多年過去，網絡威脅情報計劃仍步履蹣跚

五年前問及CISO對其網絡威脅情報（CTI）計劃的態度，收到的回復儼然南北兩極。資源充足的大型企業紛紛投資其威脅情報計劃，想要將之更好地應用于戰術、運營和戰略目的。資源受限的中小企業則常常是認識到了威脅情報的價值，卻沒有人手、技能或預算投入其中。對這些企業來說，威脅情報計劃只不過是用防火墻、端點安全軟件、電子郵件網關或Web代理來阻止入侵指標（IoC）而已。

時間快進到2023年，幾乎每家受訪企業都在消費威脅情報饋送，實現各種工具，構建威脅情報計劃。企業戰略集團（ESG）最近發布的調研報告表明，95%的企業組織（員工人數超過1000名）設置有威脅情報預算，98%計劃在未來12到18個月里增加威脅情報開支。

為什么CISO難以推進網絡威脅情報

沒錯，CISO歡迎CTI，積極學習，試圖使用CTI來改善安全防御。這看起來似乎有所進展，但這些投資真的能轉化成CTI計劃的改善嗎？未必。盡管預算增長、戰略主動，很多CTI計劃仍然舉步維艱。ESG的研究表明：

? 85%的安全專業人員認為其CTI計劃需要過多手動流程。這種手動操作包括將威脅指標剪切粘貼到工具中、關聯不同來源的威脅情報，以及創建威脅情報報告。與在其他任何領域的情況一樣，手動流程無法擴展，因而跟不上當今威脅形式的步伐。

? 82%的安全專業人員認同CTI計劃常被當成學術活動。這種認知在安全專業人員當中十分普遍，是個常見問題。如果沒收到恰當的指示或管理監督，威脅情報分析師就會去做自己想做的事：威脅情報研究。這或許會帶來攻擊團伙或其用來攻擊的戰術、技術與程序（TTP）方面的突破性見解，但仍與企業的情報需求無關。這種不匹配遠比大多數人認為的要普遍得多。

? 72%的安全專業人員認為很難梳理CTI噪聲并找到與自家企業相關的內容。CTI資源并不缺：開源、行業信息共享與分析中心（ISAC）、商業訂閱源、社區團體等等。在這么多資源里大海撈針就不容易了。一些企業根本就不知道該尋找什么，另一些則陷入了“越多越好”的CTI思維，被巨大的信息量壓垮。無論哪種情況，他們都把時間浪費在了誤報和漏報上。

? 71%的安全專業人員表示自家企業很難衡量在CTI計劃上的投資回報率（ROI）。考慮到很多企業不是不知道該找什么，就是被大量CTI淹沒，或者將威脅情報計劃當成研究生院，出現這種情況一點兒也不令人意外。受困于一個或多個此類問題的CISO就很難衡量CTI投資帶來的好處了。

? 63%的安全專業人員表示，自家企業沒有合適的人手或技能來管理恰當的CTI計劃。令人生厭的全球網絡安全人才短缺問題可謂老生常談，但這不僅僅是工作太多而人手不足的問題。威脅情報分析需要培訓、經驗，以及問題解決和良好溝通等個人特質。研究揭示，即使是資金充足的大公司也缺乏合適的技能或人手來保障情報需求。

CISO該如何克服這些問題？擁有成熟CTI計劃的企業是如何做的我們容后再談，我們先要搞清楚：CTI不等于CTI計劃。

想要獲得成功，CTI計劃必須首先確立明確的目標（也就是戰術、運營和戰略目標）、強有力的管理、可實現的工作量，以及支持持續改進的反饋循環。此外，CISO必須對自身能力有清醒的認識。如果自己構建CTI計劃（滿足短期和長期情報需求）不可行，CISO就必須向外尋求服務提供商的幫助，明確自身需求，然后將服務提供商的輸出集成到安全、IT和業務流程中。