威胁情报的应用让59%的企业及机构感到“鸭梨山大”？

现在的企业及组织机构都已经了解到威胁情报在其企业安全体系中的重要性，86%的组织都认同了这个观点。但实际情况却是，他们中的多数组织还挣扎在的处理“大量”数据和信息的第一线，因为相关的员工缺乏处理威胁情报的经验。

根据 Ponemon 机构近期的一次调查的情况来看，80%的北美机构将威胁情报纳入了其安全体系中，相比2016年已经迅速提升了15个百分点。其次，他们对于威胁情报的重视程度，也和去年同期相比有所增长。84%的接受调查者都仍为威胁情报应该是安全建设体系中必备的一环，比2016年增长了6%。

企业和机构是否完善利用了威胁情报？

然而，当调查进行到威胁情报的使用效果方面，接受调查的1000名IT信息技术安全从业人员中，只有41%的人认为自己所在企业和机构很好地利用了威胁情报。当然这个数字，相比于2016年同期的27%，还是有所提升的。但剩下的59%的还是认为企业并没有完善地利用好收集到的情报的价值。

从调查来看，未能好好利用情报的主要原因可能在于“威胁情报提供信息太多了”——69%的受访者认为，威胁情报数据太庞大也太复杂，不够智能，无法提供直接指导决策的内容。

Ponemon 研究所的董事长兼创始人 Larry Ponemon 则表示，

很显然现在的企业和机构都理解了威胁情报的优势，但同时过量的情报咨询涌来却成为了有效应用的障碍。威胁情报项目往往在结合企业实际情况进行实施的时候颇具挑战性，但只要正确应用，他们就会成为安全体系中的利器。在过去一年中威胁情报逐渐得到重视，这一态势是令人鼓舞的，这标志着威胁情报的价值已经得到了广泛的认可。

现阶段应用威胁情报时的难点

调查中还显示，受访者认为目前的威胁情报的缺点在于：

1. 很难与其他安全技术及工具融合一体（64%）

2. 威胁活动分析与安全事件之间缺乏一致性（52%）。

此外，71%的组织机构没有保存三个月以上的历史事件日志，这样其实在识别内部安全威胁依然会构成重大挑战。

除此之外，威胁情报在实际利用中未能发挥作用，可能还在于：工作人员缺乏相应的专业知识（71%），缺失对于所有权（52%），缺乏合适的技术应用（48%）。

威胁情报共享情况

对于威胁情报的共享情况现在依然还是受到很多限制。只有50%的受访者参与到行业为中心的共享系统中，如IT信息共享与分析中心（ISAC提供行业相关情报、同行写作及其他安全协作优势）。60%的企业和机构职能收到ISAC提供的信息，但并不能彼此分享。威胁情报分享受限于专业知识的缺乏（54%），其次是对于信息泄漏的担忧（45%）。

而为了应对上述的这些挑战，许多组织打算利用各种资源和技术，来帮助最大限度地发挥其威胁情报的有效性。 80％的受访者部署威胁情报平台来帮助实现自动化，而65％的受访者期望将SIEM与威胁情报平台整合。此外，54％的受访者表示，拥有合格的威胁分析师是提升威胁情报潜力的关键所在。

此份调查的赞助方 Anomali 的CEO Hugh Njemanze表示，

日益增长的企业安全威胁，每天安全专家都发现上千数量的新威胁。因此企业和组织机构还是需要及时获取最新威胁情报的咨询，及时在网络中对恶意行为进行监控，在真正造成损害之前监测发现并有所防御。这可能需安全体系能以威胁数据为优先，及时将数据转换成可供决策的建议。

*参考来源： Infosecurity Magazine，elaine编译，转载请注明FreeBuf.COM