2.7　情报管理

在网络安全领域，IP地址或域名是数据。若没有任何额外的分析来提供上下文，它们只是一个事实。在搜集和关联各种数据之后，它们有能力洞察某一需求时，便成为情报。

数据和情报的区别在于分析。为了回答问题，分析需要基于一组要求。未经分析，安全行业产生的大部分数据仍然只是数据。然而，同样的数据，一旦按需进行正确分析，就成了情报，因为它包含了回答问题和支持决策所需的一切。IOC在一定程度上被认为是威胁情报的同义词。与IOC相关的搜索和发现过程是信息安全委员会与IT组织计算机安全专业人员职责的主要组成部分。IOC是唯一的数据伪影或签名，它们与安全威胁的存在或应解决的网络入侵密切相关。

模型通常用于构建分析和处理的信息。此外，在智能生成过程中还使用了一些模型。接下来介绍的这两个情报模型主要用来有效地产生和采取行动。第一个是OODA循环，可以用来快速做出对时间敏感的决策；第二个是情报周期，可以用来生成更正式的情报产品，用于各种目的，如情报报告策略或情报规划。情报周期是一种普遍的模式，该模式下各种规模的问题都可以得到解答。然而，需要注意的是，上述步骤并不能自动生成良好的情报。

情报的质量主要取决于两个方面，即来源和分析。在网络威胁情报中，由于情报官员不搜集自己的数据，很多时候数据无法处理，因此了解这些信息对情报官员至关重要。目前，正在研究的情报模型主要关注通过某种分析管道的信息逻辑流，与事件分析一样，这种方法并不是建模信息的唯一方法。情报官员可以在不同层次上思考抽象的情报概念，从高度具体的战术级到作战支援的作业级再到非常通用的战略级。