最近，企业战略集团（ESG）就成熟威胁情报计划的特征咨询了安全专业人员，受访者给出的答案中，高居榜首的是“通过供特定个人和团队查阅的定制报告进行信息传播”。然而，很多企业尚未具备成熟的威胁情报计划，仍需努力实现这一目标。在这个问题上，ESG高级分析师Jon Oltsik提到了二八定律，“80%的企业设置了基本的威胁情报计划，仅20%的企业具备相对成熟的威胁情报计划”。

　　与关键用户共享定制威胁情报不仅仅是企业威胁情报计划趋于成熟的标志，也是加深了解、展示价值和为计划争取更多支持的绝佳途径。如果想要开始与关键用户共享定制情报，或者改进这一共享过程，需要注意以下四个方面。

　　沟通形式不“唯一”。不同团队使用不同的语言，应用威胁情报的方式也各不相同，最好花点时间了解哪种类型的沟通最有效。对很多技术团队来说，实际告警文档和仪表板很好使，可以直接交付其完成特定工作所需的威胁情报。同时，对高管和董事会而言，其中一些人习惯定制仪表板，而另一些人可能更适应PDF文档。无论哪种方式，内容本身都很容易理解，且与业务主管相关。坚持围绕每月事件和警报数量生成的典型指标，其影响远远比不上简明扼要的情况更新，后者包含所挫败攻击的时间、位置、根源、攻击者等要素，或者指明了是否应该关注最近登上新闻头条的某起攻击。

　　各团队在接受威胁情报的频率方面也有各自不同的预期和需求。在安全方面，时间过去越久，可造成的损害就越大。此外，很多安全团队都注重积极主动，所以速度是关键。但是，共享的数据如果没有根据与公司的相关性进行审查和上下文化，那最终不过是在浪费宝贵的时间。威胁情报团队可以利用自动化通过上下文来增强和丰富数据，这样各个团队都能更快获得合适的数据，且可以很容易地确定其优先级，以便后续分析和响应。 

　　高管和董事会成员的要求不同。设立更为正式的定期沟通时间表是个不错的开始，至少每季度一次。不过，如果新漏洞或威胁见诸报端，CEO开始询问：“这是什么？”、“跟我们有关吗？”、“我们会受什么影响？”，或者“我们在做哪些防护？”，威胁情报团队也应该准备好回答这些临时问题。 

　　最后，向不同客户征求反馈很重要，这样才能确保他们在需要的时候以自己希望的方式获得自己所需。推进威胁情报计划应该是双向的。威胁情报团队需要了解所提供服务的使用情况，如果没人在用，那就需要了解原因并作出相应调整了。调整格式、进一步定制威胁情报、改变频率——尽一切努力确保威胁情报计划能够带来价值，被企业各安全团队和领导层视为重要工具。

　　2023年业已过半，对很多团队来说，是时候对照年初设定的目标回顾并衡量进展了。如果团队的目标之一是令威胁情报计划趋于成熟，那就诚实评估自己在与不同内部客户共享威胁情报方面做到何种程度。现在还有时间做出相对容易但影响巨大的调整，从而展示威胁情报计划能够提供的价值，并将之转化为预算季到来时可助力争取更多投资的可用资源。

— 【 THE END 】—