威胁情报应用已久，如何用好威胁情报，让我们一起来看看各家的威胁情报成熟度观。

Recorded Future

Recorded Future认为威胁情报成熟度应当围绕目标、资源和能力三个关键因素展开。针对以上三个因素，Recorded Future发布的威胁情报成熟度调查表中表现出如下特色：

1. 关键决策者是否参与了威胁情报治理并及时获得反馈
2. 企业对威胁情报的态度，从积极到被动分为5个阶梯
3. 关注内部威胁情报和外部威胁情报的区分
4. 关注从操作类情报、战术情报到战略情报应用
5. 威胁情报的使用范围，包括管理范围和安全工具对接
6. 是否能够持续的保持威胁情报的管理和使用
7. 关注对暗网情报的挖掘能力

EclecticIQ

EclecticIQ威胁情报成熟度模型中，围绕如下三个核心展开：

1. 与业务和威胁现实保持一致，包括管理干系人、需求和威胁意识
2. 分析能力，包括管理资源、分析和生产威胁情报、共享
3. 对分析结果的控制和行动能力，包括传播威胁情报和整合威胁情报

EclecticIQ 的威胁情报成熟度模型将以上核心分解为8个不同威胁情报领域的能力,以帮助企业在整体运营中减少不确定性和风险。它们分别是：干系人、需求、意识、资源、分析和生产、资源管理和情报收集、传播、整合。示例如下：

EclecticIQ威胁情报成熟度模型

在该成熟度模型中，EclecticIQ将成熟度分为5级，侧重于管理成熟度，其核心思想是从缺乏管理到可持续优化的逐步提高。

ThreatConnect

ThreatConnect威胁情报成熟度分为5级（0-4），分别为：

0级：不清楚如何开展威胁情报工作

1级：已开展威胁情报工作，处于此成熟度级别的组织开始了解威胁情报，并与SIEM相关联。

2级：扩展威胁情报能力，主动识别可用于行动的威胁情报，这些情报解决了攻击者、攻击原因，以及绘制上下文和连接，并进一步细化威胁知识。

3级：开始建立基于威胁情报的网络安全运营能力，并建立结构化团队，能够使用战略分析方法。

4级：良好定义的威胁情报程序，具有正式定义的流程和自动化工作流，可生成可操作的情报并确保适当的响应。通常拥有 SOC，并且将从被动响应计划转变为由情报驱动的 SOC。

ThreatConnect威胁情报成熟度

LogRhythm

LogRhythm发布的安全情报成熟度模型（SIMM，Security Intelligence Maturity Model）的核心思想在于两个关键标准：

1. 平均检测时间（MTTD：Mean-Time-to-Detect），发现威胁所用的平均时间，包括进一步的分析和响应时间。
2. 平均响应时间（MTTR：Mean-Time-to-Respond），分析威胁消除风险的平均时间。

LogRhythm威胁情报成熟度

LogRhythm威胁情报成熟度分为5级（0-4）:

0级：MTTD以月计，MTTR以周或月计

1级：MTTD以周或月计，MTTR以周计

2级：MTTD和MTTR两者都以小时或天计

3级：MTTD和MTTR两者都以小时计

4级：MTTD和MTTR两者都以分钟计

天际友盟

天际友盟的威胁情报成熟度模型关注企业的威胁情报技术应用，围绕企业对威胁情报的应用能力分为4个领域和5个成熟级别。4个领域分别包括：战略与文化、组织与人员、技术与工具、制度与流程。5个级别从企业对威胁情报的应用能力上分为消费级、融合级、聚合级、优化级和自适应级。

天际友盟的威胁情报成熟度模型认为，在企业实践中选择适合自己的等级目标尤为重要，通过“量体裁衣”可以让企业在预期的费效比上构建自己的威胁情报能力。

1. 消费级：处于消费级的企业购买商业威胁情报，将商业威胁情报应用于现有网络安全设备或系统。
2. 融合级：能够将外部威胁情报与内部威胁情报相结合，实现“知己知彼”。
3. 聚合级：引入多源商业情报并进行聚合，具有情报质量分析和管理能力，
4. 优化级：能够对优质的多源情报进行聚合，同时具备开源情报进行的收集、分析和应用能力。
5. 自适应级：威胁情报应用能力可以做到自动化闭环应用，可以与安全设备互动，形成无需人工干涉的情报生产、情报消费的闭环，情报生产到消费的时间周期大大缩短。

小结

威胁情报，和网络安全其他要素一样，需要被纳入到网络安全治理中，才能发挥其至关重要的作用，而威胁情报成熟度是威胁情报治理的最重要一环。