隨著網絡威脅的日益復雜化，網絡安全威脅情報（CTI）成為了企業抵御風險、優化安全投資的關鍵利器。然而，如何確保在這一領域的投入能夠真正轉化為高效的防御能力和可觀的投資回報率（ROI），卻是一個亟待解決的難題。本文將深入剖析CISO們在網絡安全情報應用中常見的五大誤區，并提供相應的策略建議，助力企業實現CTI價值的最大化。

一、缺乏風險管理框架

要從全面的CTI項目中獲取價值，CISO們首先需要構建堅實的風險管理框架，并配備相應的基礎設施，以便對所攝入的情報源進行恰當的分析和情境化處理。正如Qualys威脅研究部門的網絡威脅主管Ken Dunham所言：“CTI應該歸屬于你的風險管理范疇，若你尚未建立風險管理程序，那么識別這一優先事項至關重要。核心問題在于：你試圖保護的關鍵要素是什么？你的‘王冠寶石’或高價值資產位于何處？”缺乏風險管理來設定優先級，企業將無法合理設定情報收集要求，從而無法收集到與最寶貴資產相關的相關情報源。

此外，CTI在用于情境化組織內部基礎設施活動的安全分析時最具價值。這意味著組織需要梳理好自身的分析程序以及數據科學和數據管理，才能真正從引入的外部情報中挖掘出價值。Ontinue的威脅響應主管Balazs Greksza指出：“從戰略層面來看，平衡降低總體擁有成本（TCO）與安全價值及價值實現時間，同時整合所有重要的內部數據源和工具，是一個復雜的難題。安全并非大數據問題，而是在正確的時間獲取正確的信息和情報，以得出正確的結論。”因此，CISO們需要仔細思考內部數據與外部情報將在何處相互情境化。Greksza強調，安全數據湖與XDR、SIEM或合規監控解決方案的用例大相徑庭，這就意味著要明確界定所有情報和分析數據如何推動更好的決策制定。CISO們或許可以先從引入數據平臺工程師著手，為SOC及更廣泛的領域打造全面的數據戰略。

二、依賴低質量情報

低質量的情報往往比沒有情報更糟糕，它會導致分析師耗費大量時間去驗證和情境化這些質量欠佳的情報源。更嚴重的是，如果這項工作沒有妥善完成，低質量數據甚至可能在運營或戰略層面引發錯誤的決策。安全領導者應要求其情報團隊定期根據幾個關鍵屬性來評估情報源的實用性，情報專業人員通常會用CART這一縮寫來概括這些屬性，即完整性、準確性、相關性和及時性。

完整性意味著每條情報都能全面呈現威脅情況，涵蓋行為者、方法論以及受影響系統等要素，Critical Start的網絡威脅研究高級經理Callie Guenther解釋道。準確性或許是決定情報源價值的關鍵要素之一，“情報源的可信度和可靠性至關重要，不準確的情報可能導致誤報、資源浪費以及潛在的未解決威脅暴露風險。”相關性則表明情報與組織的行業、技術棧和地理位置密切相關。及時性關乎情報是否足夠新穎，以便能夠影響組織的行動方式。顯然，情報源往往需要在及時性和準確性之間尋求平衡，隨著威脅研究的不斷深入。

最終，Guenther還建議在CART中加入另一個“A”，形成CAART，即行動性。“情報應足夠詳細和具體，以推動安全行動，例如調整安全設備、更新政策或修補漏洞。”她說道。

三、忽視需求收集

比評估潛在情報源質量更為基礎的是，CISO們要確保團隊選擇的情報源確實符合自身的安全項目和業務需求。安全團隊在威脅情報項目中常犯的一個錯誤就是跳過了確定誰需要何種情報以做出明智安全決策這一過程。

“CTI的有效性取決于組織接收情報的能力。為了構建有效的CTI項目，組織在各個層面都必須向情報團隊提出要求，并樂于消費情報以指導流程和決策。”Cybersixgill的安全研究主管Dov Lerner表示。需求收集階段是CTI生命周期的第一步，但卻常常被忽視，或者僅限于SOC分析師這類有特定技術要求的人員。Guenther也同意Lerner的觀點，認為情報團隊應從企業內部各種不同類型的情報消費者那里收集需求。“組織可能未能定義清晰、可操作且優先級明確的情報需求，從而導致數據無關緊要或數量過多。”為了真正發揮CTI投資的最大效益，CTI需要有足夠的資源和組織聯系，以便與安全領域內外的各種利益相關者進行互動，Lerner如是說。

一些組織或許還可以考慮創建一個供利益相關者請求新情報的項目。NCC集團全球網絡威脅情報主管Matt Hull表示，他的公司通過這種方式使需求收集更具重復性和一致性。NCC有一套類似情報請求工單的系統。“我們稱之為RFI流程——即情報請求，這本質上是向我的團隊發出的一個機制，詢問利益相關者‘你想回答什么問題？’然后進行分類并傳遞給相關團隊。”他說道。

四、過度聚焦戰術威脅情報

Guenther指出，組織在啟動CTI項目時最常見的威脅情報錯誤之一就是過度強調戰術情報。“雖然戰術情報至關重要，但僅關注入侵指標（IoCs）而缺乏戰略或運營背景，可能導致被動而非主動的安全態勢。”Hull和Dunham都堅信，最強大的CTI團隊能夠在戰術、運營和戰略情報這三個主要方面進行收集和運營。戰術情報遵循傳統的IoC模式，以及來自惡意軟件分析和其他監控中非常具體的、能夠增強威脅檢測的技術信息片段。運營情報則上升到行為情報層面，圍繞戰術、技術、程序（TTPs）展開。而戰略情報則是涵蓋地緣政治、行業和商業背景等更宏觀層面的信息。在NCC，Hull有三個不同的團隊分別專注于這三個領域，以確保項目在每個方面都恰到好處。

戰略情報通常是組織最容易忽視的部分，而它往往能帶來最大的財務價值，因為戰略情報可以幫助根據威脅態勢的實際發展來優先排序支出。此外，戰略情報還能助力CISO們從長遠角度證明自身行動和投資回報率。“很難理解CTI能力的投資回報率。將情報輸入風險管理流程非常有用，因為你可以將威脅情報的一些輸入量化到風險管理工作中。”Hull說道，他認為這可以引導CISO們邁向更復雜的網絡風險量化分析之路。

五、輕視情報傳播

即使CTI在收集利益相關者所需的確切優質情報方面表現出色，但如果這些情報沒有被恰當地傳遞給需要的人——并且是以對他們來說有意義的格式呈現，那么所有這些工作都將付諸東流。

“情報傳播階段常常會遇到困難，這通常是CTI分析師處理和向利益相關者交付最終情報的時候。”Lerner說道。他解釋說，許多情報團隊并不擅長根據適當受眾來定制信息。例如，如果為高管層準備的戰略情報充斥著縮寫和數據，那么它將無法提供太多價值；同樣，如果戰術情報以非結構化報告的形式呈現，SOC分析師難以處理，那么它也是不可用的。

確保專注且有針對性地傳播情報的最佳方式是在需求階段敲定細節，Hull表示。“當你設定這些需求時，你就確定了傳播發生的頻率以及傳播機制。”他解釋說，關鍵在于從一開始就確定如何使其最容易被相關利益相關者獲取和共享。

顯而易見，最大化網絡安全項目中CTI價值并無捷徑可走，但CISO們若能專注于避開上述五大誤區，便更有機會從情報中獲取最大收益，從而在網絡安全的復雜戰場上占據優勢，守護企業的數字資產安全，實現安全投資的高效轉化與持續增值。