随着公共云提供商继续提高其平台的默认企业保护和合规能力以弥合其产品组合或内部集成安全产品套件中的空白，CISO越来越多地寻求使用和集成威胁情报作为云中的下一个差异化因素安全平台。

无论是考虑主动安全还是追溯安全，及时可靠的威胁情报的整合（和生产）一直是信息安全战略的核心租户，数十年来，它最终正在针对云进行自己的转型。

最初的共享情报列表涵盖了感染域，网络钓鱼URL，有组织的犯罪IP块，恶意软件CRC和站点分类等，现已扩大并变得更加丰富-包括流遥测和经过培训的检测分类器等输入，直至贡献社区检测签名和事件响应手册。

来自主要公共云提供商的云原生安全套件正在努力以传统安全产品制度所无法理解的方式使用威胁情报。尽管云可以，已经并且将继续从不断增长的原始和半处理威胁情报中收集信息并发挥作用，但新的进步在于可操作情报的发展和应用。

公有云的弹性性质显然在处理“互联网规模”数据集方面提供了巨大的进步-缩短了所有行业标准情报源和列表在流式传输之间的相关性。例如，通过将新域名注册流（来自域名注册商）与权威DNS查询（来自全球DNS提供商），IP信誉列表，过去链接和恶意软件引爆相关联，从而在没有任何用户成为第一受害者的情况下识别新的网络钓鱼站点日志以及连续的搜索引擎搜寻器日志，几乎是实时的。

尽管云提高了建立关联的速度和每个智能块的置信度，但差异在于采取行动的能力。CISO越来越期望企业安全产品的机制能够确保针对已知和先前报告的威胁提供保护。展望未来，这些相同的CISO期望云提供商通过将“可采取行动”转变为“已采取行动”，最好是将其转变为“抢先保护和补救”的能力来区分其保护能力。

实现“威胁情报”并对其进行转换以进行云保护的一些创新方法包括：

•完全集成的保护套件。在许多方面，“套件”一词已变得过时，因为厂商品牌和离散的特定于威胁的产品的松散绑定已转变为紧密耦合和相互依赖的保护引擎，涵盖了威胁和用户交互的整个范围—不断进行交流和共享元数据-通过集体情报平台达成共享保护决策。

•条件控件。通过了解历史威胁向量，详细的攻击顺序和异常统计信息，新的云保护系统会不断计算观察到的非敌对用户和机器交互序列可能构成攻击的可能性，并自动在整个保护平台上定向操作以确定意图。随着意图信心的增强，平台将采取有条件的破坏性步骤来阻止攻击，而不会破坏目标用户，应用程序或系统的持续工作流程。

•从威胁标准化中退后一步。几乎所有传统的保护技术以及安全管理和报告工具都需要通过标准化将威胁数据高度结构化（即，强制执行通常限于最常见的标记属性的数据结构）。通过消除威胁数据标准化的苛刻范围，可以从数据中得出更丰富的上下文和结论，从而使深度学习系统能够在其可能监视的环境中识别和分类新威胁。

•多维声誉。黑名单和白名单可能是确定威胁的原始信誉来源，但是最新的系统不仅可以确定任何潜在设备或连接的相对声誉分数，而且还可以预测不久的将来潜在威胁的性质和时机-抢先启用时间敏感的上下文和保护动作切换。

•威胁资产跟踪。新系统将成百上千个不断更新的数据集相互关联，并结合多年的历史洞察力，使安全分析人员可以近乎实时地跟踪已知威胁参与者的数字资产-标记互联网的危险角落并抢先解除犯罪现场的武装。

从检测到保护，再到先发制人的领域，巨大的压力使威胁情报迅速成为云运营商的一个与众不同的优势，但这种优势自然不适合以前的共享模型，因为它们已成为云运营商的内置功能。云保护平台本身。

随着威胁防护机制的日趋商品化，响应的及时性和中断的经济性等标准被赋予了更高的价值。在计算世界中，每个动作都可以被查看，每个计算周期的费用都只占零头几分之一，CISO越来越意识到威胁情报的深度集成可以为云保护平台和底线运营预算带来价值。