我们已经看过许多威胁情报的演讲和文章，也向很多专业人员咨询过威胁情报怎样利用的问题。其中抱怨最多的就是：现在所谓的威胁情报根本就是聚焦点很窄的平面(flat)数据。有时候，这些数据会派上用场，但多数时候，根本没用。

 

原始数据，比如签名和IP地址列表，只要没经过验证或者缺乏上下文，就不能称之为情报。多数专家认为，还是需要一个清楚业务需求的人来分析这些平面数据并作出判断。

　　举个例子：

一份关于勒索软件CryptoLocker及其相关IP地址的数据反馈，并不能解释清楚如何减轻风险，也帮不了公司决策该如何反应。换句话说，这么一份反馈，或者说情报，不具备可行性。不幸的是，一些厂商出售的，还就是这样的东西——未经处理的粗陋数据反馈。

一位安全从业人员对此案例评价道：“你最多能用这东西封锁一些命令和控制服务器，查看一下数据流向，检查公司里有没有人的机器被感染了——通常都只是事后补救了，不过至少你可以给点反应。这还是在假设你拥有安全信息和事件管理(SIEM)系统，或者有专门的团队处理事件响应和调查的情况下。”

选购威胁情报解决方案的最终目标，就是获得可行性情报支持。而只有经过评估和验证的情报，才具备可行性；否则，就仅仅只是原始信息而已。

基本上，公司和机构都希望知道：

　　谁在攻击？为什么要攻击？怎样攻击的？

　　我们的竞争对手也被攻击了吗？

　　商业合作伙伴有没有被攻击？或者，是针对整个行业的攻击有所上升？

　　攻击能力和攻击方式是什么？

　　攻击者的常用工具和攻击策略是什么？

可想而知，总有数据反馈能够提供回答所有这些问题的零零散散的信息。但，再次强调，这没什么卵用!缺少了上下文，这些信息你用不起来。

对公司而言，威胁情报的长期价值，在于驱动改变的能力。

(责任编辑：安博涛)