然而，相当大比例的CISO表示，他们在使用威胁情报方面仍有所欠缺。

根据网络安全软件制造商Trellix发布的2025年报告《CISO的思维：缩小反应与准备之间的差距》，95%的受访CISO认同，加入威胁情报共享社区或网络能提升他们应对威胁的准备能力，然而，有更高比例(98%)的CISO表示，其所在企业在运用威胁情报时面临障碍。

安全领域领导者表示，这些数据只是冰山一角，他们指出，真正的挑战并非在于CISO能否获取或接收情报(几乎所有安全团队的安全工具中都内置了一些威胁情报)，而在于他们能否有效运用这些威胁情报，以及在多大程度上能将情报转化为实际行动。

以下是CISO在有效运用威胁情报时普遍面临的五大挑战及应对策略。

1. 聚焦与企业业务最相关的威胁情报

威胁情报，又称网络威胁情报(CTI)，通过多种渠道提供给CISO，有些情报是免费的，而大部分则需付费获取。尽管部分CISO具备自行收集威胁情报的资源，但大多数还是从政府机构、研究人员和信息安全共享与分析中心(ISAC)获取情报。

CISO还从商业网络安全公司和通过数据源、报告及/或对其销售给安全团队的技术和服务进行自动更新的供应商处购买威胁情报。

但托管安全服务提供商LevelBlue的首席宣传官特里莎·拉诺维茨(Theresa Lanowitz)表示，CISO可能会发现，某些威胁情报源对其企业并无用处。

问题不在于情报源的质量，而在于其对于特定企业的适用性。

“威胁情报众多，但CISO需确定与其所在行业和企业相关的情报。”拉诺维茨说。

她解释说，一些威胁，如勒索软件、网络钓鱼和商业电子邮件泄露攻击，几乎无处不在，而其他黑客战术、技术和程序(TTP)在某些行业则更为普遍，或更有可能针对特定资产而非其他资产。

拉诺维茨表示，最擅长运用威胁情报的CISO清楚自己最可能遭遇哪些威胁，因此能专注于获取与这些威胁相关的数据。

科技公司Pendo的CISO查克·凯尔瑟(Chuck Kelser)的做法便是一个例证。他加入了所在行业的专业同行网络，以便更准确地识别最可能的威胁，同时及时了解新出现的威胁并获取零日漏洞的最新消息。

“这为我们提供了有用的信息。”他说。

2. 根据IT环境的安全态势运用威胁情报

国家大学网络安全中心主任克里斯·辛普森(Chris Simpson)表示，CISO面临的另一重大挑战是在收集和分析威胁情报后如何将其付诸实践。

辛普森表示，CISO必须将网络威胁情报数据融入企业的漏洞管理计划、安全信息和事件管理系统(SIEM)、威胁狩猎工作等之中。

尽管辛普森承认这对许多安全主管来说是一项艰巨任务，但金融服务信息安全共享与分析中心的约翰·丹宁(John Denning)表示，这是一个可以且应该克服的挑战。

“无论企业规模大小，都应有一个无缝流程，将威胁情报输入防御技术栈中，”丹宁说，“这要求系统在设计、配置和架构上能够接收情报，同样重要的是，系统需具备生成报告和指标的能力，以确定所接收情报的质量和有效性。”

此外，安全团队需对企业的IT环境、业务运营、战略和所在行业有足够的了解，以便有效运用威胁情报。具备这些了解后，分析师才能首先确定哪些威胁情报源和报告对企业最为重要，其次才能从这些情报报告中筛选出对企业及其独特安全态势最有意义的数据，从而加以利用。

3. 过滤干扰信息以减轻安全工作量

辛普森表示，即使CISO已将相关情报融入其安全计划，他们仍常难以过滤干扰信息，以专注于实际指示潜在威胁的数据。

干扰信息是指无需立即关注或采取行动(或根本无需关注或行动)的不相关或低价值信息，干扰信息可能是误报或被误标为恶意的良性流量。

如果干扰信息过多，本已捉襟见肘的安全团队会浪费宝贵的时间和精力去追踪这些非问题，而非真正的问题。

对此有解决之道，根据Wipro发布的《2025年网络安全状况报告》，一种策略是“采用‘安全数据架构’方法，该方法汇聚来自所有企业安全工具的数据，以获得更丰富的上下文和洞察，这有助于安全团队减少误报和降低平均修复时间，同时优化其安全架构。”

4. 根据企业目标和风险承受能力确定调查优先级

即便费尽心力筛选出了与企业最相关的威胁情报，安全团队仍需处理大量信息。普华永道全球威胁情报总监兼美洲区负责人艾莉森·维科夫(Allison Wikoff)表示，尽管自动化响应威胁情报可进一步减轻工作量，但安全团队仍需学会有效确定需进一步审查的情报优先级。

她表示，为此，安全团队除需了解威胁态势外，还需了解企业目标和企业资产，这使他们能够制定并实施基于风险的优先级排序方法，以确定威胁情报中指示需进一步调查的事项。

“威胁情报使团队能够评估对其企业的相关威胁，并如上所述，就需采取的措施做出明智决策，”服务于澳大利亚关键基础设施部门的CI-ISAC澳大利亚公司首席执行官大卫·桑德尔(David Sandell)补充说，“上下文是可用威胁情报的关键：威胁是什么?它是如何产生的?实施起来有多复杂?谁负责?我有可能成为目标吗?我易受攻击吗?”

5. 利用威胁情报制定战略

安全团队通常首先从战术层面使用威胁情报，这一用途往往围绕自动化低级别安全任务。例如，随着工具制造商获取被视为有问题的新IP地址情报，用于屏蔽危险IP地址的安全工具会自动更新。

随着安全团队对威胁情报运用的日益成熟，他们会将网络威胁情报付诸实践。此时，安全团队会利用情报来制定其事件响应计划。例如，情报可以告知团队在其环境中发现某种特定威胁时应采取的后续步骤。

成熟度曲线的下一阶段是战略层面——这是威胁情报最复杂的应用。在这一阶段，CISO将情报与威胁态势、其IT环境、其企业和其所在行业相结合，以制定安全职能和整个企业的战略决策。

大多数CISO尚未达到这一阶段：Trellix的调查发现，60%的受访CISO表示，其所在企业尚未将威胁情报全面融入其更广泛的网络安全战略。

“CISO往往仅利用威胁情报来识别妥协迹象，而威胁情报可通过多种方式融入网络防御和风险管理的多个领域，”金融服务信息安全共享与分析中心的丹宁说，“在妥协迹象之外利用威胁情报的CISO可以为其公司构建一个综合的情报驱动防御网络。”

普华永道的维科夫表示，为了利用威胁情报制定战略，CISO必须有效地向上传达企业的威胁态势，以便董事会不仅能理解，还能利用这一洞察做出决策。

此外，维科夫表示，CISO必须了解威胁背后的驱动因素，换句话说，他们需要知道威胁行为者的动机。CISO应提出以下问题：威胁行为者最有可能攻击我是因为我是寻找快速经济回报的机会主义者吗?他们的目标是我的知识产权吗?还是他们希望利用我的系统作为攻击其他目标的渠道?

维科夫表示，CISO可以利用威胁情报提供的洞察，结合高管层和董事会的企业风险评估，制定一个更准确、更有效地应对企业所面临风险和威胁的安全战略。

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。