“實時情報”的概念常被描述為解決我們安全問題的靈丹妙藥。理論上確實是這樣。畢竟，情報的最終目的，就是讓其消費者掌握相對于相關威脅和對手的決策優(yōu)勢。因此，如果在潛在惡意活動發(fā)生的“當時”就能消費適用于這些威脅或?qū)κ值那閳?，理論上情報能提供的決策優(yōu)勢會更為巨大。

但實際上，實時情報極其難以實現(xiàn)。當前很多威脅情報產(chǎn)品都僅限于解決已有各種威脅，滿足不了公司企業(yè)希望強化整體安全態(tài)勢和緩解企業(yè)整體風險的需求。原因如下：

實時情報是反應式的

最成功的情報程序力求在危害造成前就理解相關威脅和對手。然而，當前很多標榜為實時情報的產(chǎn)品都不過是集成各類攻擊指標(IoC)的自動化解決方案，嚴格說來只能算是反應式的。

IoC本質(zhì)上是技術性質(zhì)的，僅提供對現(xiàn)有單個威脅和已發(fā)生惡意活動的相關情報。雖然這些解決方案能大幅提升網(wǎng)絡防御和邊界安全，但在其他方面就沒什么用了，絕對不能當成安全項目的唯一情報來源。

實時情報的上下文不完整

由于大多數(shù)現(xiàn)有實時情報產(chǎn)品基本上就是IoC的集合，它們能提供的上下文非常有限。IoC能反映出電子郵件簽名或IP地址的可疑跡象，但往往告訴不了我們?yōu)槭裁纯梢?。想要評估IoC的整個上下文和相關性，需要人類分析師進行更多研究和深入分析。而鑒于大部分安全團隊每天都收到大量IoC，該人工分析過程是相當耗時且低效的。

舉個例子，假設有IoC是感染了惡意軟件的流行網(wǎng)站URL。很多情況下，該IoC會自動觸發(fā)企業(yè)網(wǎng)絡對該URL的訪問屏蔽規(guī)則。但如果該網(wǎng)站是剛剛才感染了惡意軟件呢?如果公司員工是從移動網(wǎng)絡訪問的該網(wǎng)站呢?屏蔽該URL真的是對抗此威脅最有效的方式嗎?因為IoC往往是靜態(tài)且缺乏上下文的，它們幾乎提供不了威脅的完整情況和潛在影響。

實時情報可能會模糊風險焦點

如果實時情報是安全團隊消費的唯一一種威脅情報，安全團隊就會失去對威脅態(tài)勢的宏觀了解，無法探知公司面臨的潛在影響。比如說，實時情報可能會提示安全團隊注意“應防范哪個網(wǎng)絡釣魚行動”，但像是“如何提升全公司網(wǎng)絡釣魚警惕性，增強公司整體安全與風險意識”之類戰(zhàn)略性的問題，實時情報就無能為力了。最有效的安全團隊必然不僅僅關注收集IoC和阻攔各種威脅，他們還會盡力了解為什么會出現(xiàn)這些威脅，可以做些什么來增強公司的整體風險態(tài)勢。

公司企業(yè)可以靠實時情報產(chǎn)品來進行戰(zhàn)術性網(wǎng)絡防御，但絕對不能把實時情報當成一旦部署就可高枕無憂的“萬靈丹”。

公司企業(yè)的安全和風險戰(zhàn)略中應融入相關、完整且可執(zhí)行的情報，比如業(yè)務風險情報(BRI)，而不應僅僅著眼IoC，只有這樣才能獲得真正的決策優(yōu)勢，以應對大量相關威脅和充滿惡意的對手。