新年新气象，有新策略要实现，新预算要平衡，新威胁要防止。过去1年中，更多公司对威胁情报的理解更加深入，逐渐转向开始从优良情报获益的计划和实现过程。
 

　　计划往公司安全和风险项目中添加威胁情报的第一步，真心应该紧紧围绕以下几个关键问题展开：

　　我们想要的情报目标是什么?

　　情报应服务的主要利益相关者是谁?

　　我们最想要保护的资产和信息是什么?

　　情报应该影响的决策和结果是什么?

　　结果该怎样衡量?

　　我们已经在收集内部情报了吗?

　　是外包情报运营，还是内部运营，或者来个混搭?

　　无论你的网络威胁情报计划和过程是什么，它都应该驱动更快更智能的决策来最小化风险暴露。如果没能对此目标有所帮助，那不如叫停项目，好好想想需要做哪些改变，来让情报更好地保护你的公司。

　　大公司有安全运营中心(SOC)，分析师们24小时三班倒工作。网络成熟度欠佳的小公司没有这些员工和工具，需要通过外包的形式来获得网络风险指导。使用威胁情报且有小型情报运维的公司，还想用混合/共同管理的方法来获得“力量倍增”。

　　无论是聘用了威胁情报分析师，与厂商合作，还是二者兼而有之，你都需要确保有合适的人(以及工具)来做这件事。复杂的地方在于，就像不是每一个威胁情报都相同一样，每一个威胁情报分析师也是不尽相同的。情报分析师可能具备不同领域的专业知识，比如，有些更偏技术，有些更关注风险，有些对特定工具更加熟练等等。在将视线投向寻求厂商合作或聘用内部网络威胁情报分析师之前，你得首先确定自己的最终目标，确保二者完美匹配。

　　在情报分析师身上，确实存在某些核心特质和能力，是招聘时可以用作考量的基准。

　　就整体角色而言，情报分析师应该具备从各种源规划和收集情报的能力，要能追踪威胁，识别和跟踪恶意资产和基础设施，还要能综合分析多种威胁及事件数据以产出具支持证据的最终情报。由于利益相关者会提出请求和问题，分析师自己也可能需要向不同人群展示或解释情报，所以良好的人际沟通技巧也是需具备的一个重要特质。对细节的关注同样重要，因为细节与分析及结论的宽度和广度相关。

　　分析师身上“需要”和“希望具备”的其他技术还包括：

　　需要

　　熟知情报分析或有强烈的学习欲望，包括谍报分析，以及表现出批判性思维技能;

　　熟悉当前黑客技术、对手方法学、漏洞分析、事件和数据泄露分析、网络防御技术;

　　处理敏感信息时表现出优秀的品格和判断力;

　　在最小监管下对情报目标进行独立研究的能力，既对细节绝对关注，又有理解事件整体视图的渴望;

　　设计、起草、发表高品质技术和商业级情报报告、研究、白皮书和博客的切实能力。

　　希望具备的技术

　　有主流操作系统技术工作经历和对数据库技术的理解;

　　坚实的网络专业知识和对路由协议的理解;

　　对安全监视方法学有所浸淫，比如抓包、流数据、模式、观察列表、黑名单、日志解析、关联、分类、事件产生、过滤。

　　正如前文提到的，情报分析师的类型很多，有些本质上更偏技术，另一些则更像是有分析和谍报背景。“完美”的分析师应该是什么样子，这个问题并没有一个标准的答案。根本原因在于：你先得弄清自己要解决的问题是什么，然后在此基础上招募人手。

　　新闻报道总在说安全预算又涨了多少多少，然而出于某些原因，情况似乎并没有什么改善。原因何在?因为我们没有把合适的资源用来标定最大的问题领域。情报工作的首要目标，应该专注在回答这个问题上。

(责任编辑：宋编辑)