新年新氣象，有新策略要實現，新預算要平衡，新威脅要防止。過去1年中，更多公司對威脅情報的理解更加深入，逐漸轉向開始從優良情報獲益的計劃和實現過程。

計劃往公司安全和風險項目中添加威脅情報的第一步，真心應該緊緊圍繞以下幾個關鍵問題展開：

我們想要的情報目標是什么？情報應服務的主要利益相關者是誰？我們最想要保護的資產和信息是什么？情報應該影響的決策和結果是什么？結果該怎樣衡量？我們已經在收集內部情報了嗎？是外包情報運營，還是內部運營，或者來個混搭？

無論你的網絡威脅情報計劃和過程是什么，它都應該驅動更快更智能的決策來最小化風險暴露。如果沒能對此目標有所幫助，那不如叫停項目，好好想想需要做哪些改變，來讓情報更好地保護你的公司。

大公司有安全運營中心(SOC)，分析師們24小時三班倒工作。網絡成熟度欠佳的小公司沒有這些員工和工具，需要通過外包的形式來獲得網絡風險指導。使用威脅情報且有小型情報運維的公司，還想用混合/共同管理的方法來獲得“力量倍增”。

無論是聘用了威脅情報分析師，與廠商合作，還是二者兼而有之，你都需要確保有合適的人(以及工具)來做這件事。復雜的地方在于，就像不是每一個威脅情報都相同一樣，每一個威脅情報分析師也是不盡相同的。情報分析師可能具備不同領域的專業知識，比如，有些更偏技術，有些更關注風險，有些對特定工具更加熟練等等。在將視線投向尋求廠商合作或聘用內部網絡威脅情報分析師之前，你得首先確定自己的最終目標，確保二者完美匹配。

在情報分析師身上，確實存在某些核心特質和能力，是招聘時可以用作考量的基準。

就整體角色而言，情報分析師應該具備從各種源規劃和收集情報的能力，要能追蹤威脅，識別和跟蹤惡意資產和基礎設施，還要能綜合分析多種威脅及事件數據以產出具支持證據的最終情報。由于利益相關者會提出請求和問題，分析師自己也可能需要向不同人群展示或解釋情報，所以良好的人際溝通技巧也是需具備的一個重要特質。對細節的關注同樣重要，因為細節與分析及結論的寬度和廣度相關。

分析師身上“需要”和“希望具備”的其他技術還包括：

需要

熟知情報分析或有強烈的學習欲望，包括諜報分析，以及表現出批判性思維技能；熟悉當前黑客技術、對手方法學、漏洞分析、事件和數據泄露分析、網絡防御技術；處理敏感信息時表現出優秀的品格和判斷力；在最小監管下對情報目標進行獨立研究的能力，既對細節絕對關注，又有理解事件整體視圖的渴望；設計、起草、發表高品質技術和商業級情報報告、研究、白皮書和博客的切實能力。

希望具備的技術

有主流操作系統技術工作經歷和對數據庫技術的理解；堅實的網絡專業知識和對路由協議的理解；對安全監視方法學有所浸淫，比如抓包、流數據、模式、觀察列表、黑名單、日志解析、關聯、分類、事件產生、過濾。

正如前文提到的，情報分析師的類型很多，有些本質上更偏技術，另一些則更像是有分析和諜報背景。“完美”的分析師應該是什么樣子，這個問題并沒有一個標準的答案。根本原因在于：你先得弄清自己要解決的問題是什么，然后在此基礎上招募人手。

新聞報道總在說安全預算又漲了多少多少，然而出于某些原因，情況似乎并沒有什么改善。原因何在？因為我們沒有把合適的資源用來標定最大的問題領域。情報工作的首要目標，應該專注在回答這個問題上。