避免威胁情报无效投资的五个错误

为了支持投资回报率，CISO 们应避免在网络安全的错误领域超支投入，以下是 CISO 应避免的五个错误。

强大的威胁情报 （TI） 能力可以帮助在许多不同方面将网络安全计划提升到一个新的水平。当组织选择与其技术环境和业务环境相关的高质量威胁情报来源时，这些外部来源不仅可以更快地进行威胁检测，还可以帮助领导者更好地了解其风险敞口并确定未来安全投资的优先级。

CISO 和网络安全高管越来越多地将他们的计划投资目标押在 TI 的承诺上。最近的研究表明，五分之三的组织将其整体网络安全预算的至少 11% 到 30% 用于威胁情报。这相当于 80% 的网络安全团队每年在外部供应商的威胁情报产品上花费 250,000 美元或更多。

但是这些钱有多少花得值呢？虽然大多数分析师仍预计 2025 年安全支出将增加，但有迹象表明，CISO 将在未来一年被要求证明和收紧其支出效率。根据 IANS最近的研究，超过三分之一的 CISO 在 2024 年的预算持平或下降，以招聘为例，与 2022 年相比，员工增长减少了一半。

TI 将在威胁检测、事件响应、漏洞管理和更广泛的风险管理方面带来重要价值，但它也可能被证明是一个投资黑洞。威胁情报使用方式的分布式性质使得 TI 很难满足财务效率和安全问责的双重要求。组织不仅会把资源浪费在糟糕的情报和不充分的分析上，还会浪费在不能有效用于改变安全结果的“关键”情报上。

单纯追求 TI 的投资回报率不会有一劳永逸的答案，但许多威胁情报专家表示，CISO 可以通过一些常见方式从源头上避免最有可能的支出浪费。以下是在最大限度地提高情报效果时要避免的五个错误。

为了真正从全面的 TI 计划中获得价值，CISO 需要可靠的风险管理计划和对应的基础设施，从而为接下来针对情报源的可靠性分析和上下文关联奠定基础。

“TI 确实需要归入您的风险管理范围，如果您没有风险管理计划，更需要确定这一点（作为优先事项），”Qualys 威胁研究部门的网络威胁主管 Ken Dunham 说。“本质上这个问题应该归结为：你要保护的核心事物是什么？你的皇冠上的明珠或你的高价值资产在哪里？ 

如果没有风险管理来确定这些优先事项，组织将无法对应地确定情报收集要求，进而将情报与其最有价值的资产相关联。

此外，当 TI 用于机构关键基础设施的安全上下文分析时，最能发挥价值。这意味着组织需要将情报分析程序以及情报数据从技术、管理两个角度都安排得井井有条，才能真正从他们引入的外部情报中榨取价值。

“从战略上讲，如何在实现安全价值、价值实现时间之间取得平衡，降低 TCO [总拥有成本]，同时与所有重要的内部数据源和工具集成，这是一个困难的方程式，”Ontinue 威胁响应负责人 Balazs Greksza 解释道。“安全不是一个简单的大数据问题，事实上，要“在正确的时间提供正确的信息和情报”，才能得出正确的结论。

这意味着 CISO 需要仔细考虑内部数据和外部情报的所有用例可能互为上下文的多种可能性。Greksza 表示，安全数据湖的用例与 XDR、SIEM或合规性监控解决方案大不相同。这意味着要定义明确的目标和要求，来说明所有情报和分析数据将如何推动更好的决策。他说，CISO 可能希望通过让数据平台工程师参与进来，为 SOC 及其他领域制定全面的数据战略，从而为 TI 奠定基础。

糟糕的情报往往比没有更糟糕，这会导致分析师浪费大量时间来验证上下文。更糟糕的是，如果这项工作做得不当，质量差的数据甚至可能导致运营或战略层面的错误选择。安全领导者应该责成他们的情报团队根据几个关键属性定期审查其来源的可靠性。许多情报专业人士为此使用的典型首字母缩略词是 CART，它代表完整性（Completenes）、准确性（Accuracy）、相关性（Relevance）和及时性（Timeliness）。

Critical Start 网络威胁研究高级经理 Callie Guenther 介绍道，完整性意味着每条情报都提供了威胁的完整情况，包括参与方、方法论和受影响的系统。同时，准确性可能是决定情报价值的最关键质量因素之一。“来源的可信度和可靠性至关重要，”她说。“不准确的情报可能会导致误报、资源浪费，并可能面临未解决的威胁。”

相关性意味着情报与组织行业、技术堆栈和地理位置相关。及时性就是要确保情报足够及时，从而对组织的行为方式产生影响。显然，随着威胁研究的展开，情报来源通常必须在及时性和准确性之间取得平衡。 

此外，Guenther 还希望在组合中添加另一个“A”，使其成为 CAART：可操作性（Actionability）。“情报应该足够详细和具体，以推动安全措施，例如调整安全设备、更新策略或修补漏洞，”她说。

比评估潜在情报来源质量更根本的是，CISO 需要确保团队选择的是真正满足其安全计划和业务需求的情报来源。安全团队在其威胁情报计划中最常犯的错误之一是，跳过了弄清楚谁需要什么样的情报来做出明智的安全决策的过程。

“TI 的有效性取决于组织对情报的接受程度。为了构建有效的 TI 计划，各级组织必须向情报团队起初要求，并乐于使用收到的情报来为流程和决策提供信息，“Cybersixgill 安全研究主管 Dov Lerner 说。

这个需求收集阶段是 TI 生命周期的第一步，但经常被遗漏或仅限于具有特定技术要求的 SOC 分析师。“组织可能无法定义什么是清晰的、可操作的以及具有优先级的情报，从而导致收到的情报数据不相关或数量庞大，”Guenther 说，他同意 Lerner 的观点，即情报团队应该从整个企业的各种不同类型的情报消费者那里收集情报需求。

Lerner 表示，要真正从 TI 投资中获得最大收益，安全团队必须在组织内部拥有畅通、紧密的沟通渠道，以便与安全及其他领域的一系列利益相关者互动。

一些组织可能还希望考虑为利益相关者创建专属计划来跟进新情报需求。NCC Group 网络威胁情报全球主管 Matt Hull 这样表示，他的公司使需求收集更具可重复性和一致性。NCC 的系统几乎就像情报需求的工单。“我们称之为 RFI 流程（Request For Intelligence）， 它本质上是我团队中的一种机制，它告诉（利益相关者）'你有什么问题？'“然后它被分类并传递给相关团队。”

Guenther 发现，组织在启动TI 计划时最常犯的威胁情报错误之一是过分强调战术情报。“虽然战术情报是必不可少的，但只关注 IoC [入侵指标] 而没有战略或运营背景，可能会导致被动而非主动的安全态势，”她说。

Hull 和 Dunham 都坚信，最强大的 TI 团队能够在三个主要方面收集和运营情报：战术、运营和战略情报。战术情报遵循 IoC的传统模式，以及来自恶意软件分析和其他监控的非常具体的技术信息，这些信息可以增强威胁检测。运营情报上升到围绕战术、技术和程序 （TTP） 的行为情报。战略情报是与地缘政治、行业和商业背景相关的更宏观的信息。在 NCC，Hull有三个不同的团队，他们分别专注于这些方面中的其中一个，以确保该计划适当地触及每个领域。

战略部分通常是组织往往最容易错过的部分，而这通常可以带来最大的财务价值，因为战略情报可以帮助团队根据威胁环境中实际发生的情况确定支出的优先级。最重要的是，战略情报还可以帮助 CISO 证明他们的行动和长期投资回报率。

“很难理解 TI 的投资回报是多少。将您的情报输入到风险管理流程中真的非常有用，因为您能够将威胁情报中的一些输入量化到风险管理工作中，“Hull 解释说，这可以让 CISO 面临日益复杂的网络风险时，选择一条量化分析的道路。

即使安全团队在收集利益相关者所要求的正确质量情报方面做得非常出色，但如果没有将情报数据以适当形式传递给需要它的人，所有这些工作都可能付诸东流。

勒纳说：“通常最困难的领域之一是在交付阶段，这正是TI分析师处理完情报并向利益相关者交付情报的时候。”

正如他所解释的那样，许多和、优秀团队在为情报消费者量身定制情报的时候做得并不好。例如，如果为高管提供的战略情报充满首字母缩略词和技术数据，情报就不会有太大价值。而在非结构化报告中，不容易被SOC分析师使用的战术情报也同样无法使用。

Hull 说，确保有重点和有针对性的情报交付的最佳方法之一是在需求阶段确定细节。“当你设定这些要求时，你就设定了交付的节奏和交付机制的方向，”他说，重要的是从一开始就确定如何让利益相关者最容易获得和共享它。

显然，在网络安全计划中，没有一个简单的按钮可以最大化TI 的价值，但是能够专注于避免这五个错误的CISO更有可能充分利用他们的情报。

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁 多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄嘻嘻，我们群里见！