CISO在考虑这些工具时，常犯一些错误，包括缺乏完善的风险管理计划、依赖不良的威胁情报、收集错误的需求或选择不合适的威胁来源，以及在选择工具时缺乏战略眼光。接下来，我们将深入探讨一些具体建议，以帮助你更成功、更有效地购买和使用TIP。

注重高质量情报而非数量

首先，你需要审查用作源材料的实际威胁情报源，以及正在处理的不同情报源的数量，这意味着不要只关注总数，而是要深入探究正在收集哪些数据，并了解TIP如何整合这些威胁，通过添加各种元数据来丰富它们，并以易于查询的数据结构进行分类。

使这种丰富化成为可能且更有效的，是威胁情报库对各种协议的支持，如可信自动化指标信息交换(TAXII)和结构化威胁信息表达(STIX)。这两种标准均由结构化信息标准促进组织维护。STIX定义了潜在威胁的“是什么”，而TAXII则定义了威胁的“如何发生”。将两者结合使用，可以描述每个威胁的动机和能力，以及建议的响应措施，并可用于驱动各种自动化处理和协同修复活动。

丰富化过程的一部分还包括对收集到的重复威胁进行标准化处理，并过滤掉任何误报或无关数据。例如，如果你的终端上没有特定版本的Windows，那么就没有必要保留一个充满此类威胁的情报源。许多TIP使用各种自动化和基于AI的例程来过滤其情报源。Kela的销售工程副总裁Or Lev在接受采访时表示：“这可能是一把双刃剑：你可能会获得更多数据，但也需要过滤掉更多噪音。”

确保不要获取超出需求的情报

接下来是匹配阶段：如果你拥有一个规模较小、技能有限的信息安全部门，或者拥有一个相对简单的计算环境，那么最先进的TIP可能是过度之举。根据Greynoise的2025年报告，威胁情报源必须与你自身的环境相匹配，包括潜在威胁的多样性和复杂性，以及你云和终端的多样性和复杂性。

这包括能够从你的计算和应用基础设施的虚拟和物理元素中查看威胁，正如多位分析师所写。曾为多家安全供应商工作过的Stuart Peck写道：“了解威胁态势不仅仅是查看威胁，还涉及理解直接影响或促成威胁实现的外部和内部因素。”

如何管理事后事件处理流程

更好的TIP能够协调各种响应和缓解措施，以阻止威胁并修复受影响的计算元素。Cyware在他们的报告中写道：“威胁情报的价值直接与其被摄取、处理、优先级排序和采取行动的程度相关。”这意味着需要将其仔细集成到你现有的安全工具组合中，以便利用你之前在SOAR、SIEM和XDR等缩写词上的所有投资。根据Greynoise的报告，“你必须将TIP嵌入到你现有的安全生态系统中，确保关联你的内部数据，并使用漏洞管理工具来增强你的事件响应，并提供可操作的分析。”

上述句子中的关键词是“可操作”。威胁情报往往无法指导任何行动，例如启动一系列补丁来更新过时的系统，或采取修复措施来防火墙特定网络段或将违规设备下线。

可操作性还涉及关注两个不同指标的时间点。首先，这种情报应能够缩短检测与修复之间的时间，因为漏洞利用变得更快。其次，情报应揭示对实时发生的威胁的理解，以及哪些威胁可以被阻止或迅速停止。

拥有可操作的情报能够使潜在威胁可视化。ThreatConnect在2023年的一份报告中指出：“在动态可视化环境中直接对情报采取行动的能力，对于分析师在进行分析时提高效率和效果至关重要。可视化分析使分析师能够看到在其他媒介(如数据表)中可能难以发现的模式和联系。”

制作可视化分析的另一部分是如何在威胁仪表板上以有用且可操作的方式显示这些信息。最好的仪表板能够显示实时趋势或异常。例如，仪表板可以指出服务器何时受到DDoS攻击，或网络段上的一组资源何时被下线。可视化过程的一部分还包括确保你的组织定义了TIP的成功衡量标准，通常是在检测威胁和减少后续事件方面的速率。

所有这些元素对于使威胁情报成为你安全运营的一部分都至关重要，Recorded Future的Esteban Borges在2024年关于将这些情报分为三个基本类别的文章中写道：

•战略级，即更高层次的见解和趋势识别

•战术级，即特定威胁背后的更多机制

•运营级，提供更多实时或近实时分析

这确实是一个微妙的平衡行为，因为实际上你需要涵盖所有三个类别才能充分保护你的基础设施。这里的挑战之一是防止孤立的专业思维模式导致适当的修复措施无法实施。Peck在博客中写道：“我一次又一次地看到，威胁情报团队甚至漏洞管理团队会发出关于高优先级威胁的快速通知，但该通知却因威胁团队未跟进而丢失在队列中。修复组采取行动与威胁团队跟进同样重要。”例如，一次单独的钓鱼尝试可能是一个战术问题，直到你的TIP标记出类似事件，显示出持续存在的针对性攻击证据，这可能意味着需要采取运营级更改来应对这些尝试。上下文至关重要，而TIP可以帮助提供这一上下文。

了解AI增强工具的工作原理

一些TIP供应商使用AI增强工具和其他自动化技术来管理其工作流程。鉴于AI如此流行，这意味着你必须了解这种自动化是如何构建的，以及它的局限性是什么。例如，一个局限性可能是AI软件如何从你的威胁情报源中消耗数据来学习。就像任何AI的使用一样，细节决定成败。基于对荷兰执法部门多年调查的总结，Niko Dekens称之为“因AI导致的批判性思维缓慢崩溃”。AI增强工具应引发怀疑，而非满足感。分析师需要质疑AI的主张，并将其输出与现实世界中的源行为进行比较。这是一个需要时刻铭记的重要区别。

如果这听起来像是一项艰巨的任务，那是因为它确实是。TIP既不是简单的产品，也不容易评估或使用。管理威胁意味着你必须考虑所有进入基础设施、应用和服务器的入口点。

企业网D1net(www.d1net.com)：

国内主流的to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。