E安全4月18日文 在网络威胁情报领域，厂商困惑的是：哪些威胁信息可以被定位为“完成情报”（Finished Intelligence）。“完成情报”指的是获取、评价威胁信息，并能带来业务利益的产出。

虽然情报过程始于威胁信息收集。从浩瀚的信息海洋中获取信息与生成“完成情报”存在很大差别。在图表中画1000个分散的点，这就是信息，但显示情境和相关性的这些以某种方式关联的点，被称为“评估情报”，可以用来准备并规划未来攻击的情报，以支撑先前的未知风险，将工作和精力投入到适当的地方。这些情报还能帮助组织机构从事件响应的角度理解事件的经过、原因和过程。

何为威胁情报？

网络威胁情报（CTI）是一个生命周期过程，最终产生可以以多种方式被不同群体使用的可交付成果（取决于威胁情报位于策略、运作/和/或战术层面）。要明确，CTI不仅仅是提取指标（Indicator）或通过数据充实数据库，以及在环境中使用这些指标。

威胁情报需要将自动化（涉及情报收集、处理、过滤和一些分析）和人力分析结合。人为因素太容易被忽视。现如今有大量信息可供收集，无论是从“暗网”或开放资源抓取，获取信息相对简单（在限制性黑市和论坛安排间谍眼线除外）。

威胁情报不仅仅是收集数据，还包括处理和分析，其秘诀还在于情报分析。本文源自E安全如果执行得当，情报分析可以确保信息评估的精确度、相关性、时效性和完整性。某个行业或组织因不同的看法和决策使用情报，因此这就需要人类的经验和要注意的细节。

要创建情报需要信息，然而信息本身不是情报。

实际上，信息有时甚至会将组织指向错误的方向。尽管信息提供了大量潜在行动，但情报可以协助规划，并提供方向，并最终帮助组织机构制定更佳的决策，意义重大。

分析威胁活动时，应通过“接敌途径”考虑：

• 行业目标-攻击者想从特定组织机构或团队得到什么？

• 技术目标-攻击者可能会利用组织机构使用的哪些技术（例如Adobe Flash、Internet Explorer等）实施攻击？

• 传送方式- 攻击者如何将有效载荷传送到目标（例如鱼叉式网络钓鱼、第三方攻击等）？

• 使用的漏洞利用- 攻击者使用了哪些具体漏洞利用或已知（或未知）漏洞？

• 获取的权限-攻击者获取/使用哪种存在方式（比如特权账号、数据库访问等）执行攻击？

• 造成的影响/损害-攻击带来的影响有哪些（例如IP被盗、服务停用等）？

“接敌途径”可以提供威胁情境、运作方式、目标以及对组织机构造成的影响。“完成情报”包括这类分析、威胁指标和支持证据，以及信心水平和行动推荐。

因此，组织机构不仅需要了解事件的经过和过程，还需从事件响应或风险规划的角度和准备方式中了解影响评估和缓解措施。

谈到威胁情报时，也许一些厂商经常提及“可操作”情报，然而，除了“可操作”，情报还应为组织机构献计献策，以应对即将发生的威胁或识别的风险。

“完成情报”是指获取、评估威胁信息并能最终带来业务利益的产出（通常以减低风险潜在响应业务运营的方式产生）。

如果组织机构无法轻松说出当前CTI会带来哪些业务利益，或无法定义欲创建的新CTI能力，那么这样的组织机构只是在收集情报，并非执行威胁情报。

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。