威胁情报与决策

战略威胁情报指的是面向战略决策者的情报，这一组受众有时会被误解为代表所展示的数据类型。向战略决策者展示技术信息是可以的，但重点通常不在于技术细节，而是这些技术信息的整体意义以及需要做出的决策。在国家层面，战术和操作层面的技术数据和分析会被整合、交叉分析，并生成专业的情报报告，揭示全球威胁分析、趋势和对国际组织的影响，例如外交政策或经济考量。对于国家级威胁的归因在战略层面往往很重要，因为高管试图通过各种方法对行为者施加压力或选择采取反措施。

示例：起诉

作为一个国家使其他国家或犯罪分子承担责任的战略的一部分，可以使用起诉。这些起诉通常由美国财政部或美国司法部等组织发起，并伴随着对组织的惩罚、冻结其资产、限制其全球旅行等。虽然其有效性各不相同，但作为整体战略中的单一工具时，起诉可能非常有效。然而，需注意潜在的反作用，尤其是将其他国家的军事和情报人员置于通缉名单上时。CTI分析师应将起诉视为有战略目标的入侵分析结果的一个例子。

为安全性建立商业案例

向战略层级人员分享网络威胁情报需要分析师理解并识别技术需求、要求和考量，并将其与组织的使命挂钩。理解对组织的影响并将其转化为高层决策者易于理解的语言，能够让安全措施得到理解、重视和支持。安全最终从高层开始，而网络威胁情报分析师处于推动整个组织安全的有利位置。分析师应避免过于技术化的表达或强调他们认为技术上很酷但不一定适用于组织的内容。

每个人都有期望。公司董事会作为组织投资的管理者，期望组织的安全性能够使他们了解影响组织的威胁，并满足相关方的关切。然而，许多董事会成员可能对网络安全一无所知，这就需要网络威胁情报分析师通过高管团队来解决这个问题。

高管团队希望知道如何最有效地分配资源并验证其投资以提高组织的安全性。网络威胁情报分析师的任务是确保董事会和高管团队了解并关心这些威胁，尤其是在他们所属行业中出现的威胁。

报告通常是情报的最持久形式。虽然技术指标可能会过期或逐步淘汰，但某些来自1950年代的情报报告仍可能存在于某些机密系统中。同样，公司内的情报报告可能会存在很长时间，最终可能会泄露或以其他方式公开。因此，必须确保报告经过校对、编辑、交叉分析、严格审查，并符合最高标准。它们代表了在各级情报创建和防御中的所有工作。

正确地撰写威胁情报报告

报告写作是随着时间发展而培养的技能，但以下是一些始终应考虑的提示。首先，报告的目的是讲述一个真实的故事。无论组织需要从情报中得到什么，都必须以诚实、非煽动性的方式讲述。报告应始终包括执行摘要或BLUF（Bottom Line Up Front，即先给出结论）供只有5-10秒阅读报告的高管或读者快速把握要点。确保他们能带走正确的信息。此外，要明确提出行动请求，或者让读者知道这只是供他们了解和态势感知的信息。如果你想要做某件事，那么就要明确表达。 任何图片、技术数据或度量标准都只是为了突出要点并丰富故事。它们不应过度依赖或被高估。度量标准必须与故事一致并且重要，而最重要的信息必须在报告的开头就提出，以便只有5秒钟阅读时间的过客能够抓住适当的关键点。此外，一些人未能给予参与报告撰写的团队应有的认可。成功不是孤立的，并且当可能时应该分享认可；给予一个团队的荣誉很可能会随着时间在积极的文化中得到回报。此外，任何撰写威胁情报报告的人都应考虑Sergio的"今天的威胁情报报告中存在的15个问题"作为必读材料（链接：http:/www.activeresponse.org/15-things-wrong-with-todays-threat-intelligence-reporting/）。 始终在附录中链接到技术数据或包含技术数据。技术人士很可能会从高管那里得到报告，并需要知道去哪里获取数据。这是撰写威胁情报报告时常见的礼貌方面。它还确保其他人可以验证报告。