雖然網絡世界里有些人覺得威脅情報是新晉流行詞，其實情報在我們身邊已經很久了。政府早已利用情報在外交上、戰場上、對抗恐怖主義上占據優勢。公司為獲得競爭優勢，攫取市場、銷售和財務商業信息，也紛紛應用情報戰術。情報的概念行之有效，久經考驗。

網絡威脅情報(CTI)也是同樣的概念——理解行為人、威脅、態勢、風險，以及所有這些元素之間的相互聯系，只不過，限定在網絡世界而已。對收到、執行或計劃執行的威脅情報設立適宜的期待，有助于抽取威脅情報的完全價值，避免掉進常見陷阱。在威脅情報是什么，不是什么，以及為誰服務上，有幾條指南謹供參考。

信息不是情報

信息當然是情報過程的一部分，但情報和信息是完全不同的。“信息”的例子可見攻擊指標(IOC)，但IOC本身并不是情報。它可能給情報添加一些細節，但IOC必須被研究、分析，放到上下文環境和公司場景中。威脅情報遠不止一條或一組威脅指標，它需要對惡意分子的意圖、機會和能力信息進行評估和分析的間諜情報技術。想從信息升級到情報，你必須：計劃、收集、處理、產生和擴散經分析的信息。這些信息必須特定針對公司以確保其價值和重要性。

情報包含假設和推斷，但千萬別假定你的設想是完全的。威脅情報不是一門確定的科學，它很黏糊。好的情報能極大促進安全成果，壞的情報則能把你帶進溝里。所以，盡管通常涉及一定程度的假設，也是要可靠的信息、經驗和智慧才能做出良好的判斷。情報分析通常是基于不完美/不完整的數據集做出的。置信度評估(比如：高、中、低)是添加上下文的良好方式，支持這些評估的額外研究則可增加分量。

情報給你的，應不止是故事。你的網絡故事當然是重要一環，但好的情報應該提供結論。故事結局如何？基于對威脅的分析、環境、風險層級、影響等等，有哪些推薦的緩解措施供公司改善局面？哪些資產面臨的風險更大？網絡防御工作重心在哪兒？達成結論的分析中，證據和邏輯必須是重要部分。而且要記?。河袝r候故事也在發展。信息總在更新，所以，當有新東西出現時，保持緊跟風潮，確定這些東西是否會改變或擴充故事，就顯得特別重要了。

沒有實時威脅情報這種東西

實時威脅情報不過就是些數據。威脅情報需要研究和分析。但是，速度確實非常重要，而自動化也在全面情報收集和處理過程中扮演著重要角色，但分析始終需要人類的專門知識。而這，需要一定的時間。任何實時的東西，不過是更多的數據，而不是情報。

情報不是平臺、工具或反饋，它是種能力

平臺、工具或反饋，是交付情報的方式，但創建情報需要人、過程和技術這三駕馬車的緊密結合。情報交付當然很重要，因為不同的用戶有著不同的消費需求，但情報是人(研究、解釋、分析、交付和消費最終情報的分析師、風險官和部門運維人員)，過程(情報是怎么被收集、處理、分析、交付和消費的)，以及技術(用來收集數據、自動化分類和一定程度的分析、可視化數據趨勢等等)的組合。

情報應該有深度，但又簡明。就算達成結論的過程數據豐富證據充實，一份情報報告也不應該讓讀者翻了一頁又一頁還是陷在背景知識里出不來。報告不應該是在顯示你懂得多少，而應該更多地關注情報消費者需要知道的東西，幫助他們采取合適的動作，最終將安全態勢變得更好。簡單說，情報應能被及時使用，又能提供所需的支持和深度。

情報應包含公司特征、內部數據和對公司外部事件的理解。只利用內部或外部威脅情報，也就只能照亮威脅迷宮的一個角落而已。要有能力對比/關聯內部和外部情報，為公司描繪出準確的風險視圖。

威脅情報為誰服務？

最后需要考慮的，是情報消費問題。不僅僅是實際的防御人員需要威脅情報。不同類型的情報都具有價值，支持不同的用例。傳統上，出于非常策略性的原因，威脅情報只在安全運維中心(SOC)內部使用。但是，從更廣泛的風險管理角度，情報也有助于連接公司各節點。

再強調一遍，網絡威脅情報不僅僅是公司的另一套工具或防護層。它是一種能力，可以驅動更有效網絡安全決策和更多投資，能幫助公司多個領域減小風險。