Gartner发布威胁情报的演变趋势:成为统一的网络风险情报,更加主动、协作和以行动为中心,以应对不断演变的全球网络威胁
威胁情报已成为安全运营的支柱,并不断超越SOC用例,通过多源集成、AI驱动的分析和主动防御能力来支持企业级目标。SRM领导者必须拓宽情报收集范围,使其不再局限于外部威胁,而是涵盖更广泛的信号,以便进行更深入、更具针对性的分析。
主要发现
许多组织仍然根据不完整或不够完善的威胁数据做出关键决策,通常依赖单一来源的信息,但这本身就具有局限性,不足以做出复杂的决策。
企业收到海量威胁数据,过滤掉误报、冗余信息和不相关告警,从而提取可操作的情报,仍然是一项艰巨的挑战。这些“噪音”可能会让安全团队不堪重负,导致重要威胁被遗漏。
许多组织难以将威胁情报付诸实施,但发现很难及时可靠地识别迫在眉睫的威胁,从而预防性地调动内部资源。
有效利用威胁情报需要经验丰富的分析师和专业的资源。许多企业缺乏必要的专业知识或人员来解读威胁情报,将其与自身环境关联起来,并做出准确的响应。这种技能差距可能会限制企业从威胁情报投资中获得的价值。
建议
网络安全领导者必须:
安全运营领导者必须采用多源威胁情报方法,整合和关联来自不同内部和外部来源的数据,以加强决策事实基础,从假设转向高度可能。
实施跨工具编排,实现端到端情报收集、汇总和充实的自动化。统一的网络风险情报将决策支持从安全运营扩展到更广泛的企业范围。
增强和提升所有团队的技能,利用威胁情报充分利用最新的技术进步,例如预测建模和大型语言模型 (LLM) 摘要,同时又不丢失关键的内部知识。
概述
本文概述了威胁情报 (TI) 的历史演变,展现了其从被动的非正式实践到现代网络安全复杂而集成的组成部分的转变。最初,网络安全依赖于基本工具和事后响应,威胁信息在防御者和技术人员之间非正式地共享。随着时间的推移,威胁变得越来越复杂,TI 逐渐发展成为一门主动的学科,专注于数据收集和分析,后来通过专门的团队和协作共享平台正式化。最近,高级分析、自动化和集中式平台改变了 TI,使其能够更深入地融入安全运营,并创建情境化、可操作的情报,从而更有效地确定威胁的优先级。展望未来,预计 TI 将变得更加主动、协作和以行动为中心,以应对不断演变的全球网络威胁。
威胁情报:历史视角与演变
情报,尤其是军事情报,有着悠久的起源,可以追溯到数个世纪以前。它过去是、现在仍然是国家军队在战场上甚至在战场行动(准备或干预)之前调动资源的首选工具。人力情报 (HUMINT)、地理空间情报 (GEOINT)、测量和信号情报 (MASINT)、电子情报 (ELINT) 和信号情报 (SIGINT) 等情报学科被认为是主要情报来源,常常掩盖开源情报 (OSINT) 的重要性,而开源情报最初被认为不如其他情报。
尽管存在这样的历史观点,但情报的核心功能始终保持一致:收集、处理和分析数据,以了解威胁行为者的动机、目标和攻击方法,最终将原始数据转化为可操作的见解。
这一概念一直延续到今天,威胁情报为网络空间领域提供支持。
TI 的演变标志着网络安全战略的根本性转变,即从被动应对转变为日益主动的应对方式(见图 1)。技术进步和威胁日益复杂化持续推动着这一转变。
图 1:威胁情报的演变
在 21 世纪之前的早期,网络安全工作主要是被动应对,专注于在威胁发生后使用防病毒软件和防火墙等基本措施进行响应。然而,随着网络威胁变得越来越复杂,21 世纪标志着威胁情报 (TI) 的出现,组织开始认识到提前了解潜在威胁的重要性。这一概念在 2010 年代变得更加正式,导致建立了专门的威胁情报团队(成熟程序),并通过信息共享和分析中心 (ISAC)等协作社区加强了信息共享。今天,我们看到由机器学习 / 人工智能驱动的高级分析和由威胁情报平台 (TIP) 驱动的自动化被广泛采用,以实现更高效的数据管理。威胁情报已经深度融入安全运营,并非常重视情境化和可操作性,使组织能够根据其特定风险状况确定威胁的优先级并做出响应。
那么,为什么现在鼓励企业转向“未来”情报呢?目前,企业过度依赖有限的威胁数据源,无论数据质量如何,都会在网络攻击调查生命周期中留下严重的盲点(见图2)。如今,大多数企业仅利用有限的数据源,由于它们仅收集战术指标,因此限制性更强。网络攻击生命周期需要更多威胁情境,这直接阻碍了组织准确检测和响应风险和威胁的能力,导致组织对可能造成损害的威胁部分视而不见。
图 2:当前的调查挑战
分析
未来是统一的网络风险情报(UCRI)
展望未来,威胁情报的未来是统一网络风险情报( UCRI),并将由多信号收集和高级分析能力的融合来定义。组织将越来越多地利用多样化的数据流,从网络监测和端点日志到不同类型的威胁数据,从更广泛的威胁态势中提取与组织相关的、适用的风险信息。这种多信号方法,结合机器学习和自然语言处理等人工智能技术的不断发展,将能够更快、更准确地检测新兴威胁和微妙的攻击模式。
统一网络风险情报是指将来自不同内部(监测、日志)和外部(共享和商业数据库)来源的所有相关威胁信号融合到专用分析引擎(机器学习、预测模型)中。UCRI 能够更快、更准确地检测新兴和隐蔽的攻击模式,使组织能够主动降低所有业务职能部门的网络安全风险。
这些情报将更深入地整合到各个业务职能部门,不仅为网络安全团队提供信息,还为风险管理、合规和高管决策提供信息。随着可用数据量的增长,对情报的整理和可操作性也将更加重视,确保情报经过筛选、情境化和优先排序,从而推动及时有效的响应。凭借更快、更符合业务需求的洞察,组织不仅可以开始使用 UCRI 来应对攻击活动,还可以升级其风险暴露管理实践,更好地确定补救措施的优先级。
利用多样化威胁信号拓宽情报收集范围
与军事决策者一样,网络安全领导者应该利用更广泛的信号库来提升其情报机构的效率和可操作性,而非仅仅依赖单一来源。单一来源本身就存在局限性,而且往往不足以支撑代价高昂的决策。然而,如今许多企业却恰恰如此,试图基于不完整或不够完善的威胁数据做出“知情”决策。UCRI的目标之一就是拓宽信号收集的范围,力求通过足够多样化的来源来准确佐证最相关的威胁数据,从而更可靠地确保威胁确实存在。
UCRI 的前提是理解还有许多其他类型的数据源可以提供更多信息并完善现有情报。通过将这些被忽视的来源纳入分析流程,可以获得更深入的洞察,从而自信地在整个安全计划中采取行动(参见图 3)。如今,大多数组织都以他们认为最适合自身组织的方式运用情报,并希望获得最佳结果。UCRI 旨在通过提供确凿的事实基础,消除这种希望,让决策者了解最佳行动方案。
图3:UCRI架构图
图 3 描述了有关 UCRI 的一些关键点以及其架构设计方式:
来源整合:概述了用于分析和报告的信号收集的扩展。
传递/反馈:提供工作流程,将数据以所需格式发送给相关利益相关者。此流程还会征求对输出的反馈,以确定需要改进的领域,从而直接影响优先情报需求 (PIR)。
PIR治理:PIR 会告知应从已确定的来源收集哪些数据,以及应按何种优先级对这些数据进行分类和分析。利益相关者的建设性反馈应促使项目 PIR 进行调整,从而引发连锁反应,从数据收集到传播/报告,贯穿整个 TI 生命周期。
什么使得情报的未来“统一”并与“网络风险”保持一致?
总的来说,问题在于信号收集和分析的差异;UCRI 收集并处理来自内部和外部来源的各种信号。内部来源是指组织内部获取的信号,外部来源是指来自商用现成威胁情报提供商或通过公开来源获取的信号(见表 1)。两者结合,能够充分地对正确的风险进行三角测量,从而确定优先关注的重点。以下列出了一些潜在的数据类型以及每种数据类型的示例。
表 1: UCRI 数据源示例
数据源 | 数据类型 | 示例 | UCRI成熟度 |
外部的 | 传统安全威胁情报 | IOC、TTP、哈希、URL/域名、已完成的情报报告 | 1 |
外部的 | 公共和私人情报共享社区 | 告警/警告、特定行业的分析和报告、态势感知、协作和社区防御、指导和最佳实践 | 1 |
外部的 | 表层、深层和暗网监控 | 零日 PoC、泄露的凭证/数据、被盗的信用卡、初始访问代理、被盗的 cookie、信息窃取者、域名抢注/网络钓鱼、漏洞利用工具包、漏洞利用教程/指南 | 2 |
外部的 | 社交媒体监控 | 新兴/趋势威胁、情绪分析、社交网络映射、冒充、错误/虚假信息 | 2 |
外部的 | 物理/地缘政治情报 | 事件监控、旅行和高管保护、现场安全评估、事件风险监控、国家和地区分析、冲突和危机监控、监管和政策变化 | 2 |
内部的 | 暴露/攻击面数据 | 统一资产清单、枚举的漏洞/暴露、根据安全控制覆盖范围和业务背景确定的优先暴露、安全控制验证结果 | 3 |
内部的 | 安全工具告警/原生情报 | EDR、IPS/IDS、WAF、SIEM、OT 安全工具、IAM/ITDR、CSPM、欺骗技术 | 3 |
内部的 | 事件响应趋势和模式 | IR 审计(历史案例回顾) | 3 |
内部的 | 威胁检测趋势和模式 | SIEM 审计(真/假阳性、非生产用例建模)、威胁搜寻结果 | 4 |
内部的 | 网络流量/异常检测 | PCAP、NDR | 5 |
*这些数据源、类型和示例仅为潜在应用的非详尽列表。希望实施 UCRI 的安全项目应将其视为起点,而非最终清单。 | |||
来源:Gartner 2025
表1中描述的成熟度等级表明了信息源获取的难度以及从原始数据中提取情报价值所需的工作量。成熟度等级采用1到5的等级划分,其中1代表难度最低,5代表难度最高。许多变量都会影响每个组织获取和分析情报的难易程度,例如项目预算、分析师技能水平、工程支持和资源可用性限制。领导者在规划UCRI实施时必须考虑到这些因素,以避免操作失败。成熟度等级的目标是指导实施规划,并促使领导层调查自身的准备程度。
全新“情报数据结构”融合多种数据源,注重可操作性
外部来源是许多最终用户多年来已经习惯的来源,提供“在野”发现的攻击活动的回声。这些服务通过托管安全服务提供商、商业威胁情报提供商提供,在某些情况下,甚至可以通过公开来源获取。组织必须注重使其外部收集多样化,以包含所提供的更广泛的信号。要开始确定组织需要从外部情报提供商那里获得什么,首先要确定PIR ,并对当前拥有的与实现目标所需的进行差距分析。如果程序的目标是实现 UCRI,请优先考虑三种或更多外部数据类型,例如传统威胁情报、表层、深层和暗网监控以及情报共享社区。这将允许在外部来源之间进行最有效的佐证。
内部来源是环境中已经存在的来源,可能只需要极少的(如果有的话)额外资源即可访问。这些来源可能具有极其丰富的情报价值,因为它们已经拥有组织的“机构记忆”,既可以是对企业数据进行分析的副产品,也可以是通过在组织资产上主动部署的传感器获得的,从而增加了丰富的上下文感知。此外,许多此类技术已经通过威胁库将专有情报集成到其中,这些威胁库用于支持其自动分析功能,例如防火墙或端点检测和响应 ( EDR ) 解决方案的情况。这里的目的是确定哪些来源可用于内部收集和分析,从而为威胁情报计划提供足够有益的价值。其中一些答案可以在 PIR 生成和差距分析过程中找出来;但是,应该在内部进行彻底的分析,才能为计划找到完整的答案。
为了优化和扩展数据源,网络安全领导者应遵循以下四条建议。
一、利用额外的商业情报源
大多数企业已经直接从其安全供应商处获取威胁情报,并将其作为其安全产品的一部分,从而为这些工具中的点检测功能提供宝贵的丰富信息。许多此类情报源要么是由平台供应商授权的优质来源,旨在增强检测能力,要么由供应商自行开发和整理。对于这些供应商提供的优质情报源,企业可以将其纳入其更广泛的安全计划中,而无需额外成本。供应商在整理情报时,通常会对其进行定制,以优化其特定技术的检测和预防。这种特定于供应商的情报对于弥补某些情报缺口至关重要,尤其是在运营技术 (OT) 网络等特殊环境中,这些环境需要对工业控制系统 (ICS) 威胁有独到的见解,或者需要身份威胁检测与响应 (ITDR)/身份安全态势管理 (ISPM) 解决方案,这些解决方案可以提供诸如泄露的凭证数据之类的丰富信息。在这些情况下,利用供应商提供的情报可能比通用威胁情报源更有价值。
建议采取的措施:
o 整合:配置TIP和选择的安全工具之间的 API 集成。
o 提取:每小时安排一次妥协指标 (IOC) 提取,以进行新的检测。
o 富化:TIP 利用来自商业和开源威胁源的背景来规范和丰富 IOC。
o 关联:分析师审查并将 IOC 与其他内部告警(例如来自NDR或防火墙日志)关联起来。
o 行动:高可信度 IOC 被推送到安全信息和事件管理 (SIEM) 或防火墙进行阻止/监视,并与相关利益相关者共享。
二、从行为检测中提取指示以进行情报整理
安全设备结合基于行为的分析和基于签名的检测来生成告警。这些告警反映了底层威胁逻辑,无论是来自用户和实体行为分析 (UEBA) 等数据科学模型,还是来自通过威胁建模开发的签名和查询,以识别特定攻击。因此告警本身就具有内在的情报价值。当进一步补充 MITRE ATT&CK 策略、技术和程序 (TTP) 等上下文信息时,这些告警将为更深入的情报分析和关联提供关键枢纽点,使防御者能够根据其特定风险状况来策划情报收集和分析。
建议采取的措施:
o 整合:将威胁检测工具连接到 TIP 。
o 提取:自动引入行为告警(例如可疑的 PowerShell 使用和不可能的旅行登录)。
o 富化:TIP 添加了上下文,将告警映射到 MITRE ATT&CK,将 IP 链接到威胁行为者并识别相关事件。
o 关联:TIP 发现在多个端点上检测到了类似的行为,这表明存在协同攻击。
o 行动:提取新的 IOC 和 TTP,更新检测规则,并与安全运营中心 (SOC) 和事件响应 (IR) 团队分享调查结果,以便立即采取行动。
三、利用上下文攻击信号丰富威胁情报
从威胁检测告警和事件响应案例中观察到的模式中提取的威胁情报,能够为威胁情报项目提供真实、丰富的上下文洞察,洞察主动针对组织的TTP(技术、技术、流程和方法)。通过分析多个事件中的重复行为、攻击序列和共性,安全团队可以识别新兴威胁、不断发展的对手方法以及现有防御措施的漏洞。这些情报使组织能够超越静态的IOC(信息作战能力) ,并根据其独特的威胁形势制定主动检测策略。此外,汲取实际事件的经验教训有助于完善威胁模型、确定防御性投资的优先级并为风险管理决策提供信息,最终增强组织的整体安全态势和抵御未来攻击的能力。
建议采取的措施:
o 整合数据源:使用内置连接器或 API,将TIP 连接到相关的安全工具,例如 SIEM、EDR、NDR、安全编排、自动化和响应 (SOAR) 以及事件管理平台。这使 TIP 能够自动提取告警、日志和事件案例数据。
o 汇总和规范化数据:TIP 收集并规范来自各种来源的数据,标准化格式(如 STIX、JSON 和 CSV),以便可以轻松地比较和关联告警和事件详细信息。
o 识别模式并关联事件:使用 TIP 的分析和关联功能,按共同属性(例如攻击媒介、受影响资产、TTP(映射到 MITRE ATT&CK 等框架)或攻击者基础设施)对告警和事件进行分组。这使能够发现重复出现的模式、攻击活动或协同攻击。
o 提取情报构件:从这些模式中提取可操作的情报,例如新的 IOC(文件哈希、域名和互联网协议 [IP] 地址)、TTP 和攻击者画像。TIP 可以通过解析告警元数据、事件时间线和取证证据来帮助自动化提取。
o 富化并赋予上下文:利用 TIP 的丰富功能,通过与商业和开源威胁源交叉引用,为提取的情报添加背景,例如威胁行为者归因、外部信誉评分、地理位置或已知活动的链接。
o 实现并共享情报:使用 TIP 将处理后的情报分发至相关的安全控制措施(例如 SIEM、防火墙和 EDR),以便主动检测和阻止。还可以通过标准化格式 (STIX/TAXII) 或自动化工作流程与内部团队或外部合作伙伴共享发现结果。
o 持续改进:将检测告警、事件和攻击模拟模式生成的情报反馈到检测和响应流程中。根据新的洞察更新检测规则、行动方案和风险评估,以增强组织的安全态势。
四、结合威胁和暴露上下文,实现最佳管理
利用攻击面信息,组织能够整理更具相关性和可操作性的威胁情报,最终带来更强大的安全成果。通过持续映射和了解暴露的资产(例如面向互联网的系统、云服务、应用程序和第三方集成),安全团队可以根据组织独特的风险状况,调整威胁情报的收集和分析。这种有针对性的方法可确保情报工作专注于最有可能被攻击者利用的漏洞和切入点,而非泛泛而谈的威胁。因此,威胁情报整理变得更加精准,从而可以确定警报的优先级、制定定制的检测规则,并实施主动防御措施,直接应对组织在现实世界中面临的风险。反过来,这降低了攻击得逞的可能性,并增强了组织快速有效地应对新兴威胁的能力。
建议采取的措施:
o 整合数据源:将TIP 连接到攻击面管理 (ASM) 工具、暴露评估平台 (EAP)、漏洞扫描程序、资产清单(例如配置管理数据库 [CMDB])和云安全平台。这种集成使 TIP 能够获取有关您组织的暴露资产、服务和已知漏洞的最新信息。
o 情景化丰富内容:当 TIP 收到威胁情报源或 IOC 时,它可以自动将其与您的攻击面数据关联起来。这意味着该平台可以突出显示哪些威胁、漏洞或指标与您的特定资产直接相关,从而减少干扰,并将注意力集中在真正的风险和威胁上。
o 优先考虑和策划:TIP 使您能够根据受影响资产的关键程度和暴露程度筛选威胁情报并确定其优先级。例如,您可以标记针对面向互联网的应用程序或高价值服务器的威胁,以便立即采取行动,而降低与威胁情报相关性较低的情报的优先级。
o 自动化:借助攻击面上下文,TIP 可以自动针对高风险威胁发出警报并采取响应措施。例如,如果您环境中的系统报告了新的漏洞,TIP 可以触发工作流来通知利益相关者、丰富事件工单或更新已连接安全工具中的检测规则。
o 持续改进:定期更新 TIP 中的资产清单和攻击面数据,以确保您的威胁情报运营与不断变化的环境持续保持一致。这种持续的反馈循环有助于保持主动的安全态势。
通过将内部信号与多种外部信号的收集整合在一起,威胁情报的未来将趋于“统一”。这些数据源结合在一起,可以互补优势,弥补各自的盲点。外部来源通常缺乏对组织内部运作的了解,而内部来源则可能错过某些类型的外部威胁信息。它们共同构成了最全面的威胁视图。这种新兴的“情报数据结构”有可能极大地增强您的威胁情报程序检测整个网络杀伤链中威胁的能力(见图4)。
图 4:UCRI 情报分析目标
定制自动化和人工智能现代化支持从威胁情报到风险情报的转变
一些供应商已开始将其平台标榜为“AI原生”或“AI赋能”。网络安全领导者必须摒弃技术提供商用来标榜其创新的AI粉饰,而应专注于AI技术能够赋能的用例。
虽然名称和核心价值相似,但两者之间的联系更加明确。人工智能通过协助处理海量数据集(内部和外部来源)来赋能UCRI。监督式和非监督式机器学习算法的整合,有助于通过关联分析、重复数据删除、数据丰富和风险评分等方法,发现切实可行的发现。不同的人工智能技术可以帮助情报分析人员比人工处理更快地获得切实可行的洞察;考虑到UCRI生成的数据规模,人工处理几乎不可能实现。表2列出了人工智能辅助的UCRI用例。
表 2: AI 辅助 UCRI 用例示例
AI辅助UCRI用例 | 评估人工智能技术: |
自动威胁检测和富化 | 实时分析大量日志、监测和威胁源。 |
使用上下文数据(例如地理位置、威胁行为者归因)自动丰富 IOC。 | |
使用根据历史攻击模式训练的 ML 模型检测细微异常。 | |
预警情报 | 基于 TTP 预测攻击者动作的行为/预测模型。 |
使用跨其他组织和全球基础设施的模式识别进行攻击预测。 | |
通过预测哪些常见漏洞和暴露(CVE)最有可能在野被利用来确定漏洞优先级。 | |
编排与响应 | 自动化分类和事件响应工作流程。 |
建议或执行遏制措施(例如,隔离端点、阻止 IP)。 | |
通过资产和网络情境化、数据分析自动化和优先决策支持来减少平均检测时间 (MTTD) 和响应时间 (MTTR)。 | |
威胁行为者分析 | 对跨活动的威胁行为者行为进行聚类。 |
关联暗网聊天、恶意软件变种和基础设施重用。 | |
构建随攻击者行为而演变的动态威胁行为者配置文件。 | |
持续学习与适应 | 人工智能模型可以通过从新事件和分析师反馈中学习来自我改进。 |
自适应系统无需人工干预即可重新训练新的攻击模式。 | |
跨域情报融合 | 可以帮助统一: · 内部来源(即 SIEM、EDR、UEBA、分析师笔记、事件报告) · 外部来源(即 OSINT、暗网、供应商报告) |
这种融合可以提高态势感知能力并加快决策速度。 |
来源:Gartner 2025
分析和人工智能技术示例
自然语言处理:命名实体识别、情感分析、主题建模
异常检测:统计模型、聚类算法、自动编码器
监督学习:决策树、随机森林、支持向量机、逻辑回归
无监督学习:聚类、主成分分析
深度学习:卷积神经网络(恶意软件分类)、循环神经网络(序列分析)
图分析:图形数据库、链接分析、社区检测算法
风险评分与优先级排序:集成模型、贝叶斯推理、多因素评分系统
预测分析:时间序列预测、回归模型、马尔可夫模型
自动内容富化:数据融合、实体解析、自动标记
行为分析:序列建模、用户/实体行为分析、聚类
人工智能对于实现 UCRI 至关重要;然而,用户应谨慎行事,切勿被供应商的炒作或夸大宣传所左右。人工智能是 UCRI 的强大推动力,但它并非万能的解决方案。如果没有仔细的监督,人工智能系统可能会产生错误或幻觉,从而导致误报,最终导致安全工作偏离预期目标。
重点应该放在推动网络安全性能的切实改善上,而不仅仅是为了自身利益而采用最新技术。
UCRI 的结果及预期
当网络安全领导者规划实施 UCRI 并争取获得高管支持时,他们必须使用统一的高管语言,使其计划和信息传递与业务层面的成果保持一致(参见表 3)。目标是清晰地阐明 UCRI 如何增强组织检测、理解和应对威胁的能力,并强调其切实的益处,例如改善安全态势、加快事件响应速度和优化决策。
表 3 中突出显示的 UCRI 业务级成果可帮助安全运营经理为其企业制定有效的叙述。
表 3: UCRI 业务级成果示例
关键业务层面的成果 | 用法 | 价值 |
态势感知 | 让组织清楚地了解其所策划的威胁形势,包括威胁行为者的能力、意图和动向。 | 它有助于识别威胁、机遇和潜在的行动方案。企业可以利用它来主动应对威胁。 |
规划和决策 | 为组织规划提供信息,从战略举措到战术任务。 | 它可以通过强调威胁行为者的优势、劣势和可能的反应来制定防御计划。 |
它可以支持风险评估和适当的资源分配。 | ||
网络防御行动 | 对企业资产的潜在威胁发出警告,例如网络攻击、欺诈和内部威胁。 | 它指导防御措施的实施并有助于最大限度地减少突然袭击。 |
评估与适应 | 评估现有安全计划的有效性并根据需要调整防御策略和技术。 | 它提供有关威胁行为者利用漏洞的可能性以及攻击者基础设施和TTP变化的反馈。它还可以将这些发现与特定的组织风险(例如漏洞和暴露)关联起来,使其成为支持和验证企业风险评估的理想选择。 |
合作与协调 | 与行业合作伙伴共享情报,以提供基于行业的预警。 | 它通过提供基于行业的威胁形势和行业通用的作战图景来支持整个行业的网络弹性。 |
*这不是一份详尽的成果清单。它提供了一个框架,您的组织可以使用该框架来制定自身与业务一致的目标和成果。 | ||
来源:Gartner 2025
威胁情报的发展历程,从最初的反应到复杂的集成运营,最终促成了统一网络风险情报的出现。这一新范式代表着重大的演变,它超越了基本的外部威胁指标,融合了多样化的数据流和先进的分析技术。通过整合组织内部数据和各种外部洞察,UCRI 从根本上增强了态势理解和威胁验证,抵消了依赖孤立信息的固有局限性。这种整体方法使实体能够摆脱不确定性,为采取明智而自信的行动建立可靠的事实基础,从而加强对不断演变的威胁形势的防御。