大约五年前，向首席信息安全官（ CISO）询问他们的网络威胁情报 (CTI) 计划时，得到了两种截然不同的回答。

资源丰富的大型企业正在投资他们的威胁情报计划，目的是为了战术、运营和战略目的更好地实施它。

规模较小、资源受限的 SMB 组织通常认识到威胁情报的价值，但没有人员、技能或投资预算。

对于这些组织，威胁情报程序只不过是使用防火墙、端点安全软件、电子邮件网关或 Web 代理来阻止妥协指标 (IoC)。

快进到 2023 年，与交谈过的几乎每个组织都在使用威胁情报源、实施工具和构建威胁情报程序。

新的 ESG 研究表明，95% 的企业组织（员工人数超过 1000 人）都有威胁情报预算，并且 98% 计划在未来 12 到 18 个月内增加威胁情报方面的支出。

为什么 CISO 与网络威胁情报斗争

是的，CISO 正在拥抱 CTI，学习他们可以做什么，并尝试使用 CTI 来改进安全防御。

这似乎是进步，但这些投资是否转化为 CTI 计划的改进？并不真实。尽管预算有所增加并采取了积极主动的策略，但许多 CTI 计划仍在苦苦挣扎。

研究表明：

• 85% 的安全专业人员认为他们的 CTI 计划需要太多手动流程。这种手动操作可能包括将威胁指示器剪切并粘贴到工具中、关联来自不同来源的威胁情报或创建威胁情报报告。与任何其他领域一样，手动流程无法扩展，因此无法跟上当今威胁形势的步伐。

• 82% 的安全专家认为 CTI 项目通常被视为学术练习。在采访作为该研究项目背景的安全专家时，发现这是一个常见问题。没有得到适当指导或管理监督的威胁情报分析师做他们想做的事：威胁情报研究。

  这可能会导致对威胁参与者或他们用来进行攻击的策略、技术和程序 (TTP) 的突破性见解，但仍然与他们组织的情报需求无关。这种不匹配比大多数人意识到的要普遍得多。

• 72% 的安全专业人士认为，很难通过 CTI 噪声进行分类以找到与他们的组织相关的内容。不乏可用的 CTI，开源、行业信息共享和分析中心 (ISAC)、商业提要、社区团体等。

  大海捞针可能很困难。一些组织根本不知道要寻找什么，而另一些组织则受困于“越多越好”的 CTI 心态，并被海量信息所淹没。

  无论哪种方式，他们都是在错误的正面和负面信息上浪费时间。

• 71% 的安全专业人士表示，他们的组织很难衡量其 CTI 计划的投资回报率。鉴于许多组织不知道要寻找什么，被 CTI 数量淹没，或者像对待研究生院一样对待威胁情报项目，这一点不足为奇。

  遭受其中一个或多个问题困扰的 CISO 会发现很难确定 CTI 资金带来的可衡量收益。

• 63% 的安全专业人员表示，他们的组织没有合适的人员或技能来管理适当的 CTI 程序。令人讨厌的全球网络安全技能再次短缺，但它不仅仅是工作太多而人手不够。

  威胁情报分析需要培训、经验和个人属性，如解决问题和强大的沟通能力。

  研究表明，即使是资金雄厚的大型公司也没有合适的技能或员工来满足情报需求。

CISO 如何克服这些问题？

关于研究揭示的关于拥有成熟 CTI 项目的组织的内容：他们做什么，他们如何构建他们的项目，他们多年来学到了什么，等等。

在深入细节之前，这里有一个提示: 与其说是 CTI，不如说是 CTI 程序。

为取得成功，CTI 计划必须从明确的目标（在本例中为战术、运营和战略目标）、强有力的管理、可实现的工作量和持续改进的反馈循环开始。

此外，CISO 必须现实地看待自己的能力。如果实际上不可能构建本土 CTI 程序（满足短期和长期情报需求），CISO 必须从服务提供商那里寻求外部帮助。

明确定义需要什么，然后将服务提供商的输出集成到安全、IT 和业务流程。