多年來，CISO使用威脅情報已成為常態，安全主管們認識到，有關威脅態勢的額外數據有助于他們更好地防范和抵御惡意攻擊者。

然而，相當大比例的CISO表示，他們在使用威脅情報方面仍有所欠缺。

根據網絡安全軟件制造商Trellix發布的2025年報告《CISO的思維：縮小反應與準備之間的差距》，95%的受訪CISO認同，加入威脅情報共享社區或網絡能提升他們應對威脅的準備能力，然而，有更高比例(98%)的CISO表示，其所在企業在運用威脅情報時面臨障礙。

安全領域領導者表示，這些數據只是冰山一角，他們指出，真正的挑戰并非在于CISO能否獲取或接收情報(幾乎所有安全團隊的安全工具中都內置了一些威脅情報)，而在于他們能否有效運用這些威脅情報，以及在多大程度上能將情報轉化為實際行動。

以下是CISO在有效運用威脅情報時普遍面臨的五大挑戰及應對策略。

1. 聚焦與企業業務最相關的威脅情報

威脅情報，又稱網絡威脅情報(CTI)，通過多種渠道提供給CISO，有些情報是免費的，而大部分則需付費獲取。盡管部分CISO具備自行收集威脅情報的資源，但大多數還是從政府機構、研究人員和信息安全共享與分析中心(ISAC)獲取情報。

CISO還從商業網絡安全公司和通過數據源、報告及/或對其銷售給安全團隊的技術和服務進行自動更新的供應商處購買威脅情報。

但托管安全服務提供商LevelBlue的首席宣傳官特里莎·拉諾維茨(Theresa Lanowitz)表示，CISO可能會發現，某些威脅情報源對其企業并無用處。

問題不在于情報源的質量，而在于其對于特定企業的適用性。

“威脅情報眾多，但CISO需確定與其所在行業和企業相關的情報。”拉諾維茨說。

她解釋說，一些威脅，如勒索軟件、網絡釣魚和商業電子郵件泄露攻擊，幾乎無處不在，而其他黑客戰術、技術和程序(TTP)在某些行業則更為普遍，或更有可能針對特定資產而非其他資產。

拉諾維茨表示，最擅長運用威脅情報的CISO清楚自己最可能遭遇哪些威脅，因此能專注于獲取與這些威脅相關的數據。

科技公司Pendo的CISO查克·凱爾瑟(Chuck Kelser)的做法便是一個例證。他加入了所在行業的專業同行網絡，以便更準確地識別最可能的威脅，同時及時了解新出現的威脅并獲取零日漏洞的最新消息。

“這為我們提供了有用的信息?！彼f。

2. 根據IT環境的安全態勢運用威脅情報

國家大學網絡安全中心主任克里斯·辛普森(Chris Simpson)表示，CISO面臨的另一重大挑戰是在收集和分析威脅情報后如何將其付諸實踐。

辛普森表示，CISO必須將網絡威脅情報數據融入企業的漏洞管理計劃、安全信息和事件管理系統(SIEM)、威脅狩獵工作等之中。

盡管辛普森承認這對許多安全主管來說是一項艱巨任務，但金融服務信息安全共享與分析中心的約翰·丹寧(John Denning)表示，這是一個可以且應該克服的挑戰。

“無論企業規模大小，都應有一個無縫流程，將威脅情報輸入防御技術棧中，”丹寧說，“這要求系統在設計、配置和架構上能夠接收情報，同樣重要的是，系統需具備生成報告和指標的能力，以確定所接收情報的質量和有效性。”

此外，安全團隊需對企業的IT環境、業務運營、戰略和所在行業有足夠的了解，以便有效運用威脅情報。具備這些了解后，分析師才能首先確定哪些威脅情報源和報告對企業最為重要，其次才能從這些情報報告中篩選出對企業及其獨特安全態勢最有意義的數據，從而加以利用。

3. 過濾干擾信息以減輕安全工作量

辛普森表示，即使CISO已將相關情報融入其安全計劃，他們仍常難以過濾干擾信息，以專注于實際指示潛在威脅的數據。

干擾信息是指無需立即關注或采取行動(或根本無需關注或行動)的不相關或低價值信息，干擾信息可能是誤報或被誤標為惡意的良性流量。

如果干擾信息過多，本已捉襟見肘的安全團隊會浪費寶貴的時間和精力去追蹤這些非問題，而非真正的問題。

對此有解決之道，根據Wipro發布的《2025年網絡安全狀況報告》，一種策略是“采用‘安全數據架構’方法，該方法匯聚來自所有企業安全工具的數據，以獲得更豐富的上下文和洞察，這有助于安全團隊減少誤報和降低平均修復時間，同時優化其安全架構。”

4. 根據企業目標和風險承受能力確定調查優先級

即便費盡心力篩選出了與企業最相關的威脅情報，安全團隊仍需處理大量信息。普華永道全球威脅情報總監兼美洲區負責人艾莉森·維科夫(Allison Wikoff)表示，盡管自動化響應威脅情報可進一步減輕工作量，但安全團隊仍需學會有效確定需進一步審查的情報優先級。

她表示，為此，安全團隊除需了解威脅態勢外，還需了解企業目標和企業資產，這使他們能夠制定并實施基于風險的優先級排序方法，以確定威脅情報中指示需進一步調查的事項。

“威脅情報使團隊能夠評估對其企業的相關威脅，并如上所述，就需采取的措施做出明智決策，”服務于澳大利亞關鍵基礎設施部門的CI-ISAC澳大利亞公司首席執行官大衛·桑德爾(David Sandell)補充說，“上下文是可用威脅情報的關鍵：威脅是什么?它是如何產生的?實施起來有多復雜?誰負責?我有可能成為目標嗎?我易受攻擊嗎?”

5. 利用威脅情報制定戰略

安全團隊通常首先從戰術層面使用威脅情報，這一用途往往圍繞自動化低級別安全任務。例如，隨著工具制造商獲取被視為有問題的新IP地址情報，用于屏蔽危險IP地址的安全工具會自動更新。

隨著安全團隊對威脅情報運用的日益成熟，他們會將網絡威脅情報付諸實踐。此時，安全團隊會利用情報來制定其事件響應計劃。例如，情報可以告知團隊在其環境中發現某種特定威脅時應采取的后續步驟。

成熟度曲線的下一階段是戰略層面——這是威脅情報最復雜的應用。在這一階段，CISO將情報與威脅態勢、其IT環境、其企業和其所在行業相結合，以制定安全職能和整個企業的戰略決策。

大多數CISO尚未達到這一階段：Trellix的調查發現，60%的受訪CISO表示，其所在企業尚未將威脅情報全面融入其更廣泛的網絡安全戰略。

“CISO往往僅利用威脅情報來識別妥協跡象，而威脅情報可通過多種方式融入網絡防御和風險管理的多個領域，”金融服務信息安全共享與分析中心的丹寧說，“在妥協跡象之外利用威脅情報的CISO可以為其公司構建一個綜合的情報驅動防御網絡?！?/p>

普華永道的維科夫表示，為了利用威脅情報制定戰略，CISO必須有效地向上傳達企業的威脅態勢，以便董事會不僅能理解，還能利用這一洞察做出決策。

此外，維科夫表示，CISO必須了解威脅背后的驅動因素，換句話說，他們需要知道威脅行為者的動機。CISO應提出以下問題：威脅行為者最有可能攻擊我是因為我是尋找快速經濟回報的機會主義者嗎?他們的目標是我的知識產權嗎?還是他們希望利用我的系統作為攻擊其他目標的渠道?

維科夫表示，CISO可以利用威脅情報提供的洞察，結合高管層和董事會的企業風險評估，制定一個更準確、更有效地應對企業所面臨風險和威脅的安全戰略。