瞎子摸象？商业威胁情报价值遭受质疑

近日，来自荷兰和德国大学的研究人员比较了四个开源威胁情报源和两个商业威胁情报源（厂商名字被隐去）的威胁指标，发现此类服务之间几乎没有重叠的数据。在商业威胁情报方面，较大的供应商B拥有13%的供应商A的指标数据，而供应商A的提供的情报仅包含1.3%的供应商B的指标。

德尔福特理工大学博士候选人，论文的主要作者Xander Bouwman指出：“如果两个威胁情报供应商描述的威胁相同，那么对于用户来说，他们提供的数据也应该是相同的。”“但我们发现情况并非如此。”

即使在跟踪相同的APT组织时，威胁情报供应商似乎也没有收集到相同的数据。Bouwman说，研究人员调查了两家供应商跟踪的22个威胁组织，发现威胁指标重合度最高只有4％。

Bouwman指出：“这难免让人对这些厂商提供的服务产生疑问。”“如果没有太多数据重叠，那么这些供应商对整个威胁态势提供的可见性算是什么？”

威胁情报包括开源威胁情报，同一行业中的组织之间的共享情报以及商业威胁情报服务。开源威胁情报通常包括来自DNS阻止列表、滥用源、恶意软件哈希和网络钓鱼诱饵的数据。除非组织加入特定的行业组织，否则通常无法获得共享的情报。

商业威胁情报通常作为报告的组合出售，以通知安全团队和分析人员以及用于检测威胁的失陷指标（IOC）。例如，一个典型的商业情报服务，通常会每月提供数十个威胁报告和数百个IOC。

不幸的是，对于潜在客户而言，覆盖范围不均匀意味着每个威胁情报提供者的数据集都将有所不同，并且几乎没有保证（或可能性）使威胁与客户所看到的相匹配。Bouwman说，如果没有更多信息，这些服务将很难评估。

他说：“这就是我们所说的信息不对称的市场。”“卖家知道他们在卖什么，但是买家不知道他们在买什么。”

Bouwman比较了Alienvault、Blocklist.de、CINScore和EmergingThreats这四个开源威胁情报（OTI）。尽管某些开源威胁情报与其他开源情报有明显重叠，但商业供应商与任何开源威胁情报的重叠都不到1％。

Bouwman说，缺乏重叠会引起人们关于覆盖范围以及服务是否提供了威胁状况的真实描述的问题。

研究人员发现，客户通常将威胁情报用于网络检测，态势感知以及确定安全运营中心（SOC）活动的优先级。根据对14位威胁情报用户的调查，商业数据更擅长为用户提供上下文。此外，威胁情报似乎不受成本的限制，只有五分之一的受访者将成本作为考量因素。

他说：“客户似乎并不关心覆盖范围，他们没有针对检测进行优化，也没有在谈论指标。”“如果他们确实提到指标，那么几乎总是在谈论误报。”

总体而言，威胁情报似乎不是要对大多数威胁进行深入了解，而更多地是要使用报告和IOC作为了解威胁状况的方法，并偶尔用于威胁搜寻。研究人员说，最重要的因素可能是威胁情报服务是否有助于节省分析师时间。

Bouwman说，商业供应商应帮助客户从其情报源中获得最大的生产力，以证明其高成本背后的高价值，而客户则需要要求供应商覆盖范围内的更多信息。

他说：“在信息不对称的市场中，消费者的支付意愿最终可能会下降，因为他们无法区分威胁情报产品的优劣。”