企业威胁情报技术能力阶段

https://www.freebuf.com/column/200873.html

威胁情报自出现以来，已经被越来越多的企业所采用，那么企业的威胁情报能力如何评估呢？相信不少应用了威胁情报的企业也想知道自己的现状，以便指定恰当的目标。

从应用能力看，企业对威胁情报的应用分为消费级、融合级、聚合级、优化级和自适应级。以下让我们分别来看一下处于各个级别的企业具有的特征。

消费级

处于消费级的企业购买商业威胁情报，将商业威胁情报应用于威胁发现设备（IDS）、威胁阻断设备（防火墙、WAF）或威胁发现与阻断的组合应用（恶意软件查杀工具，利用HASH类情报），处于该阶段的威胁情报应用特征是用于设备集成。由于这类设备通常对效率有较强的要求，因此采用威胁情报的数量不能太多，否则将会带来设备的性能下降从而影响用户体验。对处于该阶段的用户建议是采用高信誉值、高更新率的威胁情报源。

融合级

处于该阶段的用户，能够将威胁情报与企业实况相结合，是做到“知己知彼”的起点。例如：企业能够对信息资产以及信息资产的弱点（漏洞、弱配置）进行发现，结合外部威胁（基于POC的漏洞情报）。处于融合级的企业特征是加入自有情报，使得威胁情报的应用更加丰富和灵活。处于融合级的企业通常已经部署SOC/SEIM，或者是态势感知系统，他们能够对网络安全进行高质量的管理。处于融合级的企业，通常对威胁情报的数量也比较关注，他们认为即使是低信誉值的情报，也能够为网络安全分析与决策带来价值。

聚合级

处于这一级别的企业能够对引入的多源商业情报进行聚合，并具有情报质量分析和管理能力，对情报源进行综合质量评估。由于聚合级引入的是多个高质量威胁情报源，因此对威胁情报的分析能力要求处于相对较初级阶段。处于聚合级的企业特征是对网络安全高度重视，他们认为威胁的潜在存在是难以接受的。

优化级

处于这一级别的企业，不仅能够对优质的多源情报进行聚合，同时具备对开源情报进行收集、分析和应用能力，由于开源情报中存在的噪音数据远高于商业情报，因此处于优化级威胁情报能力的企业必须能够有效消除噪音，降低误判，尤其是漏判的概率。处于优化级的企业特征是具有优良的情报分析团队。

自适应级

处于这一级别的企业，其威胁情报应用能力可以做到自动化闭环应用，即威胁情报质量高度可信，可以与安全设备互动，形成无需人工干涉的情报生产、情报消费的闭环，情报生产到消费的时间周期大大缩短。处于这一阶段的威胁情报特征是闭环、低干涉、低延时、高质量。

纵然威胁情报的消费级、融合级、聚合级、优化级和自适应级每一级能力都有所上升，然而笔者认为企业在实践应用中，选择适合自己的等级目标尤为重要，这可以让企业在预期的费效比上构建自己的威胁情报能力，是为“量体裁衣”。