طبق نتایج بررسی اطلاعات تهدید امنیتی (SANS Cyber Threat Intelligence Survey) در سال ۲۰۱۹، شرایط مساعد برای بهبود استفاده از اطلاعات تهدیدات سایبری (cyber threat intelligence) (CTI) وجود دارد.

CTI یک منبع برای دفاع شبکه‌­ (network defense) در سازمان­‌های پاسخ دهندگان نظرسنجی است.

طبق این نظرسنجی ۷۲% از پاسخ‌دهندگان یا CTI را مصرف و یا تولید می‌کنند. تنها ۸% گزارش دادند که هیچ برنامه‌ای برای شروع استفاده از اطلاعات CTI ندارند. موارد استفاده عبارتند از عملیات امنیتی؛ ردیابی تهدیدها و حملات؛ مسدود کردن تهدیدات؛ و آگاهی از امنیت. تنوع در موارد استفاده از CTI، به این معنی است که CTI به طور گسترده توسط سازمان‌های بزرگ و کوچک مورد استفاده قرار می‌گیرد.

اگر چه تعداد زیادی از سازمان‌ها از CTI استفاده می‌کنند، ولی الزامات برنامه‌های CTI به درستی رعایت نمی‌کنند. تنها ۳۰% سازمان‌ها نیازمندی‌های خود را مستندسازی کرده‌اند، ۳۷% دارای الزامات ad hoc هستند و ۳۳% باقیمانده، اهداف مشخصی را تعیین نکرده‌اند.

رابرت ام لی می‌گوید: “مسلماً مهم‌ترین بخش فرآیند CTI شناسایی و تعریف الزامات خوب برای هدایت کل چرخه عمر اطلاعات است. این الزامات باید با ایجاد مجموعه، تحلیل، پردازش و انتشار اطلاعات انجام شود. این الزامات سازمان‌ها را قادر می‌سازند تا کار اطلاعاتی را به درستی عملیاتی کنند. این کار باعث می‌شود که همه آن­ها هشیارتر باشند.”

هنگامی که تمرکز یک برنامه CTI در اهداف آن تعیین می‌شود، پردازش داده‌های جمع‌آوری‌شده برای جهت دادن به تلاش‌ها مهم است. برخی از این فرایندها شامل تکثیر معکوس داده‌ها (deduplication of data)، غنی‌سازی داده‌­ها با استفاده از داده‌های عمومی (enrichment of data using public)، مهندسی معکوس بدافزار (reverse engineering of malware) و استانداردسازی داده‌ها (data standardization) است.

اکثر پاسخ‌دهندگان گزارش می‌دهند که چنین کارهایی در سازمان آنها یک فرآیند دستی یا نیمه‌خودکار است، اگرچه ۸ تا ۱۹% پاسخ‌دهندگان چنین فرآیندهایی را در سازمانشان کاملاً خودکار توصیف می‌کنند.

نویسندگان این بررسی، لی و براون می‌گویند: «اگر تیم‌ها بخواهند موارد استفاده را بیشتر کنند، ابتدا سازمان‌ها باید راه‌هایی برای خودکار کردن یا ساده کردن جنبه‌هایی مثل جمع‌آوری و پردازش داده‌­ها پیدا کنند که اغلب وقتِ یک تحلیلگر را می‌­گیرند.”