通過觀察威脅情報是如何產生的，如何在組織中傳播及應用，用戶可以有效地管理它。

管理威脅情報的產生意味著需要采取一些能夠找出其真正來源的有效方法，比如盡可能自動運行并提前識別組織使用的案例，以便可以專注于正確對應數據。

與能夠對其采取行動的人分享你的威脅情報–這意味著要確保它是以即時情景的方式產生，并且能夠被目標受眾理解。

通過提高現有程序的效率，獲得更高的投資回報，并使用戶的安全系統更加完善強大，有效地利用威脅情報。

您可能已經點擊了這篇博客文章，期望能夠更有效地管理您的數據提要。畢竟，處理威脅數據來源是任何威脅情報專家工作的基礎。但是真正管理起來非常費時——這是理所當然的，任何改進威脅情報管理方法的嘗試都會涉及到更有效的數據處理。

讓我們探討一些進行威脅情報管理的指導原則，并通過一些案例研究來展示其價值。

[[242292]]

威脅情報管理的現實價值

雖然許多威脅情報解決方案只會為您提供數據源，但威脅情報的真正價值并不在于組織和管理所有不同的數據源——威脅情報提供背景信息，原始數據勾勒出一張地圖;威脅情報實際上為您指出了一條路線。

無關組織大小，有效地管理您的威脅情報可以歸結為改進威脅情報開展的三個階段：如何產生威脅情報?如何傳播威脅情報?以及它最終在您追求組織的網絡安全需求時是如何應用的?

但是，在您著手改進這三個階段之前，必須先確定什么威脅情報案例對您的組織來說是最重要的，然后才能回答一個更基本的問題，即改進什么。

制作你需要的威脅情報

威脅情報最終是從原始來源衍生出來的完美產品，其中最常見的是威脅數據的輸入。在選擇要從哪里提取數據，以及如何評估其價值時，需要遵循一些最佳實踐方法。單個數據提要通常提供這一數據的主題，如與惡意活動相關的可疑IP地址或電子郵件地址列表。

即使在這個有限的范圍內，提要的也只是未區分的信息流，其中沒有任何單個數據點優先于其他，這使得手工排序對任何分析師來說都是一個巨大的麻煩。一個好的威脅情報解決方案應該使這個分類過程自動化，例如，通過有明確定義的本體對原始數據進行排序，使分析人員能夠更容易研究某個特定的主題。

然而，自動化處理并不等同于制作本身。更完善的威脅情報解決方案將不僅僅包括來自公開的威脅數據源的數據，而且還包括來自像社交媒體、暗網論壇和技術資源網站的數據。之后再將這些不同的數據源合并到一個與您的組織案例相關的數據供應處。

與正確的人分享你的威脅情報

能夠將所有這些雜亂無章的數據匯集在一起，從中分析師能夠識別模式并得出結論。這看上去不錯，然而除非針對最終威脅情報可采取某些行動，否則這份威脅情報仍然不會有多大價值。這是每個人都喜歡使用的商業術語中的一種——“我們需要為今年的第四季度制定更多可行的策略!”——實際這本身并不意味著什么。

要想對威脅情報采取行動，通常需要考慮下列因素：

• 即時性。威脅情報提示你的組織經受網絡攻擊是即時性的。攻擊發生后再將這些攻擊提示整合歸納就失去了即時性。
• 關聯性。威脅情報應該是個性化的。您唯一需要擔心的是那些針對您使用的系統的目標漏洞。
• 連貫性。這也許是威脅情報可否被定義，以及可否采取措施最基本的方面了——這必須能夠被那些能夠采取行動的人所理解。關于組織安全系統中重大缺陷的一份緊急報告落在經理的收件箱中，但由于它是用一種高度技術性和難以解析的語言編寫的，經理沒有充分理解威脅的緊迫性，因此選擇不對其進行優先排序，于是產生了嚴重的后果。

任何威脅情報發展周期的產出將因其目標受眾而產生不同。最終結果可以是具體情景報告，以便吸引商界領袖關注;旨在通知進行安全操作的技術指標;運行趨勢和威脅提醒的儀表板，如漏洞、惡意軟件或惡意基礎設施;對潛在攻擊或損害品牌的活動發出警報，等等。

有偏向的運用威脅情報

通過一開始就確定目標受眾，以及即將產生的情報的最佳服務案例，從而管理你的威脅情報服務。

回到上面根據目標受眾可以產生的不同形式的威脅情報的例子，這里有一些情景可以應用這些情報：

• 一個組織的首席財務官在閱讀一份報告后決定將明年預算的更大部分分配給該組織的網絡安全團隊，該報告強調一旦團隊從使用免費威脅數據源切換到更完整的威脅情報解決方案后，投資回報將不斷增長。
• 在將威脅情報解決方案整合到現有的安全軟件中后，分析師可以花更多時間進行警報分類和事件調查，自動化大部分數據收集并幫助他們避免誤報。
• 組織的安全團隊設置一個自動警報，以防任何在互聯網上(不僅僅社交媒體網站，甚至還有一些日常很難接觸到資源網站：如暗網市場)提及該組織的情況。在此之后，公共關系部門能夠更快地對潛在的品牌破壞性黑客和敏感信息泄漏給與反應。

威脅情報有無數的應用程序——比其他任何組織都能有效地利用它。能夠更有效地著手管理威脅情報的最佳方法是確定個人需要關注哪些應用程序并找到最適合個人需求的解決方案。