近日，国际权威研究机构Forrester在对Google、IBM、CrowdStrike、微步在线等全球代表厂商和用户调研后，发布了威胁情报非常好的实践报告《如何让你的威胁情报有可操作性》（How To Make Your Threat Intelligence Actionable），报告针对战术级威胁情报（Tactical Threat Intelligence）、运营级威胁情报（Operational Threat Intelligence）、战略级威胁情报（Strategic Threat Intelligence）更有效应用的关键点做了洞察。

　　战术级威胁情报主要是指复杂度最低，最容易生产的情报，其更偏技术，比如黑IP地址、URL、文件哈希以及恶意域名这类简单的失陷指标（IOCs）；运营级威胁情报生产难度相对较高，这类情报专注于理解攻击者的能力、攻击基础设施、技战术与流程（TTPs），并将收集与分析的信息，用于日常的安全运营；战略级威胁情报复杂度最高，其着眼全球的安全事件、安全风向及其他国内外长远可能对企业产生影响的安全态势。

　　战术级威胁情报，“及时”才能更有效“制敌”

　　战术级威胁情报属于关键基础情报，通过收集、分析以及利用失陷指标（IOCs）、攻击者技战术与攻击流程，来提升整个企业安全环境的检测与防御能力，侧重于操作层面。战术级威胁情报能以机读的形式，通过API或者订阅方式获得，便于企业安全人员进行编排或自动化操作，从而进行威胁检测、响应或缓解恶意软件、钓鱼、数据泄露等安全事件带来的影响。

　　通常而言，战术级威胁情报生命周期非常短暂，类似恶意IP或者恶意域名这类IOCs在几个小时或者几天内就会过期。如果只是简单通过订阅情报接收大量数据，但无法吸收或是策略性分析与企业自身相关的数据，当数据源不及时或者不准确时，就会产生大量误报。

　　在应用战术级威胁情报过程中，企业需要在IOCs集成到SIEM、安全分析平台、端点防护工具、防火墙、邮件网关等安全产品过程中，聚焦相关度最高且最危险的威胁告警。对于安全漏洞，不能仅按照通用漏洞评分系统（CVSS）得分最高的标准进行漏洞修补，也需要系统化地进行漏洞优先级排序，把资源用到最危险的漏洞上。

　　运营级威胁情报，提供高级防御能力

　　运营级威胁情报对威胁态势，例如攻击者、攻击动机、攻击能力、攻击意图等有更全面的认知。通过运营级威胁情报，企业安全团队能够更有效地确定资源的优先级，更及时地响应安全事件，在关键资产与数据保护时做出更明智的决策。同时，安全事件响应人员、威胁狩猎人员或者安全分析师，利用运营级威胁情报能够更准确地识别、遏制以及修复威胁，提升企业安全性，发展主动防御能力。

　　相比战术级威胁情报，运营级威胁情报虽然需要的资源更多，但情报的可用周期更长，因为攻击者不能像更换工具那样，随时调整自己特定类型的恶意软件、基础设施及技战法等。使用场景上，运营级威胁情报的用例要求更高，它们需要更可靠的安全控制基线以及更熟练、专业的安全人员。通常而言，漏洞管理、应急响应、威胁监控是运营级威胁情报应用最多的场景。

　　根据Forrester 2022年的安全调研，41%的安全决策者表示，事件告警和响应过程中的分析与调查花费的时间最多，利用威胁情报中的IOCs和技战法与流程（TTPs）可以缩短分析与调查时间，提升应急响应效果，降低安全事件影响。此外，企业也可以将运营级威胁情报用于威胁狩猎这一重要场景，从而发现高级未知威胁。基于技战法、恶意软件行为分析等情报，威胁狩猎能够发现绕过传统安全工具的威胁，更早阻断攻击，最大限度减少破坏。

　　战略级威胁情报提供全局视角，缓解企业安全风险

　　战略级威胁情报需要理解威胁形式的演变、威胁攻击者的能力与意图，新的趋势以及对关键资产、基础设施及业务目标的潜在影响。这类情报提供了对网络威胁背景更高级的洞察与建议，能够帮助企业高层或关键决策者降低风险，合理分配资源，并制定积极的安全策略。如果缺少此类威胁情报，对安全环境做出错误判断，很可能做出有偏差的决策。

　　不过，战略级威胁情报也是最难获取的，它需要人工进行数据收集和分析，需要对网络安全和世界地缘政治形势有深入了解，通常以报告形式提供。企业可以从战略级威胁情报报告中提取最新的趋势、数据与建议，从而调整人员配置、整体优先级等，也可以利用报告中的历史及当前数据，为后续长期计划提供支撑，或利用威胁情报验证此前的投资，与同行安全标准看齐。另外，基于可靠的战略级威胁情报，决策者也可以提升决策在团队、客户以及合作伙伴中的信心，增加安全决策被采纳与支持的可能性。

　　网络攻防的世界，关键信息的获取至关重要，掌握更多、更准确信息的一方，意味着有更精准的判断，以及更多的主动权。虽然企业越来越认识到威胁情报的价值，但大部分又都受困于如何利用情报的价值。很多企业如今在运用情报的过程中，仍停留在将威胁情报数据集成至现有安全设备，并未最大限度发挥情报可能产生的洞察价值。希望这篇文章，能给你带来一些启发。