威脅情報(bào)定義

威脅情報(bào)定義目錄簡(jiǎn)介2什么是威脅情報(bào)？2核心情報(bào)原那么3可區(qū)分的網(wǎng)絡(luò)情報(bào)4情報(bào)圈4情報(bào)漏斗5從信息中辨識(shí)情報(bào)6威脅情報(bào)收集6情報(bào)事件中可區(qū)分的特征7威脅情報(bào)提供的信息8威脅情報(bào)在信息平安中的重要性8網(wǎng)絡(luò)威脅輪廓的改變8信息平安漏洞的數(shù)量9技術(shù)成長(zhǎng)和使用改變10不同的組織機(jī)構(gòu)都從威脅情報(bào)中期望得到什么？10結(jié)論11簡(jiǎn)介在過去的幾年中，術(shù)語“威脅情報(bào)〞迅速出現(xiàn)在信息平安領(lǐng)域，許多平安廠商現(xiàn)在為消費(fèi)者提供威脅情報(bào)效勞。由于威脅情報(bào)并沒有一個(gè)明確的工業(yè)化定義，不是所有人對(duì)它的定義都一致。導(dǎo)致的結(jié)果是威脅情報(bào)這一術(shù)語如此廣泛地使用在平安工業(yè)領(lǐng)域，但對(duì)于“情報(bào)〞的真實(shí)定義卻一直沒有。今天正在提供給市場(chǎng)的威脅情報(bào)效勞完全沒有提供正確的威脅情報(bào)——他們只是提供對(duì)經(jīng)過最簡(jiǎn)單〔或者甚至是原始的〕數(shù)據(jù)的訪問權(quán)。這篇Solutionary公司的白皮書向讀者們提供對(duì)情報(bào)的根本介紹，進(jìn)一步，會(huì)介紹一下威脅情報(bào)。這篇文章的關(guān)鍵論點(diǎn)如下：用傳統(tǒng)情報(bào)社區(qū)〔的觀點(diǎn)〕來羅列工業(yè)上關(guān)于情報(bào)的定義，以便在向前時(shí)有一種統(tǒng)一的理解。明確定義什么是威脅情報(bào)，它的核心準(zhǔn)那么，網(wǎng)絡(luò)情報(bào)當(dāng)前的演變和它的衍生物：網(wǎng)絡(luò)威脅情報(bào)。對(duì)將原始數(shù)據(jù)轉(zhuǎn)換為情報(bào)必須的情報(bào)處理過程的步驟文檔化。為那些正在考慮商業(yè)威脅情報(bào)效勞的讀者提供一個(gè)精準(zhǔn)的依據(jù)和理解。討論威脅情報(bào)效勞增長(zhǎng)背后的影響。什么是威脅情報(bào)？中央情報(bào)局〔CIA〕關(guān)于情報(bào)的定義1〔對(duì)威脅情報(bào)的關(guān)鍵論點(diǎn)作了下劃線〕：用最簡(jiǎn)術(shù)語表示，情報(bào)是我們所處世界中的知識(shí)和預(yù)判。美國(guó)政策制定者決策和行動(dòng)的先導(dǎo)。情報(bào)機(jī)構(gòu)將這種信息以某種方式提供給消費(fèi)者、國(guó)民領(lǐng)導(dǎo)或軍隊(duì)指揮官，〔以便讓他們〕去思考可替換的選項(xiàng)和結(jié)果。情報(bào)處理過程涉及漫長(zhǎng)細(xì)心和通常是枯燥耗時(shí)的對(duì)事實(shí)的搜集、對(duì)它們的分析、快速和清晰的評(píng)估、仔細(xì)判斷后形成產(chǎn)品，并且不時(shí)遞知給消費(fèi)者。綜上，這個(gè)分析過程必須是完整而冗長(zhǎng)的，經(jīng)常性的和與政治需求及企業(yè)相關(guān)的。商業(yè)威脅情報(bào)的目標(biāo)是去傳遞與中央情報(bào)機(jī)構(gòu)提供的具有相似能力的事物。然而，取代了向政府官員提供軍事和政治情報(bào)，當(dāng)前關(guān)注范圍在信息平安工業(yè)內(nèi)，主要是向組織機(jī)構(gòu)相關(guān)人員提供關(guān)于他們企業(yè)系統(tǒng)的數(shù)字威脅的威脅情報(bào)。這種威脅情報(bào)，和與之相關(guān)的價(jià)值，經(jīng)常與特定情報(bào)目標(biāo)的實(shí)現(xiàn)〔也被稱為優(yōu)先情報(bào)要求〔PIR〕〕關(guān)聯(lián)起來。PIR可被視為是收集信息以滿足情報(bào)要求的特殊使用案例。有時(shí)候“威脅情報(bào)〞這一術(shù)語經(jīng)常被定義為數(shù)據(jù)或與潛在的網(wǎng)絡(luò)平安相關(guān)的數(shù)據(jù)饋送這樣的錯(cuò)誤名詞。這個(gè)定義極大地簡(jiǎn)化了應(yīng)當(dāng)被收集為情報(bào)供給內(nèi)一局部的的情報(bào)類型，和將原始數(shù)據(jù)轉(zhuǎn)換為顧客可用來行動(dòng)的情報(bào)的〔被要求的〕過程。網(wǎng)絡(luò)威脅情報(bào)要處理的遠(yuǎn)不止如此。它的目的是成為一個(gè)跨學(xué)科的和整體的，可以提供一個(gè)人可理解的和真實(shí)的情報(bào)產(chǎn)品的，可以在多層面上給股東們提供價(jià)值的解決方案。它從一個(gè)組織周邊的物理〔PESTLE，STEEPLED〕2和數(shù)字環(huán)境中同時(shí)收集數(shù)據(jù)，而且要顧及更廣泛的攻擊面?！参覀儭晨梢赃@樣闡述觀點(diǎn)：在情報(bào)圈內(nèi)有一個(gè)很小但正在開展為聯(lián)盟的，限制伙伴關(guān)系和在物理與網(wǎng)絡(luò)世界威脅里面廣泛聯(lián)系、關(guān)聯(lián)的角色。許多跨國(guó)犯罪組織無一例外地擅長(zhǎng)于用來尋找新的犯罪企業(yè)的環(huán)境掃描。網(wǎng)絡(luò)威脅情報(bào)是用來應(yīng)對(duì)這些因素的唯一準(zhǔn)備。核心情報(bào)原那么情報(bào)是一種諜報(bào)。它結(jié)合了可以被用來橫跨整個(gè)產(chǎn)業(yè)的方法論和技術(shù)。它的收集包括五個(gè)核心原那么和它們的附屬原那么。傳統(tǒng)情報(bào)社區(qū)區(qū)分情報(bào)的原那么基于他們的方案目的和收集來源。對(duì)五個(gè)情報(bào)原那么的描述如下。人力情報(bào)〔HUMINT〕-HUMINT是從一個(gè)線人那里收集信息。這種來源也許擁有第一手或者第二手的資料，且通常通過看、聽和活動(dòng)來獲得。它可以包括威脅、中立或友好的〔政府〕文職人員。開源威脅情報(bào)〔OSINT〕-OSINT探索、利用和提高可公開獲得的公眾信息。由于海量的可利用信息，數(shù)據(jù)挖掘和高級(jí)搜索技術(shù)顯得尤為重要。這種情報(bào)包括電視、雷達(dá)播送、書籍、報(bào)紙和網(wǎng)絡(luò)這些來源。信號(hào)情報(bào)〔SIGINT〕-SIGINT被定義為對(duì)交通系統(tǒng)、雷達(dá)和武器系統(tǒng)的信號(hào)轉(zhuǎn)換的收集和利用。SIGINT的結(jié)果來自收集、鎖定、處理、分析和報(bào)告被攔截的通訊和沒有通訊功能的發(fā)射器。SIGINT被歸為電子情報(bào)〔ELINT〕和通訊情報(bào)〔COMINT〕的子類。圖像情報(bào)〔IMINT〕-IMINT是被大量陸地、航空或衛(wèi)星探測(cè)器收集的地理空間信息。測(cè)量和特征情報(bào)〔MASINT〕-MASINT是情報(bào)的一個(gè)技術(shù)分支，使用通過諸如雷達(dá)、聲吶、無源電光傳感器、地震儀和其他用來測(cè)量物體或事件以通過它們的特征來區(qū)分它們的傳感器所收集的信息。這包括去離散標(biāo)記一個(gè)人、一個(gè)地方或有特殊特征的事物的能力。圖1可區(qū)分的網(wǎng)絡(luò)情報(bào)網(wǎng)絡(luò)情報(bào)〔CYINT〕-不是核心情報(bào)原那么里的一種，但是一個(gè)相對(duì)新穎且在不斷開展的領(lǐng)域，它是一個(gè)混合體，而且可以包含任何組合或所有上述五個(gè)原那么。盡管它可以被用來作為網(wǎng)絡(luò)平安的關(guān)鍵組件，網(wǎng)絡(luò)情報(bào)操作卻與網(wǎng)絡(luò)平安任務(wù)獨(dú)立，而且可以支持涵蓋政府和工業(yè)的各個(gè)方面的大量操作。對(duì)組織機(jī)構(gòu)來說，意識(shí)到情報(bào)領(lǐng)域的這個(gè)迅速出現(xiàn)的〔事物〕的更廣泛能力和怎樣在未定義網(wǎng)絡(luò)威脅角色、關(guān)于漏洞的技術(shù)數(shù)據(jù)、惡意代碼或知識(shí)產(chǎn)權(quán)信譽(yù)數(shù)據(jù)之前使用它，是關(guān)鍵的。網(wǎng)絡(luò)情報(bào)走在這些狹小的因素之前，而且包含與一個(gè)組織機(jī)構(gòu)的物理環(huán)境相關(guān)的行動(dòng)或事件的分析，它可以做到對(duì)數(shù)字威脅的預(yù)測(cè)。情報(bào)圈情報(bào)圈包含以下幾個(gè)短語，如下面圖2所示：方案、要求和方向–情報(bào)收集的方案和方向包括對(duì)整個(gè)情報(bào)工作的管理——從優(yōu)先情報(bào)要求〔消費(fèi)者3領(lǐng)導(dǎo)和進(jìn)一步需求的定義〕到最終情報(bào)產(chǎn)品4。收集–根據(jù)建立好的方向，威脅情報(bào)效勞從相關(guān)來源里面收集潛在有用的原始數(shù)據(jù)。處理–將收集到的數(shù)據(jù)加強(qiáng)為適用于更詳細(xì)分析的標(biāo)準(zhǔn)格式。分析和產(chǎn)品–收集到的數(shù)據(jù)被領(lǐng)域?qū)＜曳治鲆员孀R(shí)出對(duì)消費(fèi)者環(huán)境的潛在威脅。用來對(duì)被辨識(shí)出的威脅產(chǎn)生響應(yīng)的對(duì)策也在這個(gè)階段被開發(fā)。傳播–情報(bào)分析結(jié)果被提交給客戶，以便適宜的保護(hù)性措施可以被執(zhí)行。圖2情報(bào)漏斗情報(bào)天生不是作為一個(gè)完整產(chǎn)品被發(fā)現(xiàn)的，而是來源一個(gè)結(jié)構(gòu)的派生——對(duì)包含有助于到達(dá)特定優(yōu)先情報(bào)需求的噪音或數(shù)據(jù)的完整仔細(xì)的辨識(shí)過程。它最終被分析和評(píng)估。如果它滿足要求，將會(huì)被轉(zhuǎn)換成傳遞給情報(bào)買家的情報(bào)產(chǎn)品。噪音是根據(jù)優(yōu)先情報(bào)需求收集的一系列事物。數(shù)據(jù)是噪音經(jīng)過過濾和沒有應(yīng)用價(jià)值的條目被去除后的遺留。信息是有特定用途的數(shù)據(jù)。一旦它被分配給一個(gè)用途，它就有了價(jià)值。情報(bào)是帶有戰(zhàn)略性目的的信息，可以被用來獲取優(yōu)勢(shì)。情報(bào)是一項(xiàng)僅以人類為中心的活動(dòng)?？尚袆?dòng)的情報(bào)是情報(bào)主導(dǎo)的，基于對(duì)可被初始化、用以行動(dòng)和提供清晰的結(jié)果的證據(jù)的評(píng)定，它被用來提供對(duì)優(yōu)先情報(bào)需求的支持。圖3從信息中辨識(shí)情報(bào)許多平安威脅情報(bào)廠商實(shí)際上停留在情報(bào)漏斗處理過程的“數(shù)據(jù)〞和“信息〞階段，但仍然將傳遞的信息叫做威脅情報(bào)。信息和情報(bào)有著定義上的不同。信息：一個(gè)對(duì)Java零日漏洞的利用被公開在一個(gè)平安郵件列表中。馬上，有惡意軟件被發(fā)現(xiàn)使用了該漏洞。平安廠商將這個(gè)威脅通知客戶并且給出減緩?fù){的建議。這叫做威脅信息〔這像是非常有用的信息〕，但是在定義上，這不是威脅情報(bào)。情報(bào)：一家監(jiān)控著Java漏洞的平安廠商注意到該漏洞在亞太地區(qū)的感染率遠(yuǎn)高于美國(guó)。會(huì)在用戶計(jì)算機(jī)設(shè)備上安裝代碼和僵尸網(wǎng)絡(luò)命令和與控制系統(tǒng)關(guān)聯(lián)的新變種惡意代碼正在被觀察到。與此同時(shí)，一家大型的金融機(jī)構(gòu)宣布假設(shè)干小型的、區(qū)域性的銀行猛漲股票價(jià)格，與此同時(shí)，發(fā)起了對(duì)他們的空頭支票費(fèi)用從20美元到35美元的猛漲，因此激怒了消費(fèi)者。假設(shè)干黑客團(tuán)體開始在推特和其他社交網(wǎng)站上討論對(duì)美國(guó)銀行系統(tǒng)的抗議活動(dòng)，希望使主要交易機(jī)構(gòu)的網(wǎng)上交易宕機(jī)一天。一個(gè)黑客活動(dòng)的推特賬號(hào)上發(fā)布了使用僵尸網(wǎng)絡(luò)命令和控制軟件的指令，這些正好與通過Java漏洞安裝在客戶機(jī)的僵尸網(wǎng)絡(luò)惡意代碼相關(guān)。將這些數(shù)據(jù)點(diǎn)連接起來可以得到一幅清晰的圖片：美國(guó)的銀行極有可能被黑客團(tuán)體作為利用基于Java漏洞的僵尸網(wǎng)絡(luò)進(jìn)行DDoS〔分布式拒絕效勞〕攻擊的目標(biāo)?；谝呀?jīng)知道的感染特征，銀行可以預(yù)測(cè)出用來進(jìn)行攻擊的那些來自亞洲的IP地址。這才是威脅情報(bào)——信息被從分散的來源收集起來，通過人為分析合成，去辨識(shí)出針對(duì)某一特定目標(biāo)的特定威脅。威脅情報(bào)收集定向攻擊、零日漏洞和惡意軟件的利用工具是許多組織機(jī)構(gòu)的擔(dān)憂之處。然而，大多數(shù)組織機(jī)構(gòu)并沒有獨(dú)立研究和評(píng)估威脅必須要具備的資源和知識(shí)技能，更不用說去決定這些威脅與他們的組織機(jī)構(gòu)有多大的相關(guān)性。威脅情報(bào)效勞經(jīng)常被當(dāng)做一種外包能力的形式來使用，用來提供那些別的地方無法提供的，對(duì)高級(jí)平安議題的知識(shí)技能和資源的訪問權(quán)。有資歷的威脅情報(bào)人員經(jīng)受過廣泛的訓(xùn)練，擁有特殊定制的工具，并且理解現(xiàn)代攻擊者的思維方式和方法。他們也擅長(zhǎng)從相關(guān)收集到的資源里面進(jìn)行數(shù)據(jù)挖掘，如下列圖4所示：圖45情報(bào)事件中可區(qū)分的特征跡象性事件和事件性事件——在情報(bào)詞庫里，“事件〞是指分析員用來預(yù)測(cè)一個(gè)威脅增加或者減少的原始數(shù)據(jù)。這些事件被用來界定那些已經(jīng)發(fā)生或者將要發(fā)生的威脅環(huán)境的改變的關(guān)鍵跡象。圖5這些就是能被用來確認(rèn)一個(gè)威脅正在增長(zhǎng)的風(fēng)險(xiǎn)，或唯一標(biāo)志一次襲擊的特定碎片化數(shù)據(jù)。跡象性事件和事件性事件本身都可以是技術(shù)性〔數(shù)字的〕或非技術(shù)性的〔物理的〕，而且可以被用來辨識(shí)圍繞一個(gè)潛在的或已表現(xiàn)出來的威脅或攻擊的環(huán)境因素。這些包括：物理的–集體訴訟、立法或者影響立法的行為嘗試、許可證的撤消、政治捐贈(zèng)、被關(guān)鍵人物公開或者私下做出的個(gè)人社交媒體上的有爭(zhēng)論的陳述、買入大量關(guān)鍵的真實(shí)的房地產(chǎn)、不受歡送的政策變化、裁員、〔企業(yè)的〕合并或收購(gòu)、環(huán)境破壞、總部遷移、在特定人口或經(jīng)濟(jì)中心的商店的開張或關(guān)閉，等等。數(shù)字的–大量失敗的密碼登陸嘗試、緩沖區(qū)溢出、端口掃描、網(wǎng)絡(luò)釣魚活動(dòng)、SQL查詢注入、統(tǒng)一資源定位符〔URLs〕、文件名稱、文件擴(kuò)展、文件哈希值、效勞或者可執(zhí)行文件、命令序列、HTTP請(qǐng)求、注冊(cè)表設(shè)定、使用的協(xié)議和端口，等等。威脅情報(bào)提供的信息威脅情報(bào)處理的最終結(jié)果是去答復(fù)股東的下面幾個(gè)問題：威脅–當(dāng)前的哪些威脅是組織機(jī)構(gòu)必須要知道的？組織機(jī)構(gòu)所面對(duì)的網(wǎng)絡(luò)威脅被歸入為一個(gè)獨(dú)特的分類，因?yàn)樗鼈儽旧砭蛶в胁灰桌斫庑院筒粚?duì)稱性。不易理解性指的是數(shù)字環(huán)境的不規(guī)律和不易追蹤的特征，不對(duì)稱性是指在一個(gè)位置范圍的可執(zhí)行策略下威脅房和目標(biāo)方在實(shí)力上的巨大不平衡。威脅方–特定威脅下的〔團(tuán)體/個(gè)人〕〔是誰/是什么/在哪里〕？他們的能力、動(dòng)機(jī)、目標(biāo)、運(yùn)作的范圍、活動(dòng)的歷史有哪些？目標(biāo)方–誰被威脅視為目標(biāo)？這些威脅是基于地理的、政治的還是行業(yè)的？方法和策略–攻擊者們所采用的策略性方式是什么？威脅被設(shè)計(jì)用來做什么？它關(guān)注的是什么？他們使用的是什么工具和設(shè)施？哪些技術(shù)、版本和用戶類型被作為目標(biāo)？攻擊怎樣被傳遞到目標(biāo)？對(duì)策–組織機(jī)構(gòu)可以采取怎樣的行動(dòng)去應(yīng)對(duì)特定威脅？威脅措施可以包括：入侵檢測(cè)系統(tǒng)特征、反病毒系統(tǒng)特征、需要阻塞的端口/協(xié)議或者其他可被用來幫助保護(hù)組織機(jī)構(gòu)被特定威脅攻擊的反響行動(dòng)。威脅情報(bào)在信息平安中的重要性有四個(gè)原那么性的原因說明威脅情報(bào)正在變成一個(gè)關(guān)鍵的信息平安要求：組織機(jī)構(gòu)必須抵御的平安威脅類型的根本性變化，和理解攻擊外表包括的遠(yuǎn)不止一個(gè)已被定義的技術(shù)參數(shù)。別處無法提供給組織機(jī)構(gòu)的對(duì)資源的訪問和利用能力，和知識(shí)技能。組織機(jī)構(gòu)必須響應(yīng)的數(shù)量巨大的平安漏洞和攻擊向量。組織機(jī)構(gòu)必須保護(hù)的持續(xù)擴(kuò)張的技術(shù)范圍和環(huán)境。網(wǎng)絡(luò)威脅輪廓的改變風(fēng)險(xiǎn)和威脅的輪廓在這幾年發(fā)生了突然的變化。網(wǎng)絡(luò)威脅從業(yè)者不再局限于那些有癖好的或反政府的個(gè)人或團(tuán)體。他們現(xiàn)在包括代表國(guó)家立場(chǎng)的角色和受贊助的團(tuán)體，和有具備相當(dāng)多資源、支持和知識(shí)技能的傳統(tǒng)有組織的網(wǎng)絡(luò)犯罪團(tuán)體。這些攻擊者經(jīng)常一起工作和分享或出售能攻下目標(biāo)的工具。這些攻擊者也具備時(shí)間和資源去搜索組織機(jī)構(gòu)環(huán)境中的漏洞。相反地，，那些需要防御任務(wù)的組織機(jī)構(gòu)經(jīng)常只有有限的資源和預(yù)算去準(zhǔn)備一個(gè)充足的防御體系，威脅的不平等本質(zhì)就這樣形成了。下列圖6中，文檔化數(shù)據(jù)喪失事件的逐漸增長(zhǎng)為當(dāng)前正在成功增加的攻擊提供了證據(jù)。圖6由于這個(gè)原因，許多組織機(jī)構(gòu)正在轉(zhuǎn)向威脅情報(bào)效勞以幫助辨識(shí)正在將他們的環(huán)境視為目標(biāo)的威脅者，和定義能幫助用來抵抗這些攻擊的適宜的反響措施和機(jī)制。信息平安漏洞的數(shù)量平安人員分析的海量數(shù)據(jù)是非常巨大的。組織機(jī)構(gòu)必須對(duì)每天遇到的大量缺陷、零日漏洞威脅、惡意代碼、利用工具、僵尸網(wǎng)絡(luò)、高級(jí)可持續(xù)性威脅〔APT〕和定向攻擊做出反響。最近十五年每年被標(biāo)注的通用漏洞披露〔CVEs〕數(shù)量如下列圖所示——從2005年起，每年有超過4000個(gè)新的平安漏洞被標(biāo)注。圖7惡意代碼的辨識(shí)率近幾年也在增長(zhǎng)，如下列圖8所示。它同時(shí)也表現(xiàn)了從2023年開始被辨識(shí)出的惡意代碼的數(shù)量的戲劇性增長(zhǎng)。圖8對(duì)大多數(shù)組織機(jī)構(gòu)來說，有效預(yù)防所有可見漏洞和惡意軟件變種是不可能的。然而威脅情報(bào)可以幫助組織機(jī)構(gòu)理解未知環(huán)境下的漏洞利用和惡意代碼活動(dòng)、理解將漏洞利用于一個(gè)特定區(qū)域，或被威脅者團(tuán)體用來針對(duì)特定工業(yè)部門。針對(duì)特定組織機(jī)構(gòu)環(huán)境的情報(bào)可以幫助規(guī)劃調(diào)整行動(dòng)的優(yōu)先級(jí)，所以用來減輕危害的努力和資源可以被直接用在最需要和最具有防御價(jià)值的地方。技術(shù)成長(zhǎng)和使用改變威脅情報(bào)效勞的另一個(gè)驅(qū)動(dòng)因素是現(xiàn)代計(jì)算環(huán)境中技術(shù)使用的演化和擴(kuò)張。大多數(shù)組織機(jī)構(gòu)里面的技術(shù)，即使與兩三年前相比，都有了戲劇性的改變。BYOD譯者注1方式，利用VPN參加網(wǎng)絡(luò)來訪問個(gè)人設(shè)備的遠(yuǎn)程工作者、無處不在的無線網(wǎng)絡(luò)、對(duì)虛擬化和云計(jì)算使用的增加，都戲劇性地增加了典型組織機(jī)構(gòu)中的技術(shù)使用。新的技術(shù)并不是簡(jiǎn)單地替換原有的技術(shù)——它們經(jīng)常是一種添加，形成對(duì)組織機(jī)構(gòu)的攻擊外表和里面漏洞的分析結(jié)果的網(wǎng)狀添加。有了技術(shù)上的這些改變——對(duì)BYOD的使用、遠(yuǎn)程用戶、虛擬化、云計(jì)算——已被辨識(shí)的的周邊具有相同本質(zhì)的有組織的網(wǎng)絡(luò)將不復(fù)存在。一個(gè)具有不同本質(zhì)的、分布式用戶的、技術(shù)性的根底變成了新的標(biāo)準(zhǔn)。這個(gè)新的現(xiàn)實(shí)伴隨著更復(fù)雜和和潛在的風(fēng)險(xiǎn)。威脅情報(bào)可以幫助組織機(jī)構(gòu)理解這個(gè)新架構(gòu)現(xiàn)實(shí)下的新興威脅。不同的組織機(jī)構(gòu)都從威脅情報(bào)中期望得到什么？每一個(gè)組織機(jī)構(gòu)都有不行的信息平安優(yōu)先權(quán)、要保護(hù)的財(cái)產(chǎn)、不同級(jí)別的專業(yè)技能和許多類型的平安技術(shù)。所以，不同的組織機(jī)構(gòu)可以有不同的理解、需求和對(duì)威脅情報(bào)效勞的期待。影響組織機(jī)構(gòu)的威脅情報(bào)需求的因素包括：組織機(jī)構(gòu)大小。組織機(jī)構(gòu)與政府、效勞商和其他垂直市場(chǎng)的合作。組織機(jī)構(gòu)的依賴團(tuán)體，包括供給鏈、商業(yè)伙伴、第三方供給商，云供給商等。組織機(jī)構(gòu)信息平安資源的數(shù)量、精細(xì)化和能力。組織機(jī)構(gòu)的危險(xiǎn)態(tài)勢(shì)，和被視作目標(biāo)的趨勢(shì)：針對(duì)政治的、經(jīng)濟(jì)的或知識(shí)產(chǎn)權(quán)的國(guó)家級(jí)的角色/高級(jí)可持續(xù)性威脅〔APT〕。出于金融目的的跨組織犯罪。黑客行為/關(guān)注點(diǎn)的尋找者，這些人一般想著怎樣去讓組織機(jī)構(gòu)難堪。那些有限暴露給公眾的，并且不存儲(chǔ)和轉(zhuǎn)發(fā)被攻擊者設(shè)計(jì)的數(shù)據(jù)類型的組織機(jī)構(gòu)，與那些在公共領(lǐng)域高度可見的，擁有高度需求性數(shù)據(jù)或與爭(zhēng)論性話題相關(guān)的組織機(jī)構(gòu)具有不同的威脅情報(bào)需求。低調(diào)的組織會(huì)對(duì)使用威脅情報(bào)去幫助答復(fù)下述感興趣的問題：可能為數(shù)字威脅充當(dāng)催化劑的，圍繞組織機(jī)構(gòu)的物理環(huán)境下正在發(fā)生的關(guān)鍵開展是什么？如果知識(shí)產(chǎn)權(quán)或者機(jī)密信息被公開暴露，組織機(jī)構(gòu)是否有行動(dòng)方案？會(huì)有什么后果？組織機(jī)構(gòu)是如何處理的？組織機(jī)構(gòu)最大的恐懼是什么？組織機(jī)構(gòu)或管理層最不想讀到或在電視上看到的一件事是什么？組織機(jī)構(gòu)是否有步驟去防止此類的事件發(fā)生？是否有競(jìng)爭(zhēng)對(duì)手巧合〔或成心〕地帶著新產(chǎn)品或新理念與組織機(jī)構(gòu)同時(shí)進(jìn)入市場(chǎng)？是否有跡象說明他們使用了一些本組織機(jī)構(gòu)的知識(shí)產(chǎn)權(quán)？未知世界里是否有漏洞和惡意代碼正在被活潑地利用？哪一種是適用于組織機(jī)構(gòu)的環(huán)境的？什么樣的預(yù)防措施應(yīng)當(dāng)被用來保護(hù)〔組織機(jī)構(gòu)〕去對(duì)抗這些威脅？是否有任何關(guān)于組織機(jī)構(gòu)或是它的用戶的潛在的敏感數(shù)據(jù)被放到網(wǎng)上？這包括收購(gòu)或合并信息、目標(biāo)市場(chǎng)、目標(biāo)客戶、提案、合同或其他商業(yè)戰(zhàn)略。是否有關(guān)于組織機(jī)構(gòu)的消極評(píng)論被發(fā)到網(wǎng)上？如果是這樣，這些評(píng)論的根據(jù)是什么？是否有任何組織機(jī)構(gòu)的技術(shù)知識(shí)產(chǎn)權(quán)被發(fā)布到網(wǎng)上，或者與特定的競(jìng)爭(zhēng)機(jī)構(gòu)有關(guān)聯(lián)？這包括組織機(jī)構(gòu)的特殊知識(shí)產(chǎn)權(quán)，例如源代碼、產(chǎn)品設(shè)計(jì)、工程文檔、藍(lán)皮書和與技術(shù)相關(guān)的特殊信息。作為比照，一個(gè)涉及高度政治化產(chǎn)業(yè)的國(guó)際化組織會(huì)需要與下述主題相關(guān)的威脅情報(bào)：組織機(jī)構(gòu)是否已被其他活潑團(tuán)體和攻擊者作為目標(biāo)？誰在將組織機(jī)構(gòu)作為目標(biāo)？為什么？這些團(tuán)體的復(fù)雜程度怎么樣？是否有任何競(jìng)爭(zhēng)者或工業(yè)伙伴團(tuán)體〔最近〕被作為目標(biāo)？誰在指揮這些攻擊？什么樣的技術(shù)在攻擊中被使用？哪些又未被攻擊廠商使用？這些被視為目標(biāo)的組織是否有過成功地化解這些攻擊〔的經(jīng)歷〕？如果有過，是怎樣做的？是否有任何潛在的威脅情報(bào)與即將到來的經(jīng)濟(jì)或工業(yè)會(huì)議或組織即將參加的事件有關(guān)聯(lián)？如果如此，提供一份與這個(gè)事件有關(guān)的潛在網(wǎng)絡(luò)威脅的概覽，和應(yīng)當(dāng)被采取的預(yù)防措施。組織機(jī)構(gòu)是否有保密協(xié)議〔NDAs〕或平安保障用來預(yù)防商業(yè)間諜。在與組織有業(yè)務(wù)往來的所有合同方或第三方機(jī)構(gòu)之間，是否有一個(gè)一致同意的平安策略。結(jié)論術(shù)語“情報(bào)〞、“網(wǎng)絡(luò)情報(bào)〞、“網(wǎng)絡(luò)威脅情報(bào)〞已經(jīng)被廣泛使用和互換，而且經(jīng)常不正確地在信息平安社區(qū)里被使用。它們被相當(dāng)不正確地用來描述自動(dòng)化入侵?jǐn)?shù)據(jù)饋送效勞，或可以被用來進(jìn)一步使用以辨識(shí)和緩解威脅的數(shù)據(jù)。然而，每個(gè)術(shù)語的特定本質(zhì)建立在〔真正〕理解到底什么是情報(bào)和它是怎樣獲取的根底之上。將平安行業(yè)術(shù)語與傳統(tǒng)情報(bào)社區(qū)對(duì)齊以做統(tǒng)一化的理解是重要的。網(wǎng)絡(luò)空間是一個(gè)新的西大荒〔WildWest〕。與之相關(guān)的技術(shù)增長(zhǎng)速率遠(yuǎn)快于與政府或平安相關(guān)的技術(shù)增長(zhǎng)率，而如果這些問題得不到完全和徹底的解決，這個(gè)間隙只會(huì)越來越寬。包括網(wǎng)絡(luò)情報(bào)的廣闊范圍，被嚴(yán)格限制在攻擊者和目標(biāo)方之間的技術(shù)能力內(nèi)。這忽略了它更大的能力——去給出對(duì)組織機(jī)構(gòu)環(huán)境和實(shí)體域外在表現(xiàn)的另外關(guān)鍵方面的360度全方位透視。當(dāng)情報(bào)被理解和合理使用后，可以產(chǎn)生巨大的價(jià)值。通過辨識(shí)正在出現(xiàn)的和已被視為目標(biāo)的威脅，它可以變成一個(gè)強(qiáng)有力的預(yù)測(cè)和分析工具，并可以引導(dǎo)一個(gè)組織機(jī)構(gòu)的方式，在戰(zhàn)略、可操作和策略性的層面應(yīng)對(duì)真實(shí)威脅。可用來行動(dòng)的威脅情報(bào)是一個(gè)在考慮