网络威胁情报能力成熟度模型.pdf

网络威胁情报能力成熟度模型（CTI-CMM）

1.0版

(来自cti-cmm.org)

序言

随着威胁以前所未有的速度向我们袭来，对成熟的网络

威胁情CT，以CT）计

报（I下简称I划的需求至关重要。对于

像克罗格这样的大型组织来说，风险很高——不仅是财务损

失，还有维持客户信任和运营弹性。这种新模式阐明了如何

轻松地将CTI实施到日常运营中，并推动团队发展或增强其

能力。

对于决策者和领导者来说，这种模式是一种驾驭CTI复

杂性并推动基于智能的业务决策的方法。该框架通过促进对

CTI在保护您的资产和环境方面的作用的更好理解来降低风

险。

当你阅读这个成熟度模型时，考虑一下哪些部分今天很

容易实施到你组织的计划中，以及你明天可以计划什么。通

过采用这种模式，像克罗格这样的公司可以在不断变化的威

胁格局中保持领先地位。

--MichaelHaas，克罗格公司信息安全副总裁

网络威胁形势无情，规模和影响逐年增长。捍卫者不堪

重负，他们正在寻找降低风险和保护组织关键资产的方法。

CTI是应对威胁形势的重要能力。尽管CTI已经存在了十多年，

但许多组织仍处于早期阶段，尚未充分发挥其潜力。CTI-CMM

将帮助组织评估其当前的成熟度水平，并为其项目的发展提

供蓝图。它将在战术、作战和战略情报工作中发挥作用，并

使从业者和领导者受益。我希望几年前在组建我的第一个CTI

团队时就有了这个框架。

多样性是任何情报机构的重要基础；看起来一样、听起

来一样、背景相似的分析师将产生有缺陷的情报产品。正如

预期的那样，一群不同的情报专业人员根据他们丰富的经验

开发了这个模型。因此，从希望成为领先团队的高级团队到

刚刚起步的团队，每个人都会有关键的收获。我鼓励读者在

他们的课程中利用这种模式，并将其作为一个剧本，将他们

的CTI课程提升到一个新的水平。

--RickHolland，ReliaQuest副总裁兼首席信息安全官

1.前言

1.1.为什么另一个模型

关键概念：CTI-CMM提供了一种利益相关者优先的CTI

成熟度方法。

一个有效的CTI项目的成功取决于它为利益相关者带来

价值的能力。它的存在是为了支持那些做出决定并采取行动

保护组织的人。为了确保利益相关者从CTI计划中获得最大

价值，有必要建立支持或推进其活动的能力。

一个成功的项目是一个成熟的项目。一个成熟的计划与

其组织的核心目标和关键成果相一致。

释放CTI项目的全部潜力需要与它所支持的每个利益相

关者的能力保持一致。此CTI能力成熟度模型（CTI-CMM）

旨在通过与组织内可能存在的利益相关者业务部门（或“领

域”）的既定实践保持一致，支持您的CTI团队建立能力。

我们的目标是帮助您的CTI项目弥合与利益相关者的差距，

并以一种为您的组织创造有影响力和可证明价值的方式成

熟。

1.2.模型愿景和路线图

我们的动机是通过分享我们的集体知识和经验来提升

网络情报的实践。培养一个供应商中立的社区，推动该领域

的发展，造福所有人。

我们认为，任何行动方案（COA）都应该从根本上遵守

以下价值观和原则。

1.2.1.共享价值观

情报通过与利益相关者合作并支持他们的决策过程

提供价值。

情报永远不会完成：改进是持续的。这也适用于采

用——不断改进对成功至关重要。

该模型没有被任何一个商业方声称拥有。

1.2.2.共享原则

在组织特定风险中情境化威胁情报。

持续的自我评估和改进。

基于利益相关者需求的可操作情报。

有效性和影响的定量和定性衡量。

协作和迭代智能过程。

1.2.3.模型开发路线图

表1

序号完成时间里程碑