“實(shí)時情報(bào)”的概念常被描述為解決我們安全問題的靈丹妙藥。理論上確實(shí)是這樣。畢竟，情報(bào)的最終目的，就是讓其消費(fèi)者掌握相對于相關(guān)威脅和對手的決策優(yōu)勢。因此，如果在潛在惡意活動發(fā)生的“當(dāng)時”就能消費(fèi)適用于這些威脅或?qū)κ值那閳?bào)，理論上情報(bào)能提供的決策優(yōu)勢會更為巨大。

但實(shí)際上，實(shí)時情報(bào)極其難以實(shí)現(xiàn)。當(dāng)前很多威脅情報(bào)產(chǎn)品都僅限于解決已有各種威脅，滿足不了公司企業(yè)希望強(qiáng)化整體安全態(tài)勢和緩解企業(yè)整體風(fēng)險(xiǎn)的需求。原因如下：

實(shí)時情報(bào)是反應(yīng)式的

最成功的情報(bào)程序力求在危害造成前就理解相關(guān)威脅和對手。然而，當(dāng)前很多標(biāo)榜為實(shí)時情報(bào)的產(chǎn)品都不過是集成各類攻擊指標(biāo)(IoC)的自動化解決方案，嚴(yán)格說來只能算是反應(yīng)式的。

IoC本質(zhì)上是技術(shù)性質(zhì)的，僅提供對現(xiàn)有單個威脅和已發(fā)生惡意活動的相關(guān)情報(bào)。雖然這些解決方案能大幅提升網(wǎng)絡(luò)防御和邊界安全，但在其他方面就沒什么用了，絕對不能當(dāng)成安全項(xiàng)目的唯一情報(bào)來源。

實(shí)時情報(bào)的上下文不完整

由于大多數(shù)現(xiàn)有實(shí)時情報(bào)產(chǎn)品基本上就是IoC的集合，它們能提供的上下文非常有限。IoC能反映出電子郵件簽名或IP地址的可疑跡象，但往往告訴不了我們?yōu)槭裁纯梢?。想要評估IoC的整個上下文和相關(guān)性，需要人類分析師進(jìn)行更多研究和深入分析。而鑒于大部分安全團(tuán)隊(duì)每天都收到大量IoC，該人工分析過程是相當(dāng)耗時且低效的。

舉個例子，假設(shè)有IoC是感染了惡意軟件的流行網(wǎng)站URL。很多情況下，該IoC會自動觸發(fā)企業(yè)網(wǎng)絡(luò)對該URL的訪問屏蔽規(guī)則。但如果該網(wǎng)站是剛剛才感染了惡意軟件呢?如果公司員工是從移動網(wǎng)絡(luò)訪問的該網(wǎng)站呢?屏蔽該URL真的是對抗此威脅最有效的方式嗎?因?yàn)镮oC往往是靜態(tài)且缺乏上下文的，它們幾乎提供不了威脅的完整情況和潛在影響。

實(shí)時情報(bào)可能會模糊風(fēng)險(xiǎn)焦點(diǎn)

如果實(shí)時情報(bào)是安全團(tuán)隊(duì)消費(fèi)的唯一一種威脅情報(bào)，安全團(tuán)隊(duì)就會失去對威脅態(tài)勢的宏觀了解，無法探知公司面臨的潛在影響。比如說，實(shí)時情報(bào)可能會提示安全團(tuán)隊(duì)注意“應(yīng)防范哪個網(wǎng)絡(luò)釣魚行動”，但像是“如何提升全公司網(wǎng)絡(luò)釣魚警惕性，增強(qiáng)公司整體安全與風(fēng)險(xiǎn)意識”之類戰(zhàn)略性的問題，實(shí)時情報(bào)就無能為力了。最有效的安全團(tuán)隊(duì)必然不僅僅關(guān)注收集IoC和阻攔各種威脅，他們還會盡力了解為什么會出現(xiàn)這些威脅，可以做些什么來增強(qiáng)公司的整體風(fēng)險(xiǎn)態(tài)勢。

公司企業(yè)可以靠實(shí)時情報(bào)產(chǎn)品來進(jìn)行戰(zhàn)術(shù)性網(wǎng)絡(luò)防御，但絕對不能把實(shí)時情報(bào)當(dāng)成一旦部署就可高枕無憂的“萬靈丹”。

公司企業(yè)的安全和風(fēng)險(xiǎn)戰(zhàn)略中應(yīng)融入相關(guān)、完整且可執(zhí)行的情報(bào)，比如業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)(BRI)，而不應(yīng)僅僅著眼IoC，只有這樣才能獲得真正的決策優(yōu)勢，以應(yīng)對大量相關(guān)威脅和充滿惡意的對手。