威胁情报服务能够产生价值，但企业必须首先确定如何正确地衡量威胁情报指标。在本文中，Char Sample为大家解释了实现这一目标的最佳途径。

威胁情报在日益增长的网络安全领域是项非常庞大且逐渐扩展的业务。相关领域的增长预示着威胁情报服务业务的提升，就像我们见证了入侵检测和预防系统、防火墙、VPN等安全产品的崛起那样。

要触发威胁情报流程，威胁必须发生在某些风险功能的合适角度。重要的是要获得准确和相关的威胁情报度量标准。这个过程的第一步是获得彻底理解公司的环境。

理解公司的环境需要深入了解其当前的漏洞以及它们与公司的风险状况之间的关系。这种理解必须在威胁情报收集和威胁分析开始之前。为什么？因为威胁情报的度量标准必须与这种理解存在相关性。

理解风险和成功的状况，优先选择定量的内容，帮助确定问题的边界。有边界的问题是威胁情报度量标准具有意义的关键组成部分。此外，当问题边界不清楚时，通常是由于公司对风险和成功的理解不当，每个威胁源（threat actor）对应每一项威胁被不当评估和优先从而出现新的问题方向。在某些情况下，这会产生以前所不存在的问题。

边界威胁情报度量标准

在无边界环境中实现有边界威胁情报度量标准是很棘手的，但并不是不能实现。即使是一份基本的风险分析也需要首先提供必要的输入。发现的风险可以被认为是“已知糟糕的”或具有风险的。那些“已知无害的”的部分也可以被量化。综上，对公司原始环境理解的量化对精确和有效的威胁度量标准是必要的。

依赖建模（Dependency modeling）提供了最准确的方法。因此，测量的第一个单元来自对现有与成本相关的漏洞威胁的检查。这里的目标是了解破坏所造成的确切成本。下一步则是将威胁显性化。

来到实际的威胁度量标准环节，希望首先剔除的是多个反馈报告都在相同的因素和事件上进行反馈的那种重复回声式的内容。在提高效率和准确性的努力过程中，使用多路威胁情报服务的公司可以追踪按日期/时间分布的威胁。当匹配的威胁被识别和分发，威胁应该被捕获（按照日期/时间，已识别威胁源和利用手段）并跟踪对抗竞争对手。最感兴趣的两个度量标准是分布的时间，以及其与现有已识别的风险区域的相关性。这将帮助您确定哪些供应商及时提供信息，同时帮助企业减少无用信息，并帮助您理解反馈的相关性和重要性。

衡量成功的因素

接下来，可能也是最重要的一步，度量标准是公司如何处理威胁。尽管许多公司喜欢横向收集他们所在行业相关的度量标准，真正的目标是保持运营并抵御威胁，同时对威胁的存在的保持清醒。因此，最被忽视的度量标准之一是确定多少已被识别的威胁正在尝试利用和攻击公司存在的漏洞。在很多情况下发生的一项早期指示信息，是威胁因素尝试对安全服务进行侦查。因此，了解有多少次尝试被阻止也是很值得的。

当然，即使99%的威胁尝试都失败了，如果有1%的攻击通过了，那么所有类型的活动都需要重新考虑风险和成本。假设可怕的1%攻击成功造成了破坏的情况，下次的度量标准将涉及恢复测量方法。恢复系统实际到原始纯净版本并安装好必要的补丁需要多长时间？

除了跟踪某一条目的典型日期/时间，发现和执行度量标准，关键是要注意向量类和因素数据。标识攻击来自内部还是外部的信息来源是非常重要的，因为涉及到攻击者的性质。例如，一个成功的钓鱼结构通常包括一个不知情的内部与外部的始作俑者。需要在他们的组群中捕捉这些源头，以使威胁源度量标准显现出价值。

需要跟踪发现时间以及确定损害程度所需的时间。最终，这一度量标准，与其他已识别的度量标准一样，应随着时间的推移而进行跟踪。对于可能缺乏资源的威胁情报度量标准的网站团队来说，至少也要每季度进行跟踪。此外，更多的资源密集型网站可能要每周跟踪指标，因此趋势是会按照典型的每周、每月、季度和年度报告进行跟踪。

结论

威胁情报度量标准包含很多方面，某一公司希望在威胁度量标准上投资的深度程度很大程度上取决于其资产的价值。威胁分析服务缺乏个性化网站所需要的定制化，但他们拥有许多中小企业所缺乏的资源。更大的公司有能力，而且也应该投资组建威胁度量标准团队，与数据科学家一道，不仅仅检查公司所遭受到的威胁，同时也可以融入其他数据的作用，如将地缘政治，经济和自然灾害数据混合到一起进行分析。

无论公司规模是大还是小，威胁情报度量标准必须跟踪当前的风险区域。因此，所有的工作都应该在公司环境中具有详细的、可量化的风险理解。只有这样，所得到的威胁度量标准才能显现意义和价值。