威脅情報服務能夠產生價值，但企業必須首先確定如何正確地衡量威脅情報指標。在本文中，Char Sample為大家解釋了實現這一目標的最佳途徑。

威脅情報在日益增長的網絡安全領域是項非常龐大且逐漸擴展的業務。相關領域的增長預示著威脅情報服務業務的提升，就像我們見證了入侵檢測和預防系統、防火墻、VPN等安全產品的崛起那樣。

要觸發威脅情報流程，威脅必須發生在某些風險功能的合適角度。重要的是要獲得準確和相關的威脅情報度量標準。這個過程的第一步是獲得徹底理解公司的環境。

理解公司的環境需要深入了解其當前的漏洞以及它們與公司的風險狀況之間的關系。這種理解必須在威脅情報收集和威脅分析開始之前。為什么？因為威脅情報的度量標準必須與這種理解存在相關性。

理解風險和成功的狀況，優先選擇定量的內容，幫助確定問題的邊界。有邊界的問題是威脅情報度量標準具有意義的關鍵組成部分。此外，當問題邊界不清楚時，通常是由于公司對風險和成功的理解不當，每個威脅源（threat actor）對應每一項威脅被不當評估和優先從而出現新的問題方向。在某些情況下，這會產生以前所不存在的問題。

邊界威脅情報度量標準

在無邊界環境中實現有邊界威脅情報度量標準是很棘手的，但并不是不能實現。即使是一份基本的風險分析也需要首先提供必要的輸入。發現的風險可以被認為是“已知糟糕的”或具有風險的。那些“已知無害的”的部分也可以被量化。綜上，對公司原始環境理解的量化對精確和有效的威脅度量標準是必要的。

依賴建模（Dependency modeling）提供了最準確的方法。因此，測量的第一個單元來自對現有與成本相關的漏洞威脅的檢查。這里的目標是了解破壞所造成的確切成本。下一步則是將威脅顯性化。

來到實際的威脅度量標準環節，希望首先剔除的是多個反饋報告都在相同的因素和事件上進行反饋的那種重復回聲式的內容。在提高效率和準確性的努力過程中，使用多路威脅情報服務的公司可以追蹤按日期/時間分布的威脅。當匹配的威脅被識別和分發，威脅應該被捕獲（按照日期/時間，已識別威脅源和利用手段）并跟蹤對抗競爭對手。最感興趣的兩個度量標準是分布的時間，以及其與現有已識別的風險區域的相關性。這將幫助您確定哪些供應商及時提供信息，同時幫助企業減少無用信息，并幫助您理解反饋的相關性和重要性。

衡量成功的因素

接下來，可能也是最重要的一步，度量標準是公司如何處理威脅。盡管許多公司喜歡橫向收集他們所在行業相關的度量標準，真正的目標是保持運營并抵御威脅，同時對威脅的存在的保持清醒。因此，最被忽視的度量標準之一是確定多少已被識別的威脅正在嘗試利用和攻擊公司存在的漏洞。在很多情況下發生的一項早期指示信息，是威脅因素嘗試對安全服務進行偵查。因此，了解有多少次嘗試被阻止也是很值得的。

當然，即使99%的威脅嘗試都失敗了，如果有1%的攻擊通過了，那么所有類型的活動都需要重新考慮風險和成本。假設可怕的1%攻擊成功造成了破壞的情況，下次的度量標準將涉及恢復測量方法。恢復系統實際到原始純凈版本并安裝好必要的補丁需要多長時間？

除了跟蹤某一條目的典型日期/時間，發現和執行度量標準，關鍵是要注意向量類和因素數據。標識攻擊來自內部還是外部的信息來源是非常重要的，因為涉及到攻擊者的性質。例如，一個成功的釣魚結構通常包括一個不知情的內部與外部的始作俑者。需要在他們的組群中捕捉這些源頭，以使威脅源度量標準顯現出價值。

需要跟蹤發現時間以及確定損害程度所需的時間。最終，這一度量標準，與其他已識別的度量標準一樣，應隨著時間的推移而進行跟蹤。對于可能缺乏資源的威脅情報度量標準的網站團隊來說，至少也要每季度進行跟蹤。此外，更多的資源密集型網站可能要每周跟蹤指標，因此趨勢是會按照典型的每周、每月、季度和年度報告進行跟蹤。

結論

威脅情報度量標準包含很多方面，某一公司希望在威脅度量標準上投資的深度程度很大程度上取決于其資產的價值。威脅分析服務缺乏個性化網站所需要的定制化，但他們擁有許多中小企業所缺乏的資源。更大的公司有能力，而且也應該投資組建威脅度量標準團隊，與數據科學家一道，不僅僅檢查公司所遭受到的威脅，同時也可以融入其他數據的作用，如將地緣政治，經濟和自然災害數據混合到一起進行分析。

無論公司規模是大還是小，威脅情報度量標準必須跟蹤當前的風險區域。因此，所有的工作都應該在公司環境中具有詳細的、可量化的風險理解。只有這樣，所得到的威脅度量標準才能顯現意義和價值。