Gartner发布评估威胁情报计划有效性指南：评估威胁情报有效性的四个步骤

许多组织都在努力实施 TI 并评估其价值。安全和风险管理领导者必须使用优先情报要求来评估其 TI 计划的有效性，并根据其组织战略完善该计划。

主要发现

尽管许多组织已将威胁情报 (TI) 纳入其安全计划，但他们很难评估其性能、成熟度以及在相关产品和服务中的总体投资。
安全和风险管理 (SRM) 领导者仍在被动地管理他们的计划，而不是制定可防御的增长计划，导致缺乏证实的报告。
由于 TI 缺乏监督和治理，许多组织无法建立健康的反馈循环，从而错过了调整和管理噪音源的机会。
由于缺乏 TI规范化，组织无法使收集到的信息具有可操作性，也无法评估与业务驱动优先级相关的计划成熟度。

建议

负责安全运营的 SRM 领导应：

开发 TI 目标运营模型，明确定义根据业务风险取得成功成果所需的角色、职责和工具。
建立作为成熟度成长标志的目标。这将向利益相关者表明计划正在按照预期进行。
衡量现有情报能力并确定需要改进的领域。管理不是一个配置选项，而是一个定制源和流程以满足业务需求的迭代过程。
定义并传达运营指标以说明所做投资的价值。TI 的价值在于其集体使用以及帮助组织最大限度地减少网络影响或快速恢复。

战略规划假设

2024 年未能充分评估和报告威胁情报绩效的安全运营 (SecOps) 中有 30% 将在 2025 年经历预算削减。

介绍

为了充分衡量其 TI 能力的成功和有用性，SRM 领导者必须规范其计划。通过这种结构，他们可以设定衡量增长的目标，向利益相关者传播消费品情报并捍卫预算。根据最近的一项调查，87% 评估其 TI 计划的受访者表示，他们预防、检测和响应网络威胁的能力得到了实质性改进。

评估 TI 计划的有效性不仅仅是衡量威胁信息的性能。它没有充分说明努力在解决业务风险方面的效果如何。为了证明有效性，需要其他人理解所承担任务的原因，并根据目标调整行动。为了让其他人了解TI 工作背后的原因，作为 SRM 领导者，必须将计划正式化，保证充分的理由并定义前进的逻辑路径。这项研究解释了如何通过四个步骤实现这一目标（见图 1）：

创建目标运营模型。
设立目标作为成长标志。
衡量 TI 操作的有效使用。
提供重要的输出。

图 1：评估 TI 有效性的步骤

分析

创建目标运营模型

虽然定义需求是此过程的关键，但这仅仅是开始。目标运营模型 (TOM) 记录了愿景和实现该愿景的策略。如今，大多数组织都没有关于 TI 计划的长期目标、战略或使命宣言，因此不可避免地缺乏真正的方向。

情报需求是组织最关心的问题，即让高管们彻夜难眠的威胁。SRM 领导者必须记录这些问题，并将其作为 TI 产品和服务可以回答的问题。有了这种理解，就可以用高级领导层可以理解的语言清楚地定义组织的良好形象。

使用优先情报要求 (PIR)创建TOM具有三个主要优点：

确定正确的产品和服务。
确定适当的能力范围。
定义成功所需的正确技能。

在一个充斥着承诺类似结果的供应商的市场中，采用外科手术式的采购方法始终至关重要。为此，请根据需求创建工件列表（想要了解的属性），以回答PIR 提出的关键问题。这些工件，也称为特定情报要求 (SIR)，是从众多供应商中正确筛选的关键。将这些 SIR 视为收集情报的标准。因此，请在评估中包括供应商可以满足的标准。这些工件还可以与PIR 结合使用，对现有的情报进行差距分析。映射产品和服务采用的 TI 功能，并评估它们是否满足或部分满足要求。当今的 TI 市场需要更简洁的采购方法来清除营销混乱的迷雾。

确定规划多少能力并非易事，特别是考虑到缺乏行业标准或广泛认可的框架。因此，鼓励 SRM 领导者利用构建 TI TOM 的机会来定义满足这些要求所需的服务深度。在总体愿景或目标模型中，定义可能需要哪些 TI 功能来正确分析并向业务报告情报。

目标是否符合具有地理专业知识的高水平长期分析？它们是否面向取证收集的情报并为威胁行为者基础设施跟踪或为安全运营中心 (SOC) 提供高质量的战术指标而设置？这些问题没有普遍正确的答案；只有合适的。应该：

让目标与原始需求保持一致。
考虑将收集的必要情报及其相关分析。
制定预算预测。

目标远大，但要保持在组织可以实现的范围内。TI 计划的发展方向越接近最初的要求，计划就越可靠。

阐明 TI 愿景后，请规划资源分配和采购模型。许多组织选择了某种程度的混合 TI，将一些服务外包给提供商（例如，战略成品情报产品、威胁行为者归因、深网和暗网活动）和其他特定工作在内部完成（例如，战术指标分析、开源情报研究）。同样，在这里，没有正确的选择。然而，值得考虑的是，至少有一些具有组织机构记忆的内部资源，以帮助进一步策划和报告或传播衍生情报。

少数组织选择外包所有 TI，而内部管理全部 TI 的组织则更少。虽然许多组织需要多个提供商来满足其所有要求，但值得考虑雇用和维持 TI 员工的成本。愿景越复杂，就越能吸引顶尖人才。然而，这也可能给保留带来挑战。制定计划来管理人员流失、让 TI 分析师面临挑战、保护任务进展的预算并确保为 TI 员工提供卓越的机会。

设立目标作为成长的标志

除了使用整体愿景来决定 TI 的能力及其运作方式之外，还应该阐明成功的明确目标。这些目标是作为 SRM 领导者必须努力实现的标志，才能使TI 计划取得成功。选择使用这些目标来告诉企业领导者，对功能的投资正在按预期体现其价值。不同的项目有不同的要求、如何满足这些要求的不同愿景、不同的预算，因此成功的标准也不同。然而，可以将一些成功的关键指标视为增长的标志（见表 1）。

表1 ：威胁情报计划的关键成功指标说明

生长标记示例	描述	问题	例子
优先情报要求合规性	确定 TI 根据业务批准和预期解决的风险程度。	我们能够回答多少来自行政领导层的问题 (PIR)？	本季度，在 9 个已批准的 PIR 中，我们的 TI 计划已实施了总共 3 个。
资源履行	说明了任何 TI 计划的核心组件，用于实施收集到的情报。	我们是否拥有实现我们目标所需的人员？	本季度，在实现我们的目标所需的十项资源中，我们已经配备了五名人员。
能力赋能	记录有多少情报功能已启用并且组织可以完全访问以实现批准的目标。	TOM 中记录的功能有多少已投入使用并可供企业使用？	本季度，在 TOM 中记录的六项 TI 功能中，我们已完全启用其中四项。

资料来源：高德纳

很少有组织拥有预算、高管支持、资源或时间来在第一年实现其全部愿景。因此，任何成熟的 TOM 都应该包括一个多年计划，以充分发挥其能力。该计划应包括为满足批准的要求而提供的行动和服务的时间表。从这个意义上说，可以明确地将 PIR 履行或合规性确定为增长标志。例如，在第一年，可以将已有的内容正式化，以建立两个 PIR 的合规性。第二年，可能会努力加入另外两名 PIR。第三年和随后的几年遵循相同的模式（见图 2）。

PIR 是将情报最接近地转化为业务，因此利用它们作为绩效和增长的标记，使其可用于业务风险以及最终批准预算和评估现有和未来投资的人员。SRM 领导者还有一个额外的好处，即可以将所有必需的服务、资源和产品嵌套在相关 PIR 下，以改进运营、治理、报告和论证。

图 2：PIR 合规性

无论 SRM 领导者选择哪种采购模式（内部、外包或混合），他们都可以利用新资源（全职员工 [FTE]）的加入来实现增长。顶尖网络安全人才难以聘用和留住；TI 分析师也不例外。因此，可以使用资源履行作为标记增长的另一个指标。如果没有分析师积极对收集到的信息进行分析和调查并将这些信息整理成情报，TI 程序就无法发挥作用。因此，新资源的加入可以作为证明成熟的标志，并且应该被视为合理增长叙述的一部分。无论将资源履行情况与 PIR 履行情况保持一致还是单独跟踪，都应考虑使用可行的标记来说明进度。

能力支持是可能考虑的增长的另一个标志。精心编写的 TOM 不仅应该清楚地阐明项目目标，还应该清楚地阐明实现预期目标的构建模块。这些构建块或功能可以定义为另一组标记。

例如，如果要求需要识别泄露的敏感数据，例如凭证和个人身份信息 (PII)，那么组织必须利用资源、合作伙伴和情报来资助和开发深度网络和暗网功能。为了共同的目的而聚集在一起。此功能可以部分满足多个要求。因此，以这种方式考虑你的所有能力，并在你的成长叙述中单独评估它们。

衡量威胁情报的有效使用

上一节讨论了计划绩效以及如何根据预算理由衡量计划的增长。它是商业领袖和商业领袖所使用的语言。正是这种叙述将使计划能够抵御风险。然而，一组不同的测量对 TI 程序的内部性能提出了挑战。它们用于评估 TI 本身以及如何使用 TI 生命周期将原始数据转化为可操作的智能见解。

在评估 TI 时，SRM 领导者应关注高功能项目的两个核心要素：治理功能或项目绩效，以及运营功能或情报绩效。

衡量情报性能的方法有很多，其中很大程度上取决于程序收集和处理的情报类型。表 2提供了两种价值叙述的一些示例：检测和干预。这些是运作良好的安全运营团队的主要支柱：发现威胁并进行干预以防止或驱逐威胁。指标只是数据的测量。性能方向（积极、中立或消极）应由服务级别协议 (SLA) 或服务级别目标 (SLO) 定义。指标表示数据的测量值，SLA/SLO 表示可接受的目标。当指标超过、达到或未达到目标时，即可确定绩效。

表2 ：衡量TI表现的价值叙述示例

放大表格

话题	问题	使用示例	公制公式	指标
价值叙述：检测
确定检测警报情报的有效性	TI 是否提高了威胁检测用例的效率？	在本月的 500 个 SIEM 警报中，有 400 个是真正的阳性警报，并且是由 TI 丰富的用例触发的。	TI 富化的 TP 警报/警报总数 = 百分比	公制：400/500 = 80% ▼ 进度限制：90%
TI 丰富的新用例（SIEM、威胁追踪）	本月发布的生产检测用例中有多少包含 TI 丰富内容？	在 20 个新开发的用例中，18 个包含 TI 丰富。	TI 富化的 UC/新 UC 总数 = 百分比	公制：18/20 = 90% ▲ SLO = 80%
定义攻击链	我们的 TI 是否通过 MITRE 框架进行了丰富以实现增强的机器可读协作？	在本月摄取的 8,000 个指标中，有 5,500 个在 MITRE ATT&CK 框架中带有 TTP 标记。	富含 MITRE 的 IOC/摄入的 IOC 总量 = 百分比	公制：5500/8000 = 68% ▼ SLO = 75%
识别威胁参与者和工具	我们是否能够将威胁行为者归因于他们用于破坏我们组织的工具和/或相关恶意软件？	我们能够识别本月 25 起事件中的 20 起所使用的恶意软件或工具。	积极归因的 IR 案例/IR 案例总数 = 百分比	公制：20/25 = 80% ▲ SLO = 75%
价值叙事：干预
漏洞优先级	我们的 TI 是否帮助我们优先处理最关键的暴露？	在上一个维护时段部署的 75 个补丁中，有 50 个优先使用 TI。	使用 TI 优先处理的漏洞数/已修复的漏洞总数 = 百分比	公制：50/75 = 66% ▼ SLO = 90%
事件响应	我们的事件响应能力是否得到最相关的 TI 的充分支持以调查和消除威胁？	在上个月发生的 30 起事件中，有 28 起需要 TI 支持来解决。	IR RFI/总 IR 案例 = 百分比	公制：28/30 = 93% ▲ SLO = 75%
提供可行的 TI	我们的 TI 在检测和响应网络攻击方面的帮助效果如何？	在上个月的 500 个 SIEM 警报中，TI 丰富的用例证明 400 个是真正的阳性警报。其中 30 起引发了 IR，其中 28 起需要额外的情报支持才能解决。	TI 富化的 TP/警报总数 = xx% + IR RFI/IR 案例总数 = xx% 总和 ⁒ 2= xx%	公制：[(400/500 = 80%) + (28/30 = 93%)]/2 = 86.5% ▲ 进度限制：80%
预防性反应	TI 帮助主动制止了多少起事件？	TI 跨安全设备自动阻止的数量	成功区块的数量，累计值。随时间变化的趋势	# 随着时间的推移而变化。
注意：此表用作可能与通用 TI 程序相关的一些指标的示例。然而，每个组织的要求和情报使用都不同，因此，应该考虑一套量身定制的指标来满足他们的需求。

资料来源：高德纳

提供重要的情报输出

情报之旅起源于原始数据，例如有关威胁行为者基础设施、威胁行为者工具及其动机的数据。将原始数据转化为情报的过程涉及调查分析、探索性研究、关联和佐证。所有这些步骤都需要深入了解 PIR，这将充分塑造从数据中创建TI的工作（图 3）。否则，收集到的数据就没有多大用处，失去了任何可操作性。如今，太多的组织都在努力充分利用丰富的信息，这些信息可以转化为可用于战术或战略目的的可操作情报。SRM 领导者有责任根据 PIR 定义最相关的输出，并映射他们选择的指标来讲述一个传达有意义信息的故事。

图 3：用于创建相关输出的 TI 操作流程

建立 PIR 的过程还应包括确定利益相关者，将向他们寻求建议，并告诉他们接收情报的首选方式。一些利益相关者可能更喜欢接收针对未来状态执行决策的成品情报产品，而其他利益相关者可能更喜欢将实时机器可读的信息输入到他们的安全设备中。其他人可能会根据他们的要求更喜欢这两种方法的组合。

例如，漏洞管理器不一定关心安全SIEM 是否已识别出与已知不良 Internet 协议 (IP) 地址的已建立连接。CEO不会关心APT 组织正在为零日漏洞开发POC，营销人员也不会关心凭据已被泄露。这些例子表明，如果向不需要情报的人报告情报，或者在没有适当背景的情况下报告情报，那么情报不会产生什么影响。必须首先确定报告偏好，以避免断章取义地报告并将高性能 TI 程序变成白噪声。

TI是一种业务支撑能力。无论所涉及的技术或服务多么复杂，它的价值取决于其输出。如果它不能回答企业的问题，它就不会展示任何价值。

使用批准的 PIR 来设定长期目标，跟踪和报告这些目标的进展情况，衡量 TI 产品和服务的有效性，并有效地向相关利益相关者报告。