實用網絡威脅情報應受到重視。數據那么多，市場那么亂，情報的實用性難道不是更加重要嗎？

讓威脅情報實用化的重要方面之一，是確保情報受到評估。什么意思呢？對威脅情報的錯誤理解，有很多都落在了自動化和速度上。提供數據或威脅指示器(IOC)的威脅情報反饋或平臺，邁出的是通向情報的第一步，但其實用性卻是成問題的。比如說，如果數據是“實時”出現的，那絕對不能稱之為“情報”，僅僅未經評估的已發生事件的數據/信息。

什么是經評估的威脅情報？

經評估的威脅情報，就是所有威脅數據都經過審查和確認，被標準化和組織化，以一種易于使用的方式供分析師在一定基礎上開展工作，而不用一切從零開始。

如果數據實時投遞，沒有經過驗證，或者融在對公司有用的上下文中，就需要分配公司自己的分析師來進行情報整編工作。這是關于誰該負有情報抽取責任的問題。即便數據或IOC已知為真，是否與自家公司和技術環境相關呢？“可執行”，是業內流傳甚廣的一個術語，但如果數據未經評估且不與公司相關，最終只會產生大量供你執行的動作，可能會是金錢、資源和時間的明智分配，也可能不是。這又落回到前面提過的，交給你的“情報”實用不實用的問題上。

作為情報團隊負責人，手邊有經評估的情報可用而不僅僅是原始數據，就可以立即開展更多工作，不用再在一大堆誤報中艱難淘寶；可以構建真正重要的東西，將精力放在讓結果更加精準上。

每家公司的網絡威脅情報成熟度都不一樣，但大多缺乏有經驗的員工和相應的資源。但他們仍想讓情報輔助驅動公司前行。雖然引入威脅數據反饋在理論上聽起來很棒，若缺乏負責處理的人員，那你得到的只會是無盡的失望。經評估的情報會有所助力的另一個例子正在于此。

實用且可用的完善情報

讓情報有實用性的另一個重點，是完善的情報。情報得是有用的、相關的、及時的，達成此一目標的唯一方法，就是經過評估過程。情形是什么？有多少威脅是活躍的？威脅會怎么影響我的公司？最后，最重要的，我可以對此做些什么？

完善的情報，要求有對惡意攻擊者的能力、機會和意圖的評估和分析。這可不單單是一個乃至一組威脅指示器(IOC或許能增加細節，但仍需要被研究、分析，并投入上下文中)。情報不是平臺、數據反饋或工具，而是一種能力，需要人力分析，且應包括給定置信度的有據假設，以及證據和理論的支持。它必須特定于公司，確保其價值和重要性。緩解建議也應包含在內，比如，“這種情況我該怎么辦？”沒人喜歡被告知問題卻不附帶可能的解決方案。

完善的情報可以多種輸出形式投遞，由終端用戶來確定哪種輸出是最受歡迎的：

無論完善情報的投遞形式如何，只要不能告訴你風險是什么，以及該如何緩解，那就不是真正完全有用或實用的情報。

“直說就好”，“問題到底是什么？”，或者“說重點”，是主管常用語句。決策者總是想要快速抓住重點。完善的情報所處環境與之類似。它需要直擊核心，讓終端用戶不用自己費力找尋答案，或者花費大量時間抽絲剝繭。

 威脅情報模型

快速抓住重點，可使用上圖所示的“通路”方法學。這個模型展示了行業目標、技術目標、投遞方法、所用漏洞、侵入范圍和所造成的效果/傷害。該方法可用于展示任意所需級別(戰略性、操作性、戰術性)的完善情報，因而能為企業內不同部門所用。知道對手會怎么攻擊你(基于別的同類公司身上發生過的事——經評估的情報，真實可信的)，有助于識別風險領域，為提出威脅應對建議創造條件。

總之，實用性威脅情報遠不止IOC、數據流和信息共享。它簡明扼要地讓你了解情況，得出結論。為獲得實用性威脅情報，不妨要求自身情報團隊和外部廠商都不僅僅告訴你那些你已經知道的重點，而是以一種經評估的、高效的、易于采用的方式，告訴你最終驅散風險應采取的措施。