威胁情报失败的五大原因及克服方法

随着网络安全威胁变得越来越复杂，越来越普遍，传统安全预算已经不可能识别和抵御所有可能的攻击。这正是引入威胁情报的原因之所在。有效使用安全情报是一种公司汇集资源、克服内部技术或资源制约的方式。理论上，其允许公司集中保护源头安全，先于恶意行为一筹提前采取措施。

不过，它们只有能够作为行动性情报时才能发挥作用。对于许多公司来说，不幸的是，脱节了的安全措施和部门之间的相互孤立使得威胁情报难以在公司当中被有效使用。没有了将威胁情报转化成可行动性的手段，那么它们只是数据。当分析人员无法快速在公司决策支持工具中利用这些威胁情报，那么数据将无法让公司避免成为攻击目标。

目前挑战主要来自两个方面。技术孤岛和缺乏合作渠道。行动性情报对于不同的利益相关者意味着不同的东西，这一因素导致了技术孤岛和缺乏合作渠道。例如，网络分析师、运营经理、事件响应者、律师、审计师和商业风险经理都有着不同的视角。他们之间对于风险既没有通用语言，管理风险的方式也不相同。如今，公司打破孤岛和壁垒协调利益相关者以更好地利用威胁情报变得比以往更加重要。

　　目前威胁情报失败的五大常见因素：

1.利益相关者经常受到情报分发范围的限制。在许多情况下，这是可以理解的，因为公司需要保护敏感信息。但是事实情况是，在事件发生前，我们难以分辨哪些人需要知道某份重要情报。在这种情况下，威胁情报常常发挥不了作用。

2.在不同部门和利益相关群体当中常常缺乏一种共享情报的技术途径。在许多大公司当中，尤其是对于那些内部孤岛正在日益加深和扩散的大型公司来说，这是一个重大挑战。当公司快速分裂成无数个内部孤岛后，我们如何共享和利用这些竞争对手威胁情报呢?

3.公司在引人注目的商业案例当中可能没有注意到威胁情报共享因素。在缺乏强有力的组织者、外部管理责任或是引人注目的商业案例时，人们总是安于现状，这意味着整个公司无法快速采取行动。

4.利益相关者之间缺乏信任。这一点在全球化、云和“伙伴关系”这一新环境中尤为突出。加之变化速度和分布式团队等因素，创建一个能够连接不同部门的工作文化非常困难。

5.最后，还有一些由于网络安全技术不断成熟所产生的问题。技术的不断成熟为网络安全难题带来了新的复杂因素。

这些都是非常现实的挑战，我们现在应当采取一些措施打破这些孤岛，让威胁情报能够更为自由地在公司当中流动。

* 发现整合机会：根据公司的成熟程度和当前技术投资情况，首先是发现可实现技术紧密整合和威胁情报自动通报的机会。在利益相关者当中自动共享信息可确保公司的管理规章能够紧跟形势，消除人为和程序因素造成的延迟。

* 寻找自己的利益相关者：通过内部调查寻找拥有相关知识、数据和专业技能的利益相关者以促进威胁情报的共享。此外，还需要识别那些需要快速使用这些信息以确保关键资产安全的利益相关者。