當 ESG 最近要求安全專業(yè)人士確定成熟威脅情報程序的屬性時，最高的回答是“信息傳播和為特定個人和群體消費定制的報告”。然而，許多組織沒有成熟的威脅情報程序，也尚未實現(xiàn)這一目標。ESG 的 Jon Oltsik引用了80/20 規(guī)則，其中“80% 的組織擁有基本的威脅情報程序，而只有 20% 的組織更高級?！?/p>

與關鍵用戶共享定制的威脅情報不僅表明您的威脅情報計劃正在成熟，而且是加深理解、展示價值并獲得對該計劃的更廣泛支持的好方法。如果您想開始或改進與關鍵用戶共享定制情報，請在開發(fā)流程時考慮這四個方面。

1.功能

威脅情報團隊的角色是為許多不同的內部客戶提供產品或服務，每個客戶都有不同的威脅情報要求來支持他們的特定用例。例如：

• 安全運營中心 (SOC) 需要已根據具體情況進行妥協(xié)的指標，以表明它們具有相關性和高優(yōu)先級，因此他們可以將它們添加到 SIEM 監(jiān)視列表中進行監(jiān)控。
• 威脅獵手需要正在運行的活動的詳細信息以及對手的動機、目標和戰(zhàn)術、技術和程序 (TTP)，以便他們可以尋找繞過防御的活動。
• 事件響應 (IR) 團隊需要有關對手、活動和所用基礎設施的威脅情報，以便他們能夠加速全面響應。
• 漏洞管理團隊需要威脅情報來幫助他們了解他們的威脅形勢以及漏洞被針對組織的對手利用的可能性，以便他們可以優(yōu)先修補。
• 業(yè)務部門、最高管理層和董事會級別的行政領導需要對他們很重要的指標，這些指標可以讓人們相信組織正在采取正確的步驟來保持強大的安全態(tài)勢，并能夠在攻擊發(fā)生時減輕損害。

2.形式

沒有“單一的方式”來溝通。不同的團隊使用不同的語言，并且會以不同的方式應用威脅情報，因此花時間了解哪種類型的溝通最有效非常重要。

對于許多技術團隊來說，實際的提要和儀表板效果很好，可以直接提供他們完成特定工作所需的威脅情報。同時，對于高管和董事會而言，定制的儀表板可能對某些人來說效果很好，而 PDF 可能對其他人來說更好。

無論哪種方式，內容本身都可以很容易理解并且與商業(yè)領袖相關。與包含受挫攻擊的“誰、什么、何時、何地和為什么”的更新相比，堅持使用圍繞每月事件、警報和事件數量生成的典型指標的影響要小得多，

3.頻率

在需要接收威脅情報的頻率方面，每個團隊也有非常不同的期望和要求。在安全方面，時間越長，造成的損害就越大。此外，許多安全團隊都專注于積極主動，因此速度至關重要。

但是，共享未經審查和與組織相關的上下文的數據最終會浪費寶貴的時間。威脅情報團隊可以使用自動化來增強和豐富具有上下文的數據，因此團隊可以更快地獲得正確的數據，并可以輕松地對其進行優(yōu)先排序以進行分析和采取行動。 

高管和董事會成員有不同的要求。為更正式的溝通制定定期時間表，至少每季度一次，是一個好的開始。然而，威脅情報團隊也應該準備好在新聞中出現(xiàn)新的漏洞或威脅并且 CEO 問：“它是什么？”時提出臨時問題。，“它與我們有關嗎？” ，“我們受到了怎樣的影響？” 或“我們正在做什么來保護自己？” . 

4.反饋

最后，重要的是向您的不同客戶征求反饋意見，以確保他們得到他們需要的東西，以及他們需要的方式和時間。推進威脅情報計劃是一條兩條路。您需要了解您的服務是如何被使用的，如果不是，您需要了解原因并相應地進行調整。調整格式，進一步定制威脅情報，改變頻率——盡一切努力確保該計劃正在交付價值，并被視為您組織的每個安全團隊和領導層的重要工具。

2023 年已經過半，對于許多團隊來說，現(xiàn)在是退后一步并衡量年初設定目標進展情況的好時機。如果您的目標之一是完善您的威脅情報計劃，請誠實評估您在與不同內部客戶共享威脅情報方面的表現(xiàn)。有時間進行相對簡單但影響很大的調整，以展示威脅情報計劃提供的價值，并將其轉變?yōu)橐环N首選資源，這將在預算季節(jié)到來時加強您進行額外投資的理由。