威胁情报的五个大坑

随着网络威胁的日益复杂化，网络安全威胁情报（CTI）成为了企业抵御风险、优化安全投资的关键利器。然而，如何确保在这一领域的投入能够真正转化为高效的防御能力和可观的投资回报率（ROI），却是一个亟待解决的难题。本文将深入剖析CISO们在网络安全情报应用中常见的五大误区，并提供相应的策略建议，助力企业实现CTI价值的最大化。

威胁情报的五个大坑1、缺乏风险管理框架

要从全面的CTI项目中获取价值，CISO们首先需要构建坚实的风险管理框架，并配备相应的基础设施，以便对所摄入的情报源进行恰当的分析和情境化处理。正如Qualys威胁研究部门的网络威胁主管Ken Dunham所言：“CTI应该归属于你的风险管理范畴，若你尚未建立风险管理程序，那么识别这一优先事项至关重要。核心问题在于：你试图保护的关键要素是什么？你的‘王冠宝石’或高价值资产位于何处？”缺乏风险管理来设定优先级，企业将无法合理设定情报收集要求，从而无法收集到与最宝贵资产相关的相关情报源。2、依赖低质量情报

低质量的情报往往比没有情报更糟糕，它会导致分析师耗费大量时间去验证和情境化这些质量欠佳的情报源。更严重的是，如果这项工作没有妥善完成，低质量数据甚至可能在运营或战略层面引发错误的决策。安全领导者应要求其情报团队定期根据几个关键属性来评估情报源的实用性，情报专业人员通常会用CART这一缩写来概括这些属性，即完整性、准确性、相关性和及时性。

完整性意味着每条情报都能全面呈现威胁情况，涵盖行为者、方法论以及受影响系统等要素。准确性或许是决定情报源价值的关键要素之一，“情报源的可信度和可靠性至关重要，不准确的情报可能导致误报、资源浪费以及潜在的未解决威胁暴露风险。”相关性则表明情报与组织的行业、技术栈和地理位置密切相关。及时性关乎情报是否足够新颖，以便能够影响组织的行动方式。显然，情报源往往需要在及时性和准确性之间寻求平衡，随着威胁研究的不断深入。

3、忽视需求收集

比评估潜在情报源质量更为基础的是，CISO们要确保团队选择的情报源确实符合自身的安全项目和业务需求。安全团队在威胁情报项目中常犯的一个错误就是跳过了确定谁需要何种情报以做出明智安全决策这一过程。

一些组织或许还可以考虑创建一个供利益相关者请求新情报的项目。NCC集团全球网络威胁情报主管Matt Hull表示，他的公司通过这种方式使需求收集更具重复性和一致性。NCC有一套类似情报请求工单的系统。“我们称之为RFI流程——即情报请求，这本质上是向我的团队发出的一个机制，询问利益相关者‘你想回答什么问题？’然后进行分类并传递给相关团队。”他说道。

4、过度聚焦战术威胁情报

在启动CTI项目时最常见的威胁情报错误之一就是过度强调战术情报。“虽然战术情报至关重要，但仅关注入侵指标（IoCs）而缺乏战略或运营背景，可能导致被动而非主动的安全态势。”

战略情报通常是组织最容易忽视的部分，而它往往能带来最大的财务价值，因为战略情报可以帮助根据威胁态势的实际发展来优先排序支出。此外，战略情报还能助力CISO们从长远角度证明自身行动和投资回报率。“很难理解CTI能力的投资回报率。将情报输入风险管理流程非常有用，因为你可以将威胁情报的一些输入量化到风险管理工作中。”Hull说道，他认为这可以引导CISO们迈向更复杂的网络风险量化分析之路。

5、轻视情报传播

即使CTI在收集利益相关者所需的确切优质情报方面表现出色，但如果这些情报没有被恰当地传递给需要的人——并且是以对他们来说有意义的格式呈现，那么所有这些工作都将付诸东流。

显而易见，最大化网络安全项目中CTI价值并无捷径可走，但CISO们若能专注于避开上述五大误区，便更有机会从情报中获取最大收益，从而在网络安全的复杂战场上占据优势，守护企业的数字资产安全，实现安全投资的高效转化与持续增值。