在網(wǎng)絡(luò)威脅情報市場中，許多廠商都在談?wù)撟约覕?shù)據(jù)庫里大量的入侵指標(biāo) (Indicators of Compromise, IOC) 、惡意軟件簽名的數(shù)量、探測器的數(shù)量等等。這就是傳統(tǒng)的“更多更好就是更棒”的方式。

在這其中，缺失的是實事求是：什么東西才真正可用；外加對數(shù)據(jù)真正含義的理解。

說到威脅情報，從提供它們的廠商和消費(fèi)它們的機(jī)構(gòu)雙方面來看，什么才是收集數(shù)據(jù)的真正目的？應(yīng)該收集什么？應(yīng)該如何收集？如何進(jìn)行評估？完成的、經(jīng)過改造的情報產(chǎn)品最終應(yīng)該是什么樣子？如何投放產(chǎn)品？應(yīng)該向機(jī)構(gòu)中的哪些人員投放產(chǎn)品？應(yīng)該如何消費(fèi)這些產(chǎn)品？

威脅情報的演講者們給情報生命周期的每個基本步驟都賦予了一個角色：計劃、收集、分析、展示等，就其可實現(xiàn)性來說，往往忽略了“人”這一要素。當(dāng)談?wù)?ldquo;人”這一要素的時候，實際是包括了完成工作的人員、方式、時間和地點(diǎn)。這是個很少被覆蓋的話題范圍，但值得提出與辯論。

當(dāng)我們衡量圍繞著網(wǎng)絡(luò)威脅情報的人類要素時，有些問題將浮現(xiàn)出來。什么是情報分析師？他們應(yīng)該有什么背景和專業(yè)知識？他們的作用是什么？要想高效完成工作，他們需要哪些工具和手段？誰為他們負(fù)責(zé)、他們?yōu)檎l負(fù)責(zé)？他們改變了企業(yè)的哪些部分？他們的任務(wù)是什么？

整體來看，可以將情報分為三大類別：

策略情報：一般由企業(yè)的“防御者”支持，它是發(fā)生在“網(wǎng)絡(luò)上”的活動，使用戰(zhàn)術(shù)威脅情報來證實進(jìn)入SOC中的事件，這些防御者消費(fèi)的是低級CTI來支持檢測和響應(yīng)。

行動情報：比策略情報高一層，這一類情報集中于實時操作環(huán)境，也更關(guān)注作為對手的黑客。行動情報應(yīng)當(dāng)?shù)玫剿^的傳統(tǒng)威脅情報分析師的支持。這些分析師會尋找內(nèi)部和外部搜集到的信息，來分析并部署針對于企業(yè)運(yùn)行環(huán)境，威脅源行動模式及能力、機(jī)會和意圖的情報產(chǎn)品。

戰(zhàn)略情報：此類情報對于高管層非常重要。高管可以使用它來衡量網(wǎng)絡(luò)威脅，并且用其來指導(dǎo)投資和管理決策。對戰(zhàn)略層面的支持也會對傳統(tǒng)的威脅情報分析師有作用，分析師在這種情況下的全部精力都集中在企業(yè)的產(chǎn)品線上。它是一個網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)風(fēng)險和商業(yè)風(fēng)險相互聯(lián)系、綜合分析的層面，可以幫助決策者進(jìn)行基于更多信息的決策。

威脅情報的每個領(lǐng)域都有不同的任務(wù)層級，它們各需要不同的工具集合以及分析師背景?；陉P(guān)注的領(lǐng)域，網(wǎng)絡(luò)威脅情報分析師應(yīng)當(dāng)能夠讓情報生命周期正常運(yùn)轉(zhuǎn)，它包括：

收集要求

整合

分析

部署

反饋

威脅情報分析師的目標(biāo)是基于網(wǎng)絡(luò)威脅，給出相關(guān)、實時、準(zhǔn)確的情報。特別是那些網(wǎng)絡(luò)間諜、黑客激進(jìn)組織、網(wǎng)絡(luò)犯罪、惡意軟件、社會工程等新興網(wǎng)絡(luò)威脅。本質(zhì)上來講，分析師需要向企業(yè)提供關(guān)于網(wǎng)絡(luò)威脅“人物、事件、時間、地點(diǎn)、原因、方式、重要性”的情報，并幫助企業(yè)減少總風(fēng)險。

經(jīng)常會有這樣一些爭論，是雇傭網(wǎng)絡(luò)安全專家，并教會他們情報處理的方法？還是直接雇傭情報專家，教給他們網(wǎng)絡(luò)安全技術(shù)？

答案是顯而易見的——看情況而定，這個情況就是你關(guān)注的領(lǐng)域以及想要建立相應(yīng)能力的方向。

顯然，戰(zhàn)術(shù)上的關(guān)注領(lǐng)域需要懂技術(shù)的個人；運(yùn)行層面則需要擁有一定技術(shù)背景，但又能縱覽公司全局的個人；關(guān)注戰(zhàn)略的個人需要具備管理企業(yè)風(fēng)險的背景。