威胁管理框架通常用于评估和管理您为了检测和响应网络威胁所采取的一切措施。该框架涵盖人员、流程和技术，而若要实现高效的威胁管理，所有这三者应达到无缝协作。

当然，这一点说起来容易做起来难。如果仅从威胁管理的技术层面来看，显然会发现很多东西。这反映了网络安全的总体情况：组织平均使用多达 10 个不同提供商的 25 至 49 种不同的工具。这种情况带来了额外的复杂性，而且导致一些组织已采取工具合理化措施，以便更好地了解他们从每种工具中实现的优势、工具之间可能存在的重叠之处以及可能存在的差距。不过，即使执行了这类操练，采取更少或更多不同的单点解决方案也并非最佳之选。

高效威胁管理的挑战

太多不可执行的威胁情报

威胁情报本身与令威胁情报在组织范围内可执行的因素之间存在脱节。在当今威胁订阅源非常丰富的情况下，收集威胁情报并不是问题所在，不过威胁的数量却令安全分析人员难以确定需要优先处理的关注事项。我最近与某位安全主管的对话很好地总结了这一挑战。他说，他们组织采取的一项重大举措是实施“托管威胁情报”，具体来说就是向团队提供经过优先排序的威胁情报，而不是提供所有可用的威胁情报。

在去中心化的分布式数据中寻找洞察力

Forrester Consulting 于 2019 年受 IBM 委托进行的调研结果显示：随着安全和 IT 工具数量的增加，数据量及其位置的数量也随之增加。大多数组织已经开始使用内部解决方案和多云部署，即使他们可能尚未意识到这一点。此外，数据本身要么不统一，要么不可预测。因此，如果分析人员或威胁捕获人员需要在组织环境中查找某种类型的威胁指示器，就会难以跨孤立的数据源进行搜索，而且这个过程非常耗时。此外，随着每个新数据源的添加，只会增加集成成本和复杂性。过去，组织一直希望通过集中式数据湖来解决这一问题，但是随着数据量、成本和准确性要求的不断提高，尤其是在多云和端点平台之中，这种方法所能实现的成功变得非常有限。

缺乏熟练的资源来管理威胁数量

如今，缺乏熟练的网络安全分析人员已经不再是什么秘密了，而且每个企业都在从同一个人才库中挖掘人才。此外，从分析人员到首席信息安全官 (CISO)，即便所有安全专业人员承受着巨大压力，也无济于事。负责威胁管理及优先排序的人员数量与事件响应人员数量之间的脱节，导致组织无法达到他们对自身威胁计划的预期。

本质上，这些挑战中的每一个都与某种脱节有关：威胁情报与组织脱节，数据分散在不同的工具和孤岛之中，并且工作所需资源的供需不匹配。

转变为互联式威胁管理方法

我们需要一种不同的威胁管理方法，而不是在没有人员能够高效使用威胁订阅源或工具的情况下，继续添加更多威胁订阅源或其他工具。转换为更具互联性的方法的方式之一是着重于一对多集成，而不是增减单个工具。使用能够最大限度利用现有安全解决方案和数据源的功能，有助于组织以多种方式推进其威胁管理计划。

通过量身定制的威胁情报提升识别效率

如果威胁情报源与您组织的相关信息（例如所属行业、地理位置）相关联，则可以根据它们与业务的相关性自动对其进行优先排序。如此便可减少分析人员需要评估的情报数量。此外，通过与现有环境的关联，您可以更快、更轻松地查看组织中是否确实存在某个相关威胁，以及是否需要进行更多调查或立即做出响应。

通过合并的搜过功能来改善可视性、缩短响应时间

如果搜索功能可以位于所有安全工具和数据源之上并与之连接，则安全运营中心 (SOC) 的分析人员便无需深度探索每个工具和数据源来寻找感染指标 (IoC)。互联在这里很关键，因为将所有数据迁移到单个位置会带来成本和复杂性。通过连接数据而不必移动数据，安全分析人员便可在调查威胁时节省时间、获得可视性并提高效率。

通过嵌入式自动化释放分析人员的精力，使其投入到更高价值的任务

如果将自动化功能嵌入到您的安全功能中，则可以帮助安全分析人员免于执行手动、重复任务，进而使其可以专注于更高价值的责任，例如主动威胁捕获。此外，借助既与其他安全工具相连又与更广泛的 IT 工具相连的自动化，可以帮助企业改善和加快事件响应流程并编排整个企业的行动。

互联式威胁管理方法可以帮助组织实施更有效的计划。借助 IBM Cloud Pak for Security，我们可以实现数据和工作流的互联，更轻松地实现互联式威胁管理。