网络安全专业人员对成熟网络威胁情报（CTI）计划的特性各有其观点。ESG的研究表明，成熟网络威胁情报计划具有几大属性，包括向广大受众传播报告，分析海量威胁数据，以及CTI与许多安全技术的集成。

很遗憾，大多数网络威胁情报项目还远未成熟，但随着大多数企业加强网络威胁情报项目投资，这种情况可能会在未来几年发生变化。63%的企业计划在未来12至18个月内“大幅”增加网络威胁情报计划支出，另有34%的企业计划“略微”增加网络威胁情报计划支出。

为什么要为网络威胁情报计划花钱？因为网络威胁情报可以带来技术和商业收益。研究表明，对网络威胁情报计划的几大影响包括：了解计划并购公司所面临的威胁、个人黑客或竞争对手团体策划针对性攻击的威胁，以及需要了解对手的战术、技术和程序（TTP）从而加强企业安全防御。

为什么CISO将追加威胁情报投资

CISO认为进一步投资威胁情报计划能够缓解网络风险，改善威胁预防与检测。在未来12到24个月内：

• 30%的企业将优先考虑加强内部团队间威胁情报报告共享。这是朝着正确的方向前进，因为威胁情报在丰富警报方面的价值超过了安全运营中心（SOC）。CISO可以通过网络威胁情报确定投资优先级和验证安全控制措施有效性，而业务经理能够在数字化转型举措与更彻底的风险管理决策之间取得平衡。网络威胁情报传播和消费者反馈是成熟威胁情报生命周期的关键阶段。

• 27%的企业将重点投资数字风险保护（DRP）服务。随着自身数字足迹的拓展，企业需要更好地了解随之而来的风险。DRP服务监测在线数据泄露、品牌声誉、攻击面漏洞，以及深网/暗网上围绕攻击计划的聊天内容等内容来提供这种可见性。

• 27%的企业会重视与其他安全技术的集成。除了端点安全、电子邮件和网络边界，CISO还希望网络威胁情报与云安全工具、安全信息与事件管理（SIEM）和扩展检测与响应（XDR）解决方案，以及安全网关和云访问服务代理（CASB）等安全服务边缘（SSE）工具相集成。更多的集成等同于阻止更多的入侵指标（IoC）和发展更加全面的威胁知情防御。

• 27%的企业会重点考虑获取威胁情报平台（TIP）用于威胁情报收集、处理、分析和共享。威胁情报平台曾是大型企业的专属，但现在正慢慢走向下沉市场。预计这些支出中的大部分最终会流向Flashpoint、Mandiant、Rapid7（Intsights）、Recorded Future、Reliaquest（Digital Shadows）、SOCRadar和ZeroFox等服务提供商。思科、CrowdStrike、IBM、微软和Palo Alto Networks等大品牌也会分得一杯羹。

• 26%的企业将重新制定更加完整的计划。企业意识到自己不能再依靠兼职威胁分析师审查一些开源威胁情报源了。他们需要配备专职人员和流程来实施整个网络威胁情报生命周期。虽然CISO可以将内部事务处理得井井有条，但大多数还是会依赖上述服务提供商来完成大部分实际工作。