過去幾年，公司網絡安全問題引起廣泛關注，相應的，分配到對抗惡意滲透者上的預算也呈指數級上漲。Gartner數據顯示，2016年安全支出增長了7.9%，典型千人規模的公司要花約1500萬美元來保證自身安全。

雖然大筆資金投向威脅情報饋送并急于收集盡可能多的情報，但是很多公司依然缺乏將這些數據轉譯成可操作情報和可衡量安全改善的能力。同時，CISO們承受的將現有和未來安全投資轉變為投資回報(ROI)的壓力也是越來越大了。

投資回報問題并不孤立于威脅情報

最近幾年，企業安全團隊大量投錢到威脅情報卻效果寥寥的事實是顯而易見的。大部分原因可歸結為缺乏將外部威脅實時定位匹配進自身環境的能力。而且，威脅情報僅僅是更大層面上ROI問題的一個癥狀而已。事實是，考慮怎樣最大化威脅情報投資的ROI時，不能將其作為孤立問題來解決。

威脅情報——有效安全運營&編配的一個方面

作為孤立數據，威脅情報饋送僅僅具有額定價值而已。關鍵在于集成和上下文。人類員工必須將警報、威脅情報和其他安全數據融入威脅故事線以構筑有效響應的基礎。將威脅情報集成進全面的安全運營平臺，是從初始警報到最終修復的全過程中，導航整個安全運營和事件響應的入場籌碼。

拿威脅情報和自動化的關系做個例子——利用自動化，安全團隊可以將入站威脅情報作為搜索/實施入站威脅，并匹配現有安全投入的觸發器。通過將威脅情報與其他安全數據進行規范，并擴大案例上下文，有助于使威脅情報獲得更多的可操作性，幫助企業更好地檢測出于自身環境相關的威脅。可以想象一下，如果有人瞄上了你的公司，確定在用漏洞利用工具突破你的外部主機。與現有警報的自動化實時集成，就能提供所需上下文以合理排定優先級并做好修復準備。

有了正確的集成和上下文，我們就可以開始探究怎樣驅動和衡量整個安全基礎設施的ROI問題了。

即便有了正確的結構，我們又該怎樣衡量投資回報呢？

從定義上講，證明安全投資的價值是很難的，因為它們并非真正的回報——沒有切實的資金流入。是通過預防損失和用少數分析師驅動生產力來有所收獲。但這兩者都比以真金白銀形式呈現的收獲要難量化得多。

但是，證明這難以標定的ROI又是十分關鍵的，要做到這一點，正確的衡量標準就非常重要了。盡管沒有標準模型來評估風險 vs. 投資，安全主管們依然有一些非常清晰的度量可用于從安全運營來驅動生產力：

將整個安全運營中心(SOC)當做所有事件和情報都內部相關的整體單元將會對您的團隊有所幫助：

減少消耗寶貴分析師時間的警報數量(包括重復警報)。通過清除誤報和重復警報，分析師可以集中精力到緩解真實安全事件上。提升警報調查率。觸發的警報減少了，分析師就能處理更高比例的警報，減少傷害。減少調查時間。利用合適的工具和上下文，分析師可以集中精力到高收益事件上，加速響應和恢復。增加分析師事件處理能力。警報集群、事件減少、上下文豐富、屏幕間跳轉摒棄等等，可以驅動生產力，讓分析師能更有效工作，去掉增加人手的需求。減少從威脅到修復的平均耗時。以上所有因素綜合起來，底線就是從威脅到緩解的平均耗時從數天降低到數分鐘。如果你必須要證明你的安全ROI，沒有什么能比這個更有說服力的了。

北美企業數據泄露平均損失是1000萬美元，已經不能忍受。利益面前，安全主管認識到了驅動分析師生產力的重要性。分析師比以往任何時候都要重要，必須配備正確的工具以響應下一代威脅。威脅情報是這些工具中的一個重要方面，但不能被割裂來看，應綜合考慮。