威胁情报沦为摆设，如何发挥真正价值？

在不少企业安全部门，“威胁情报”三个字已经成了一个尴尬的存在：预算里有它，PPT 里有它，采购单上有它，但真正落到检测、响应乃至业务决策上的价值，却很难说得清。

ISACA 最新发布的一份威胁情报白皮书（链接在文末）就直言不讳：威胁情报项目在很多企业里是“失效”的。情报团队每天接入海量 Feed，却依然改变不了“告警洪水”“排查无序”“决策无感”的现状。

 一项由 Google Cloud 赞助、覆盖 1500 余名安全与 IT 专业人士的调研显示：

• 61% 的受访者认为“威胁情报 Feed 太多”；

• 59% 认为“很难从情报中得出清晰行动”；

• 59% 甚至难以确认哪些威胁是真实有效的；

• 82% 担心“因为告警和数据过多而错过真正的威胁”。

这就是现实：情报不是太少，而是太多；真正缺的，是能把情报转成“可执行决策”的程序和机制。

本文尝试回答一个残酷的问题：当威胁情报沦为摆设，我们还能如何重构它的真正价值？

一、从“买 Feed”到“堆数据”：威胁情报为什么会失效？

表面上看，威胁情报的问题不在“有没有”，而在“用不好”。

典型的失效场景大致有三类：

• 买得很贵，接得很满，落地却只停留在 SIEM 里吃灰。大量 IOC、YARA 规则、黑名单“灌”进平台，触发的是更多的告警，而不是更少的事件。

• 情报团队很忙，决策者却“不知道要问什么”。分析师每天在黑客论坛、暗网市场、恶意代码样本库里“挖金子”，但业务、风控、合规、法务很少给出明确的问题，最后就变成“为了情报而情报”。

• 度量错位：以“数量”代替“效果”。多少 IOC、多少报告、多少情报源，成了衡量 CTI 团队工作的主指标，却几乎没人追踪“因为这些情报，我们少丢了多少账号、少被几次勒索”。

在高压且资源不足的安全部门，这种失效直接放大了从业者的压力。ISACA 2024 年度安全报告中，超过三分之二的安全从业者表示工作压力比五年前明显上升，重要原因之一就是“威胁环境复杂但资源受限”。

换言之：威胁情报不是天生无用，而是被错误地“产品化”和“考核化”了。

二、对手在进化：产业链化黑产 + 信息窃取木马 = 更长的“无告警窗口期”

要理解为什么传统情报模式越来越吃力，必须先看对手如何改变玩法。

今天的网络犯罪，更像一条完整的灰色供应链：

• 有人专门卖 初始入侵（Initial Access Brokers）；

• 有人专门做 勒索运营；

• 有人只负责 出售账号、Cookie、设备指纹；

• 还有团队经营“售后服务”：帮客户绕过风控、洗钱、转移资产。

在这条链条上，信息窃取木马（Infostealer） 成为关键“上游”。它们在被感染终端上批量窃取浏览器密码、会话Cookie、自动登录令牌、企业 SaaS 账号等敏感数据，然后按“日志包”打包出售。

多家安全厂商的追踪发现，大约 30% 左右的 stealer日志来自企业授权环境（企业邮箱、协作平台、代码托管、财务系统等）。这些数据在暗网市场以极低价格流转，攻击者可以在任何“告警”出现前，悄悄登录目标系统、摸清资产、横向移动。

与此同时，勒索攻击本身也受地缘政治、局部冲突和 AI 技术普及的影响，呈现出更快的节奏和更复杂的议价生态：一些团伙专门利用 AI 自动生成钓鱼邮件和社工剧本，另一些团伙则借用大模型润色勒索谈判话术。

在这样的环境下，如果威胁情报仍停留在“每天导入若干 IOC 到防火墙”层面，注定会被对手甩出几个身位。

三、让情报“有问题可答”：用 PIR 重构威胁情报的方向感

ISACA 白皮书给出的首要结论是：问题不在情报源，而在情报项目不知道自己要回答什么问题。

解决方案就是一个看上去很“军事”的概念——优先情报需求（Priority Intelligence Requirements, PIR）。

通俗讲，PIR 就是：

“我们必须搞清楚什么、为什么一定要搞清楚、搞清楚之后要做什么。”

例如，对于一家受社工攻击困扰严重的金融机构，一个合理的 PIR 可能是：

“在与我们体量和业务相似的金融机构中，攻击者常用哪些社工手法绕过服务台人工验证？这些绕过路径中，有哪些在我们现有流程里同样存在？”

一旦 PIR 明确，情报团队要做的就不是“每天刷论坛、看样本”，而是围绕这些问题去收集案例、分析攻击路径，并最终反向指导 服务台流程改造、身份验证策略和员工培训内容。

更重要的是，PIR 不是一成不变的，它必须跟随企业业务和威胁建模同步更新：

• 当企业进入新的国家市场，本地监管、当地黑灰产生态会带来全新的攻击模式；

• 当核心系统从自建 IDC 迁移到多云架构，攻击面和供应链风险都会改变；

• 当企业大规模上云 AI、部署智能客服或AI助手，提示注入、数据越权访问等新威胁会迅速浮现。

如果业务战略不进威胁建模，威胁建模不进 PIR，情报团队就只能在“过时的问题”里忙碌。

四、四类情报，四种受众：把“听众”想清楚，情报才不会被误用

很多企业的另一个典型问题是：把所有情报都当成“安全运营的事”。

但从实践来看，威胁情报至少可以清晰划分为四类，相应服务不同“听众”：

战略情报

• 内容：地缘政治趋势、行业监管变化、重大供应链事件、同业重大安全事故等。

• 受众：董事会、管理层、战略与投资委员会。

• 作用：指导安全预算、并购决策、供应商选择和长期能力建设。

战术情报

• 内容：攻击 TTP、横向移动模式、渗透路径、利用常见薄弱环节的手法。

• 受众：SOC、红蓝对抗、攻防演练团队。

• 作用：优化检测规则、攻防覆盖范围，调整安全架构优先级。

运营情报

• 内容：本组织相关的泄露账号、被盗 Cookie、暴露资产、钓鱼样本、假冒 App 等。

• 受众：身份与访问管理团队、风控团队、业务安全团队、反欺诈团队。

• 作用：触发批量密码重置、会话吊销、风控策略调整、客户沟通预警。

技术情报

• 内容：可直接落地的 IOC、规则、签名、检测逻辑。

• 受众：安全工程师、SOC 分析师、DevSecOps 团队。

• 作用：扩展 EDR、WAF、邮件网关、SOAR 和日志平台的检测能力。

当这四类情报与 PIR 做好映射，并明确“谁来消费、消费后做什么”，很多“情报沦为 PPT 素材”的问题就自然消失了。

五、把业务拉进来：PIR 不是安全部门的“自嗨清单”

真正有价值的 PIR，一定来自 跨部门的需求协同。

• 产品团队 决定要在海外上线新的支付方式；

• 风控团队 设计了新的授信模型；

• 合规与法务 正在推进一项数据跨境合作；

• 市场与增长团队 计划引入某三方 SDK 或增长工具；

如果这些决策没有纳入情报视角，情报团队看到的就永远是“过去的威胁”，而不是“即将发生的风险”。

ISACA在白皮书中建议：威胁情报应主动嵌入企业的风险管理、项目立项和技术架构评审流程，通过与各类业务利益相关方定期沟通，确保 PIR 始终对齐业务重点。

对很多国内企业来说，一个实用做法是：把“威胁情报评审”变成重大项目上线前的“标配工作项”——就像今天大家习惯做“合规评审”、“隐私评审”一样。

六、用自动化和 AI “放大人”：从一堆日志，到可执行行动

在信息窃取木马日志、暗网论坛帖子、Telegram 频道情报、恶意样本数据爆炸的今天，单靠人工分析早已不可能。多份调研显示，超 80% 的分析师都觉得当前告警和情报量“令人难以承受”，大量时间被浪费在重复收集证据和基础关联分析上。

要让威胁情报不再沦为摆设，自动化至少要做三件事：

1.对“信息窃取”闭环响应

• 自动将 stealer 日志按企业域名、业务系统、权限大小进行分组和分级；

• 识别出仍处于“活跃状态”的账户，自动触发密码重置、MFA 强制开启；

• 对涉及高敏权限或关键系统的 Session Cookie，自动通知 IAM 与 SSO 平台吊销会话。

2.让 IOC 真正“嵌入”到安全工作流中

• 将情报源输出的 IP、域名、URL、文件哈希自动推送至 EDR、WAF、邮件网关、DNS 过滤等；

• 使用评分模型对 IOC 按可信度、时效性、与本组织相关性进行打分，避免“盲目拉黑”。

3.用 AI 处理“长文本”和“非结构化线索”

• 利用自然语言处理技术，从海量论坛贴、聊天记录、勒索谈判记录中提炼攻击意图、TTP 和目标行业；

• 自动识别与本组织行业、地区、技术栈高度相关的讨论线程，推送给分析师做深挖，而不是让人海战术在论坛翻页。

ISACA 新兴趋势工作组成员、Concentrix 高级总监 BISO Carlos Portuguez 指出，有效的威胁情报项目应该成为“网络安全治理的基石”，前提是企业必须解决数据过载、产品集成度低、团队经验不足和自动化欠缺等一系列问题。

这意味着：情报团队的重点不再是“多看几个源”，而是“多打通几条自动化链路”。

七、用“风险语言”衡量情报价值：从 KPI 到 KRI

为什么很多高层觉得“威胁情报说不清价值”？一个重要原因是：情报团队的度量体系和企业风险语言脱节。

ISACA 建议：所有度量指标都应直接回溯到 PIR 和真实风险，而不是“生产力指标”。

相较于“接入了多少情报源、导入了多少 IOC”，更有意义的指标是：

• 情报从发现到分发的时间（Time-to-Intelligence）

例如，从发现某批泄露账号到完成高风险账户密码重置的平均时长。

• PIR 完成率

在一个考核周期内，多少优先情报需求得到有质量的回答，而不是“挂着”。

• 情报参与的事件占比

在重大安全事件中，有多少案件在初期调查阶段就获得了情报支持（例如提前识别出对手家族、TTP，直接复用处置手册）。

• 风险结果指标（KRI）

如：高风险账号接管（ATO）事件同比下降比例、社工成功率减少、因初始入侵导致的重大事件数量变化等。

这些指标未必都能量化成“具体节省了多少损失”，但至少能清楚地告诉管理层：情报已经从“报告”变成“决策输入”。

八、给 CISO 的“三步走”落地路线

综合以上讨论，对于已经“买齐了 Feed、建好了平台，却始终感觉威胁情报很虚”的组织，可以从以下三步重启：  

1.在 3–6 个月内，重建基于威胁建模的 PIR 体系

• 以业务线、关键资产、攻击路径为单位重绘威胁模型；

• 和产品、风控、合规、法务开几场真正的“需求会”，把他们的真实问题固化为 PIR；

• 明确每个 PIR 的“行动 owner”和预期触发的流程变更。

2.构建一条“最小可用”的自动化情报闭环

• 先选一个高价值场景（比如窃取账号风险、勒索攻击预警），从采集、分析、下发到处置打通一条完整流水线；

• 再逐步扩展到更多场景和更多系统，而不是一开始就追求“大而全”。

3.把威胁情报嵌入企业治理与风险管理

• 在重大项目立项、并购、供应商评估流程中加入“威胁情报评审”；

• 在年度风险评估和内控评估中，要求情报团队给出“威胁视角”的补充意见；

• 用 KRI 而不是单纯的技术指标，向董事会和审计委员会汇报情报工作的成效。

正如 ISACA 在最新白皮书中所强调：真正有效的威胁情报计划，不是多接几个 Feed，而是帮助企业在正确的时间作出正确的安全决策。

当情报从“摆在 PPT 里的名词变成业务和安全每天都要用的决策输入时，威胁情报的真正价值才算被激活。

参考链接：

https://www.isaca.org/resources/white-papers/2025/building-a-threat-led-cybersecurity-program