? SANS 2019年威胁情报的问卷调查显示80%受访者认为威胁情报是有用的,相较前一年的60%有较大增长 ? 目前最主要的威胁情报的形式为IOC,还是威胁情报的核心类型,因为效果立芉见影,接下来的为TTP。 SANS在2019CTI调研中披露,大部分组织只消费情报,能够既能生产又能消费情报的组织机构不到42%,这是国外的数据,国内的生产威胁情报的比例应该低得多。 ? 滑动标尺模型的启示:安全建设需要收集数据,将数据转换为信息,并将信息生产加工为评估结果(威胁情报)以填补已知知识的缺口。威胁情报阶段不但使用外部情报数据,还要收集和分析内部数据。