企業(yè)若想遏制違規(guī)和攻擊事件，通常會選擇購買威脅情報平臺(TIP)，這些平臺有多種形式，包括托管云服務(wù)或緊密耦合的工具集合，通過整合威脅檢測、事件響應(yīng)和漏洞管理，提供更廣泛的風(fēng)險管理概況。市場上提供TIP的供應(yīng)商超過十家。成功使用這些工具的關(guān)鍵在于了解它們的功能與局限，將其與自身環(huán)境和安全成熟度相匹配，并能夠與其他安全工具和防御活動進(jìn)行集成。

CISO在考慮這些工具時，常犯一些錯誤，包括缺乏完善的風(fēng)險管理計劃、依賴不良的威脅情報、收集錯誤的需求或選擇不合適的威脅來源，以及在選擇工具時缺乏戰(zhàn)略眼光。接下來，我們將深入探討一些具體建議，以幫助你更成功、更有效地購買和使用TIP。

注重高質(zhì)量情報而非數(shù)量

首先，你需要審查用作源材料的實(shí)際威脅情報源，以及正在處理的不同情報源的數(shù)量，這意味著不要只關(guān)注總數(shù)，而是要深入探究正在收集哪些數(shù)據(jù)，并了解TIP如何整合這些威脅，通過添加各種元數(shù)據(jù)來豐富它們，并以易于查詢的數(shù)據(jù)結(jié)構(gòu)進(jìn)行分類。

使這種豐富化成為可能且更有效的，是威脅情報庫對各種協(xié)議的支持，如可信自動化指標(biāo)信息交換(TAXII)和結(jié)構(gòu)化威脅信息表達(dá)(STIX)。這兩種標(biāo)準(zhǔn)均由結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織維護(hù)。STIX定義了潛在威脅的“是什么”，而TAXII則定義了威脅的“如何發(fā)生”。將兩者結(jié)合使用，可以描述每個威脅的動機(jī)和能力，以及建議的響應(yīng)措施，并可用于驅(qū)動各種自動化處理和協(xié)同修復(fù)活動。

豐富化過程的一部分還包括對收集到的重復(fù)威脅進(jìn)行標(biāo)準(zhǔn)化處理，并過濾掉任何誤報或無關(guān)數(shù)據(jù)。例如，如果你的終端上沒有特定版本的Windows，那么就沒有必要保留一個充滿此類威脅的情報源。許多TIP使用各種自動化和基于AI的例程來過濾其情報源。Kela的銷售工程副總裁Or Lev在接受采訪時表示：“這可能是一把雙刃劍：你可能會獲得更多數(shù)據(jù)，但也需要過濾掉更多噪音?！?/p>

確保不要獲取超出需求的情報

接下來是匹配階段：如果你擁有一個規(guī)模較小、技能有限的信息安全部門，或者擁有一個相對簡單的計算環(huán)境，那么最先進(jìn)的TIP可能是過度之舉。根據(jù)Greynoise的2025年報告，威脅情報源必須與你自身的環(huán)境相匹配，包括潛在威脅的多樣性和復(fù)雜性，以及你云和終端的多樣性和復(fù)雜性。

這包括能夠從你的計算和應(yīng)用基礎(chǔ)設(shè)施的虛擬和物理元素中查看威脅，正如多位分析師所寫。曾為多家安全供應(yīng)商工作過的Stuart Peck寫道：“了解威脅態(tài)勢不僅僅是查看威脅，還涉及理解直接影響或促成威脅實(shí)現(xiàn)的外部和內(nèi)部因素。”

如何管理事后事件處理流程

更好的TIP能夠協(xié)調(diào)各種響應(yīng)和緩解措施，以阻止威脅并修復(fù)受影響的計算元素。Cyware在他們的報告中寫道：“威脅情報的價值直接與其被攝取、處理、優(yōu)先級排序和采取行動的程度相關(guān)?！边@意味著需要將其仔細(xì)集成到你現(xiàn)有的安全工具組合中，以便利用你之前在SOAR、SIEM和XDR等縮寫詞上的所有投資。根據(jù)Greynoise的報告，“你必須將TIP嵌入到你現(xiàn)有的安全生態(tài)系統(tǒng)中，確保關(guān)聯(lián)你的內(nèi)部數(shù)據(jù)，并使用漏洞管理工具來增強(qiáng)你的事件響應(yīng)，并提供可操作的分析。”

上述句子中的關(guān)鍵詞是“可操作”。威脅情報往往無法指導(dǎo)任何行動，例如啟動一系列補(bǔ)丁來更新過時的系統(tǒng)，或采取修復(fù)措施來防火墻特定網(wǎng)絡(luò)段或?qū)⑦`規(guī)設(shè)備下線。

可操作性還涉及關(guān)注兩個不同指標(biāo)的時間點(diǎn)。首先，這種情報應(yīng)能夠縮短檢測與修復(fù)之間的時間，因?yàn)槁┒蠢米兊酶臁Ｆ浯?，情報?yīng)揭示對實(shí)時發(fā)生的威脅的理解，以及哪些威脅可以被阻止或迅速停止。

擁有可操作的情報能夠使?jié)撛谕{可視化。ThreatConnect在2023年的一份報告中指出：“在動態(tài)可視化環(huán)境中直接對情報采取行動的能力，對于分析師在進(jìn)行分析時提高效率和效果至關(guān)重要?？梢暬治鍪狗治鰩熌軌蚩吹皆谄渌浇?如數(shù)據(jù)表)中可能難以發(fā)現(xiàn)的模式和聯(lián)系?！?/p>

制作可視化分析的另一部分是如何在威脅儀表板上以有用且可操作的方式顯示這些信息。最好的儀表板能夠顯示實(shí)時趨勢或異常。例如，儀表板可以指出服務(wù)器何時受到DDoS攻擊，或網(wǎng)絡(luò)段上的一組資源何時被下線?？梢暬^程的一部分還包括確保你的組織定義了TIP的成功衡量標(biāo)準(zhǔn)，通常是在檢測威脅和減少后續(xù)事件方面的速率。

所有這些元素對于使威脅情報成為你安全運(yùn)營的一部分都至關(guān)重要，Recorded Future的Esteban Borges在2024年關(guān)于將這些情報分為三個基本類別的文章中寫道：

?戰(zhàn)略級，即更高層次的見解和趨勢識別

?戰(zhàn)術(shù)級，即特定威脅背后的更多機(jī)制

?運(yùn)營級，提供更多實(shí)時或近實(shí)時分析

這確實(shí)是一個微妙的平衡行為，因?yàn)閷?shí)際上你需要涵蓋所有三個類別才能充分保護(hù)你的基礎(chǔ)設(shè)施。這里的挑戰(zhàn)之一是防止孤立的專業(yè)思維模式導(dǎo)致適當(dāng)?shù)男迯?fù)措施無法實(shí)施。Peck在博客中寫道：“我一次又一次地看到，威脅情報團(tuán)隊(duì)甚至漏洞管理團(tuán)隊(duì)會發(fā)出關(guān)于高優(yōu)先級威脅的快速通知，但該通知卻因威脅團(tuán)隊(duì)未跟進(jìn)而丟失在隊(duì)列中。修復(fù)組采取行動與威脅團(tuán)隊(duì)跟進(jìn)同樣重要。”例如，一次單獨(dú)的釣魚嘗試可能是一個戰(zhàn)術(shù)問題，直到你的TIP標(biāo)記出類似事件，顯示出持續(xù)存在的針對性攻擊證據(jù)，這可能意味著需要采取運(yùn)營級更改來應(yīng)對這些嘗試。上下文至關(guān)重要，而TIP可以幫助提供這一上下文。

了解AI增強(qiáng)工具的工作原理

一些TIP供應(yīng)商使用AI增強(qiáng)工具和其他自動化技術(shù)來管理其工作流程。鑒于AI如此流行，這意味著你必須了解這種自動化是如何構(gòu)建的，以及它的局限性是什么。例如，一個局限性可能是AI軟件如何從你的威脅情報源中消耗數(shù)據(jù)來學(xué)習(xí)。就像任何AI的使用一樣，細(xì)節(jié)決定成敗?；趯商m執(zhí)法部門多年調(diào)查的總結(jié)，Niko Dekens稱之為“因AI導(dǎo)致的批判性思維緩慢崩潰”。AI增強(qiáng)工具應(yīng)引發(fā)懷疑，而非滿足感。分析師需要質(zhì)疑AI的主張，并將其輸出與現(xiàn)實(shí)世界中的源行為進(jìn)行比較。這是一個需要時刻銘記的重要區(qū)別。

如果這聽起來像是一項(xiàng)艱巨的任務(wù)，那是因?yàn)樗_實(shí)是。TIP既不是簡單的產(chǎn)品，也不容易評估或使用。管理威脅意味著你必須考慮所有進(jìn)入基礎(chǔ)設(shè)施、應(yīng)用和服務(wù)器的入口點(diǎn)。