過去幾年里，利用威脅情報的公司在保護他們的關鍵基礎設施方面占有明顯優勢的事實已經十分明了了。公司企業正盡其所能地收集、分析和評估盡可能多的數據，不僅僅是他們目前面對的威脅數據，首席安全官和安全團隊已被大量威脅數據吞沒。

威脅情報可以包括各種各樣的東西，諸如：入侵檢測系統、入侵防御系統、安全托管服務和泄露指示器。

而公司通常使用來自這些方面的威脅情報：付費解決方案；可信合作伙伴；正規工業公司；政府和司法機構；開源及他們自身的分析和檢測過程。

根據國際數據公司（IDC）的研究，2014年到2018年，全球威脅情報服務消費預期可從9.055億美元增長到14億美元。 公司企業正越來越多地將威脅情報反饋以一種標準化的方式（XML等）整合進他們的安全架構和安全信息與事件管理（SIEM）系統中。

威脅情報實現有多有用，又有多現實？

企業戰略集團（ESG）的一份報告揭示，一些企業已經實施了安全情報項目，43%的受訪者將他們的項目評級為“非常成熟”。然而，這些項目中有很多缺點，讓僅僅部署威脅情報就能解決安全威脅的期待顯得很不現實。

其中一些缺點如下所示：

1. IT并沒有將威脅情報項目集成到企業合作、溝通和其他IT業務流中。因此，他們并沒有使自己能夠從供應鏈和垂直社區的知識中獲益，或者能夠知曉后端正在發生的事情以識別出跟他們的環境和上下文相關的數據。

2. 更多的關注點被投放到了消費而不是共享上。由于壞人們關注后者，公司企業需要促進威脅情報的共享以有效保護企業用戶和基礎設施。共享所有風險類型的威脅情報可以幫助減少漏洞并扼阻更大的威脅。

3. 在大多數企業里，威脅情報項目被人工流程拖了后腿。這些公司里的安全專業人士要花大量時間收集、處理和粘貼數據，還要將之轉換成不同的格式——自動化了IT領域其他部分的工具在這里不怎么被信任。

4. 公司企業的威脅情報項目還缺乏可操作的意圖。IT團隊忽視了提供已引起注意的威脅指標的額外上下文，無論是來自另一個用戶的還是來自情報反饋的。這一情況意味著信息沒有得到擴展；因此，公司可能會錯過做出更快和可選擇的決策。想使威脅情報具有可操作性，公司企業應該實時接收它并將之與安全意識結合在一起。

5. 最后，安全團隊看的都是原始的、未經過濾的信息形成的數據反饋。想形成可稱之為情報的東西，他們需要讓專業情報分析師分揀評估這些信息，以便能產生關于一個已存在或正在形成的威脅的可行性建議。過去的、現在的和未來的指標，經過人工分析，可以產生豐富的上下文信息。

由此，威脅情報目前多少有幾分不成熟，公司企業考慮潛在利益時沒有認識到能使項目起效的基本原則的力量。這種態勢下，過濾掉不相干的數據而獲得對真實威脅的準確預測性洞察可能是一件耗時耗力的事。

有效的威脅情報要求分析師能根據他們各自組織運營的具體環境準確識別出真實威脅。將威脅與所處環境聯系起來將定義出整個威脅景象，然后分析師就能評估數據反饋和來源（內部還是外部）以確定哪些指標值得關注。

而且，首席安全官和IT部門需要修改現有解決方案，或者部署新的解決方案，以從收集到的來源中洞悉威脅動向并開展后續威脅攻擊方式的調查。雖然內部情報管理通常是可行的，還是可以引入第三方來加速數據清洗和夯實解決方案，這樣企業就能專注于防止攻擊而不是花時間在鑒別與他們的威脅態勢相關的數據和指標上了。

有效威脅情報的另一個重要方面是共享。大多數公司企業只是淺嘗輒止地跟風共享——立即分享一些情報而不是持續分享部分情報，這就限制了他們最小化潛在破壞影響的潛力。舉例來說，放到IT經理案頭而不傳送到專管時間敏感的網絡安全決策制定者那里的情報就是無效的。

共享的目標應該是在各種機構部門間接收和傳播信息。公司企業可以利用產業聯盟驗證威脅發現，利用自動化過程觸發企業內部和企業與政府和司法機構間的即時互動。

能為反饋增加洞察力的來源越多，威脅情報就越有用。擁抱各種先進理念也不失為一個好主意，比如開放安全聯盟，以及與威脅情報共享門戶網站/初創公司合作精簡管理流程。除了以上談到的這些，像是《網絡可觀察對象表達規范》（CybOX）和《可信自動化指標信息交換標準》之類的工業標準也應該納入考慮范圍。

一個好的威脅情報實現應該是怎樣的？

為了打破樊籬讓威脅情報在整個公司企業內運轉流暢，IT部門需要采用健壯的方法來收集、分析、處理情報，并將之轉換成通用語言以便共享。模式可以各種各樣，以下幾個組件則是在部署威脅情報項目發展情報能力中普遍適用的。

1. 設置情報規程

無論你的威脅情報目標是什么，這一點都是最基礎的。威脅的復雜本質要求公司企業在事件發生之前就設置好規程以便在壓力狀態下能夠指導運作。

統一的、開源的、優質的反饋應該依據公司的目標進行衡量以評估它們的投資回報率。成熟的公司企業還需要過濾數據以抽取相關指標再在多個系統中交叉參照。

2. 在分析框架之上勾勒威脅輪廓

對手的作案手法是什么？鑒于你公司所處的行業和安全架構，你將發展出能被用于識別出惡意模式和考慮對手思路的框架。一份威脅概要可以從下面幾個方面呈現：

威脅執行人：關于可以攻擊你公司的人，你了解多少？對這一問題的答案將驅動后續分析進程。受害者：是什么讓你的企業成為數據泄露和黑客攻擊的潛在目標？你比你的同行企業更容易受到攻擊嗎？· 數據重要性：你想防護的數據資產的感知風險是什么？他們目前的防護狀況是怎樣的？· 地點和時間：數據資產存儲在哪里？你是怎樣保護它們的？它們是只以虛擬形式還是同時以物理形式存儲的？這些資產在某些特定時段更容易被入侵嗎（比如周末）？

威脅概要將推動處理效率并讓IT部門能夠實時將情報反饋導引至多個部門。

3. 選擇合適的技術

既然威脅概要已被確定為最適合你公司需要的東西，你便可以推進到下一步——選擇合適的技術以在你的數據和網絡環境中利用威脅情報上來了。

可用的解決方案很多，有些有他們自己內置的服務、反饋和數據庫。最終選擇應該結合你的安全基礎設施和安全信息與事件管理（SIEM）系統來做出，無論關注重點是放在保護云、大數據，還是移動系統上。

4. 將威脅情報的使用集成到你的核心流程中

一個好的實現要求威脅情報能夠在無干擾的情況下告知核心業務決策。然而，企業往往不遵循這一方式，也就是說，他們可能對會影響到關鍵業務決策的威脅沒有一個全景的視野。

他們需要做的，是將威脅情報技術與常規決策結合起來，促進動態資源決策。對更大的轉型業務案例而言，高級和執法監管也是十分重要的。

5. 自動化威脅情報共享

威脅共享如果離了能自動化這一過程的技術將毫無有效性可言。有幾個威脅情報交換平臺促進自動化，企業自身應將精力放在發展與這些威脅情報交換相關聯的流程上以更為全面地了解威脅態勢。

然而，你也需要一些規則來標準化威脅情報共享的傳輸和表達。擁有這些規則可以使共享過程毫無障礙地自動化，即使依賴的是不同工具的時候也是如此。

結論：

有效實現威脅情報需要大范圍評估你的安全立場。因為它要求對網絡和設備數據流的無縫訪問，公司企業需要打破他們的反應墻以創建外部和內部的效率，并充分利用好這一資源。