طبق نتایج بررسی اطلاعات تهدید امنیتی (SANS Cyber Threat Intelligence Survey) در سال ۲۰۱۹، شرایط مساعد برای بهبود استفاده از اطلاعات تهدیدات سایبری (cyber threat intelligence) (CTI) وجود دارد.
CTI یک منبع برای دفاع شبکه (network defense) در سازمانهای پاسخ دهندگان نظرسنجی است.
طبق این نظرسنجی ۷۲% از پاسخدهندگان یا CTI را مصرف و یا تولید میکنند. تنها ۸% گزارش دادند که هیچ برنامهای برای شروع استفاده از اطلاعات CTI ندارند. موارد استفاده عبارتند از عملیات امنیتی؛ ردیابی تهدیدها و حملات؛ مسدود کردن تهدیدات؛ و آگاهی از امنیت. تنوع در موارد استفاده از CTI، به این معنی است که CTI به طور گسترده توسط سازمانهای بزرگ و کوچک مورد استفاده قرار میگیرد.
اگر چه تعداد زیادی از سازمانها از CTI استفاده میکنند، ولی الزامات برنامههای CTI به درستی رعایت نمیکنند. تنها ۳۰% سازمانها نیازمندیهای خود را مستندسازی کردهاند، ۳۷% دارای الزامات ad hoc هستند و ۳۳% باقیمانده، اهداف مشخصی را تعیین نکردهاند.
رابرت ام لی میگوید: “مسلماً مهمترین بخش فرآیند CTI شناسایی و تعریف الزامات خوب برای هدایت کل چرخه عمر اطلاعات است. این الزامات باید با ایجاد مجموعه، تحلیل، پردازش و انتشار اطلاعات انجام شود. این الزامات سازمانها را قادر میسازند تا کار اطلاعاتی را به درستی عملیاتی کنند. این کار باعث میشود که همه آنها هشیارتر باشند.”
هنگامی که تمرکز یک برنامه CTI در اهداف آن تعیین میشود، پردازش دادههای جمعآوریشده برای جهت دادن به تلاشها مهم است. برخی از این فرایندها شامل تکثیر معکوس دادهها (deduplication of data)، غنیسازی دادهها با استفاده از دادههای عمومی (enrichment of data using public)، مهندسی معکوس بدافزار (reverse engineering of malware) و استانداردسازی دادهها (data standardization) است.
اکثر پاسخدهندگان گزارش میدهند که چنین کارهایی در سازمان آنها یک فرآیند دستی یا نیمهخودکار است، اگرچه ۸ تا ۱۹% پاسخدهندگان چنین فرآیندهایی را در سازمانشان کاملاً خودکار توصیف میکنند.
نویسندگان این بررسی، لی و براون میگویند: «اگر تیمها بخواهند موارد استفاده را بیشتر کنند، ابتدا سازمانها باید راههایی برای خودکار کردن یا ساده کردن جنبههایی مثل جمعآوری و پردازش دادهها پیدا کنند که اغلب وقتِ یک تحلیلگر را میگیرند.”