企業若想遏制違規和攻擊事件，通常會選擇購買威脅情報平臺(TIP)，這些平臺有多種形式，包括托管云服務或緊密耦合的工具集合，通過整合威脅檢測、事件響應和漏洞管理，提供更廣泛的風險管理概況。市場上提供TIP的供應商超過十家。成功使用這些工具的關鍵在于了解它們的功能與局限，將其與自身環境和安全成熟度相匹配，并能夠與其他安全工具和防御活動進行集成。

CISO在考慮這些工具時，常犯一些錯誤，包括缺乏完善的風險管理計劃、依賴不良的威脅情報、收集錯誤的需求或選擇不合適的威脅來源，以及在選擇工具時缺乏戰略眼光。接下來，我們將深入探討一些具體建議，以幫助你更成功、更有效地購買和使用TIP。

注重高質量情報而非數量

首先，你需要審查用作源材料的實際威脅情報源，以及正在處理的不同情報源的數量，這意味著不要只關注總數，而是要深入探究正在收集哪些數據，并了解TIP如何整合這些威脅，通過添加各種元數據來豐富它們，并以易于查詢的數據結構進行分類。

使這種豐富化成為可能且更有效的，是威脅情報庫對各種協議的支持，如可信自動化指標信息交換(TAXII)和結構化威脅信息表達(STIX)。這兩種標準均由結構化信息標準促進組織維護。STIX定義了潛在威脅的“是什么”，而TAXII則定義了威脅的“如何發生”。將兩者結合使用，可以描述每個威脅的動機和能力，以及建議的響應措施，并可用于驅動各種自動化處理和協同修復活動。

豐富化過程的一部分還包括對收集到的重復威脅進行標準化處理，并過濾掉任何誤報或無關數據。例如，如果你的終端上沒有特定版本的Windows，那么就沒有必要保留一個充滿此類威脅的情報源。許多TIP使用各種自動化和基于AI的例程來過濾其情報源。Kela的銷售工程副總裁Or Lev在接受采訪時表示：“這可能是一把雙刃劍：你可能會獲得更多數據，但也需要過濾掉更多噪音。”

確保不要獲取超出需求的情報

接下來是匹配階段：如果你擁有一個規模較小、技能有限的信息安全部門，或者擁有一個相對簡單的計算環境，那么最先進的TIP可能是過度之舉。根據Greynoise的2025年報告，威脅情報源必須與你自身的環境相匹配，包括潛在威脅的多樣性和復雜性，以及你云和終端的多樣性和復雜性。

這包括能夠從你的計算和應用基礎設施的虛擬和物理元素中查看威脅，正如多位分析師所寫。曾為多家安全供應商工作過的Stuart Peck寫道：“了解威脅態勢不僅僅是查看威脅，還涉及理解直接影響或促成威脅實現的外部和內部因素。”

如何管理事后事件處理流程

更好的TIP能夠協調各種響應和緩解措施，以阻止威脅并修復受影響的計算元素。Cyware在他們的報告中寫道：“威脅情報的價值直接與其被攝取、處理、優先級排序和采取行動的程度相關。”這意味著需要將其仔細集成到你現有的安全工具組合中，以便利用你之前在SOAR、SIEM和XDR等縮寫詞上的所有投資。根據Greynoise的報告，“你必須將TIP嵌入到你現有的安全生態系統中，確保關聯你的內部數據，并使用漏洞管理工具來增強你的事件響應，并提供可操作的分析。”

上述句子中的關鍵詞是“可操作”。威脅情報往往無法指導任何行動，例如啟動一系列補丁來更新過時的系統，或采取修復措施來防火墻特定網絡段或將違規設備下線。

可操作性還涉及關注兩個不同指標的時間點。首先，這種情報應能夠縮短檢測與修復之間的時間，因為漏洞利用變得更快。其次，情報應揭示對實時發生的威脅的理解，以及哪些威脅可以被阻止或迅速停止。

擁有可操作的情報能夠使潛在威脅可視化。ThreatConnect在2023年的一份報告中指出：“在動態可視化環境中直接對情報采取行動的能力，對于分析師在進行分析時提高效率和效果至關重要。可視化分析使分析師能夠看到在其他媒介(如數據表)中可能難以發現的模式和聯系。”

制作可視化分析的另一部分是如何在威脅儀表板上以有用且可操作的方式顯示這些信息。最好的儀表板能夠顯示實時趨勢或異常。例如，儀表板可以指出服務器何時受到DDoS攻擊，或網絡段上的一組資源何時被下線。可視化過程的一部分還包括確保你的組織定義了TIP的成功衡量標準，通常是在檢測威脅和減少后續事件方面的速率。

所有這些元素對于使威脅情報成為你安全運營的一部分都至關重要，Recorded Future的Esteban Borges在2024年關于將這些情報分為三個基本類別的文章中寫道：

?戰略級，即更高層次的見解和趨勢識別

?戰術級，即特定威脅背后的更多機制

?運營級，提供更多實時或近實時分析

這確實是一個微妙的平衡行為，因為實際上你需要涵蓋所有三個類別才能充分保護你的基礎設施。這里的挑戰之一是防止孤立的專業思維模式導致適當的修復措施無法實施。Peck在博客中寫道：“我一次又一次地看到，威脅情報團隊甚至漏洞管理團隊會發出關于高優先級威脅的快速通知，但該通知卻因威脅團隊未跟進而丟失在隊列中。修復組采取行動與威脅團隊跟進同樣重要。”例如，一次單獨的釣魚嘗試可能是一個戰術問題，直到你的TIP標記出類似事件，顯示出持續存在的針對性攻擊證據，這可能意味著需要采取運營級更改來應對這些嘗試。上下文至關重要，而TIP可以幫助提供這一上下文。

了解AI增強工具的工作原理

一些TIP供應商使用AI增強工具和其他自動化技術來管理其工作流程。鑒于AI如此流行，這意味著你必須了解這種自動化是如何構建的，以及它的局限性是什么。例如，一個局限性可能是AI軟件如何從你的威脅情報源中消耗數據來學習。就像任何AI的使用一樣，細節決定成敗。基于對荷蘭執法部門多年調查的總結，Niko Dekens稱之為“因AI導致的批判性思維緩慢崩潰”。AI增強工具應引發懷疑，而非滿足感。分析師需要質疑AI的主張，并將其輸出與現實世界中的源行為進行比較。這是一個需要時刻銘記的重要區別。

如果這聽起來像是一項艱巨的任務，那是因為它確實是。TIP既不是簡單的產品，也不容易評估或使用。管理威脅意味著你必須考慮所有進入基礎設施、應用和服務器的入口點。