我们都知道在威胁情报中蕴含着巨大价值，其中的各种因素都创造着价值。

最近的SANS 2018网络威胁情报调查表明，81%的网络安全专家都认为威胁情报可为其带来价值，并且帮助他们更好地完成工作。虽然手握大量与威胁相关的数据，又订阅了许多与全球威胁相关的信息资源，安全防御层级反馈了许多内部威胁和事件，而且SIEM还提供了大量威胁情报。但是，我们有没有充分利用了这些情报的价值？有没有利用它们加强防御，提高检测和响应速度呢？

答案是否定的，并非所有的威胁情报都一样。对你的组织有价值的威胁情报，或许对其他人有价值。如何从威胁情报中获取对你最有利的价值呢？看的就是相关性，而这种相关性是由你所在的行业和地域，你身处的环境以及你的技能所决定的。

行业/地域 

威胁数据聚焦与你所在的行业和地域相关的攻击和漏洞，于你而言，它比包含其他行业或地域的普通数据更具相关性。外部威胁反馈，如来自国家/政府“计算机紧急响应小组（CERT）”以及业内组织“信息共享与分享中心（ISAC）”的信息反馈更为有用。利用这些信息资源来丰富你的掌握的数据，有助于减少无效信息的干扰，可以让你专注于发生在自己部门的威胁。

环境

却决于你所在的环境或基础设施，一些指标相对更有相关性。例如，如果你工作环境属于高度分布式，且端点保护是关键，那么散列值(hash)就非常重要，因为它们可以让你检测出设备上的恶意文件。在你的网络中，域名和IP地址是更具相关性的指标，可以让你追踪可疑的数据传输。为了从你的威胁数据中挖掘最大价值，你需要一些工具把各项指标集中到中央数据库，然后再根据运行环境（context）对其进行扩充和丰富，这样你就可以确定优先顺序，然后集中注意力处理最重要的问题。

技能

训练有素的网络安全人员的数量也是推动相关性的一个因素。规模较大的组织拥有更多人力，因此具备细分资源找出威胁数据的能力（例如，下游IP地址，域名注册者等。）然而，没有这类广泛资源的组织就必须加大挑选力度，只调查那些活跃的，针对其行业或与已知对手相关的威胁数据。这是自动化和安全托管服务供应商可帮助你扩大现有员工和专家数量。自动化可帮助你把大量与威胁相关的数据端点集中到中央数据库，然后将其转换成通用格式。还可以通过关联内外部数据覆盖运行环境(overlay context)。你可以运用自动化过滤干扰信息，例如用参数设定自动优先的数据。安全托管服务供应商会给出选项菜单——服务形式多样，包括以团队形式服务，对威胁情报项目的某个方面进行托管，提供高价值且定制的服务，如威胁猎捕或应急响应。

本文翻译自SecurityWeek

声明：本文来自士冗科技，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。