4月18日文 在網(wǎng)絡威脅情報領域，廠商困惑的是：哪些威脅信息可以被定位為“完成情報”（Finished Intelligence）。“完成情報”指的是獲取、評價威脅信息，并能帶來業(yè)務利益的產出。

雖然情報過程始于威脅信息收集。從浩瀚的信息海洋中獲取信息與生成“完成情報”存在很大差別。在圖表中畫1000個分散的點，這就是信息，但顯示情境和相關性的這些以某種方式關聯(lián)的點，被稱為“評估情報”，可以用來準備并規(guī)劃未來攻擊的情報，以支撐先前的未知風險，將工作和精力投入到適當?shù)牡胤?。這些情報還能幫助組織機構從事件響應的角度理解事件的經過、原因和過程。

網(wǎng)絡威脅情報（CTI）是一個生命周期過程，最終產生可以以多種方式被不同群體使用的可交付成果（取決于威脅情報位于策略、運作/和/或戰(zhàn)術層面）。要明確，CTI不僅僅是提取指標（Indicator）或通過數(shù)據(jù)充實數(shù)據(jù)庫，以及在環(huán)境中使用這些指標。

威脅情報需要將自動化（涉及情報收集、處理、過濾和一些分析）和人力分析結合。人為因素太容易被忽視?，F(xiàn)如今有大量信息可供收集，無論是從“暗網(wǎng)”或開放資源抓取，獲取信息相對簡單（在限制性黑市和論壇安排間諜眼線除外）。

威脅情報不僅僅是收集數(shù)據(jù)，還包括處理和分析，其秘訣還在于情報分析。本文源自E安全如果執(zhí)行得當，情報分析可以確保信息評估的精確度、相關性、時效性和完整性。某個行業(yè)或組織因不同的看法和決策使用情報，因此這就需要人類的經驗和要注意的細節(jié)。

要創(chuàng)建情報需要信息，然而信息本身不是情報。

實際上，信息有時甚至會將組織指向錯誤的方向。盡管信息提供了大量潛在行動，但情報可以協(xié)助規(guī)劃，并提供方向，并最終幫助組織機構制定更佳的決策，意義重大。

行業(yè)目標-攻擊者想從特定組織機構或團隊得到什么？

技術目標-攻擊者可能會利用組織機構使用的哪些技術（例如Adobe Flash、Internet Explorer等）實施攻擊？

傳送方式- 攻擊者如何將有效載荷傳送到目標（例如魚叉式網(wǎng)絡釣魚、第三方攻擊等）？

使用的漏洞利用- 攻擊者使用了哪些具體漏洞利用或已知（或未知）漏洞？

獲取的權限-攻擊者獲取/使用哪種存在方式（比如特權賬號、數(shù)據(jù)庫訪問等）執(zhí)行攻擊？

造成的影響/損害-攻擊帶來的影響有哪些（例如IP被盜、服務停用等）？

“接敵途徑”可以提供威脅情境、運作方式、目標以及對組織機構造成的影響。“完成情報”包括這類分析、威脅指標和支持證據(jù)，以及信心水平和行動推薦。

因此，組織機構不僅需要了解事件的經過和過程，還需從事件響應或風險規(guī)劃的角度和準備方式中了解影響評估和緩解措施。

談到威脅情報時，也許一些廠商經常提及“可操作”情報，然而，除了“可操作”，情報還應為組織機構獻計獻策，以應對即將發(fā)生的威脅或識別的風險。

“完成情報”是指獲取、評估威脅信息并能最終帶來業(yè)務利益的產出（通常以減低風險潛在響應業(yè)務運營的方式產生）。

如果組織機構無法輕松說出當前CTI會帶來哪些業(yè)務利益，或無法定義欲創(chuàng)建的新CTI能力，那么這樣的組織機構只是在收集情報，并非執(zhí)行威脅情報。