B的指標(biāo)。

[[338462]]

德?tīng)柛Ｌ乩砉ご髮W(xué)博士候選人，論文的主要作者Xander Bouwman指出：“如果兩個(gè)威脅情報(bào)供應(yīng)商描述的威脅相同，那么對(duì)于用戶來(lái)說(shuō)，他們提供的數(shù)據(jù)也應(yīng)該是相同的。”“但我們發(fā)現(xiàn)情況并非如此。”

即使在跟蹤相同的APT組織時(shí)，威脅情報(bào)供應(yīng)商似乎也沒(méi)有收集到相同的數(shù)據(jù)。Bouwman說(shuō)，研究人員調(diào)查了兩家供應(yīng)商跟蹤的22個(gè)威脅組織，發(fā)現(xiàn)威脅指標(biāo)重合度最高只有4%。

Bouwman指出：“這難免讓人對(duì)這些廠商提供的服務(wù)產(chǎn)生疑問(wèn)。”“如果沒(méi)有太多數(shù)據(jù)重疊，那么這些供應(yīng)商對(duì)整個(gè)威脅態(tài)勢(shì)提供的可見(jiàn)性算是什么?”

威脅情報(bào)包括開(kāi)源威脅情報(bào)，同一行業(yè)中的組織之間的共享情報(bào)以及商業(yè)威脅情報(bào)服務(wù)。開(kāi)源威脅情報(bào)通常包括來(lái)自DNS阻止列表、濫用源、惡意軟件哈希和網(wǎng)絡(luò)釣魚(yú)誘餌的數(shù)據(jù)。除非組織加入特定的行業(yè)組織，否則通常無(wú)法獲得共享的情報(bào)。

商業(yè)威脅情報(bào)通常作為報(bào)告的組合出售，以通知安全團(tuán)隊(duì)和分析人員以及用于檢測(cè)威脅的失陷指標(biāo)(IOC)。例如，一個(gè)典型的商業(yè)情報(bào)服務(wù)，通常會(huì)每月提供數(shù)十個(gè)威脅報(bào)告和數(shù)百個(gè)IOC。

不幸的是，對(duì)于潛在客戶而言，覆蓋范圍不均勻意味著每個(gè)威脅情報(bào)提供者的數(shù)據(jù)集都將有所不同，并且?guī)缀鯖](méi)有保證(或可能性)使威脅與客戶所看到的相匹配。Bouwman說(shuō)，如果沒(méi)有更多信息，這些服務(wù)將很難評(píng)估。

他說(shuō)：“這就是我們所說(shuō)的信息不對(duì)稱的市場(chǎng)。”“賣家知道他們?cè)谫u什么，但是買(mǎi)家不知道他們?cè)谫I(mǎi)什么。”

Bouwman比較了Alienvault、Blocklist.de、CINScore和EmergingThreats這四個(gè)開(kāi)源威脅情報(bào)(OTI)。盡管某些開(kāi)源威脅情報(bào)與其他開(kāi)源情報(bào)有明顯重疊，但商業(yè)供應(yīng)商與任何開(kāi)源威脅情報(bào)的重疊都不到1%。

Bouwman說(shuō)，缺乏重疊會(huì)引起人們關(guān)于覆蓋范圍以及服務(wù)是否提供了威脅狀況的真實(shí)描述的問(wèn)題。

研究人員發(fā)現(xiàn)，客戶通常將威脅情報(bào)用于網(wǎng)絡(luò)檢測(cè)，態(tài)勢(shì)感知以及確定安全運(yùn)營(yíng)中心(SOC)活動(dòng)的優(yōu)先級(jí)。根據(jù)對(duì)14位威脅情報(bào)用戶的調(diào)查，商業(yè)數(shù)據(jù)更擅長(zhǎng)為用戶提供上下文。此外，威脅情報(bào)似乎不受成本的限制，只有五分之一的受訪者將成本作為考量因素。

他說(shuō)：“客戶似乎并不關(guān)心覆蓋范圍，他們沒(méi)有針對(duì)檢測(cè)進(jìn)行優(yōu)化，也沒(méi)有在談?wù)撝笜?biāo)。”“如果他們確實(shí)提到指標(biāo)，那么幾乎總是在談?wù)撜`報(bào)。”

總體而言，威脅情報(bào)似乎不是要對(duì)大多數(shù)威脅進(jìn)行深入了解，而更多地是要使用報(bào)告和IOC作為了解威脅狀況的方法，并偶爾用于威脅搜尋。研究人員說(shuō)，最重要的因素可能是威脅情報(bào)服務(wù)是否有助于節(jié)省分析師時(shí)間。

Bouwman說(shuō)，商業(yè)供應(yīng)商應(yīng)幫助客戶從其情報(bào)源中獲得最大的生產(chǎn)力，以證明其高成本背后的高價(jià)值，而客戶則需要要求供應(yīng)商覆蓋范圍內(nèi)的更多信息。

他說(shuō)：“在信息不對(duì)稱的市場(chǎng)中，消費(fèi)者的支付意愿最終可能會(huì)下降，因?yàn)樗麄儫o(wú)法區(qū)分威脅情報(bào)產(chǎn)品的優(yōu)劣。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文