“实时情报”的概念常被描述为解决我们安全问题的灵丹妙药。理论上确实是这样。毕竟，情报的最终目的，就是让其消费者掌握相对于相关威胁和对手的决策优势。因此，如果在潜在恶意活动发生的“当时”就能消费适用于这些威胁或对手的情报，理论上情报能提供的决策优势会更为巨大。

 

但实际上，实时情报极其难以实现。当前很多威胁情报产品都仅限于解决已有各种威胁，满足不了公司企业希望强化整体安全态势和缓解企业整体风险的需求。原因如下：

　　实时情报是反应式的

最成功的情报程序力求在危害造成前就理解相关威胁和对手。然而，当前很多标榜为实时情报的产品都不过是集成各类攻击指标(IoC)的自动化解决方案，严格说来只能算是反应式的。

IoC本质上是技术性质的，仅提供对现有单个威胁和已发生恶意活动的相关情报。虽然这些解决方案能大幅提升网络防御和边界安全，但在其他方面就没什么用了，绝对不能当成安全项目的唯一情报来源。

　　实时情报的上下文不完整

由于大多数现有实时情报产品基本上就是IoC的集合，它们能提供的上下文非常有限。IoC能反映出电子邮件签名或IP地址的可疑迹象，但往往告诉不了我们为什么可疑。想要评估IoC的整个上下文和相关性，需要人类分析师进行更多研究和深入分析。而鉴于大部分安全团队每天都收到大量IoC，该人工分析过程是相当耗时且低效的。

举个例子，假设有IoC是感染了恶意软件的流行网站URL。很多情况下，该IoC会自动触发企业网络对该URL的访问屏蔽规则。但如果该网站是刚刚才感染了恶意软件呢？如果公司员工是从移动网络访问的该网站呢？屏蔽该URL真的是对抗此威胁最有效的方式吗？因为IoC往往是静态且缺乏上下文的，它们几乎提供不了威胁的完整情况和潜在影响。

　　实时情报可能会模糊风险焦点

如果实时情报是安全团队消费的唯一一种威胁情报，安全团队就会失去对威胁态势的宏观了解，无法探知公司面临的潜在影响。比如说，实时情报可能会提示安全团队注意“应防范哪个网络钓鱼行动”，但像是“如何提升全公司网络钓鱼警惕性，增强公司整体安全与风险意识”之类战略性的问题，实时情报就无能为力了。最有效的安全团队必然不仅仅关注收集IoC和阻拦各种威胁，他们还会尽力了解为什么会出现这些威胁，可以做些什么来增强公司的整体风险态势。

公司企业可以靠实时情报产品来进行战术性网络防御，但绝对不能把实时情报当成一旦部署就可高枕无忧的“万灵丹”。

公司企业的安全和风险战略中应融入相关、完整且可执行的情报，比如业务风险情报(BRI)，而不应仅仅着眼IoC，只有这样才能获得真正的决策优势，以应对大量相关威胁和充满恶意的对手。

(责任编辑：安博涛)