情报过程始于了解团队或个人负责的威胁情报工作的要求。一旦组织确定了这些要求，分析师就可以专注于回答决策者的关键问题，并尽可能优化剩余的流程。确定威胁情报需求后，下一步需要收集情报信息。随着大规模入侵及攻击活动出现在新闻报道中，威胁情报团队对该来源的重视程度也越来越高，绝大多数网络威胁情报团队利用媒体报道等外部来源作为情报收集源，其次是来自特定威胁情报供应商的威胁源。

威胁情报分析过程比较复杂，且个人化特征明显，一般很难捕捉到，但以问卷或书面回答的形式可对此有较好的了解。威胁情报最常用的分析方法是直觉或基于经验的判断，杀伤链模型、钻石模型、MITRE ATT&CK框架等概念模型也经常被用到，结构分析技术（SAT）应用最少。

经过分析环节，威胁情报即完成了整个情报处理流程，接下来需要及时到达正确的受众，情报传播因信息类型和紧迫性而异。电子邮件文档是威胁情报最常用传播方式，其次是报告。这表明威胁情报传播更注重叙事形式，而不仅是IP地址、域等技术信息。

威胁情报共享对于企业和行业而言非常重要，然而很多企业想要从共享威胁情报中获益，自己却不想提供太多的情报信息。企业往往会与安全厂商签订有关威胁情报的保密协议，以致于这些情报不能被供应商用于更广泛的商业用途。在这种情况下，情报联盟易于陷入“纳什均衡”，导致威胁情报很难聚合、流通和分享。

许多安全厂商基于自身的技术优势，将情报分析的研究重点放在信息采集和终端态势感知技术方面，而对威胁情报分析和质量关注较少。然而，威胁情报服务的关键不在于情报收集，而在于对信息化数据、业务数据和安全数据的整合，从海量数据中深度挖掘线索，发现真正有价值的攻击事件和藏匿很深的APT攻击，这对于很多组织机构而言门槛较高。类似威胁捕手、安全大数据分析师这样的威胁情报相关新兴安全职业岗位的人才严重匮乏。

当前威胁情报市场提供的服务种类繁多，但只有极少数的供应商能提供定制化的情报服务；企业用户比较选型难度大，“选择困难症”非常普遍。在所有不同类型的威胁情报服务中，仍然缺乏能够帮助企业真正了解情报内容、并基于有效的信息分析指导企业对安全局势做出前瞻性判断和决策的一站式情报服务的可落地方案。

标准化是威胁情报共享的必要前提，进一步完善威胁情报共享体系和机制，夯实威胁情报基础，赋能安全协同生态建设，标准化工作是推动威胁情报技术发展的前提和重要环节。从国家战略高度部署和落实威胁情报标准化工作，为标准的管理、更新和推广提供政策指导和技术保障；以“政、用、产、学、研”的合作形式完成资源上的协同与集成化，真正做到各司其职、各尽其职；加快威胁情报领域技术的发展，从而提升我国网络空间安全态势感知水平，完全抛弃过去的“合规化产品”，构建起体系化的主动防御。

为加强多源异构威胁数据整合、提取和分析，提升网络威胁情报准确性，可基于网络安全知识图谱技术，实现关键威胁要素的融合与关联分析，形成统一高质量的威胁基础知识库，构建威胁情报能力。

知识图谱可以将大规模碎片化知识转换成直观的结构化链接表达，便于更加智能的访问、操作，并在一定程度上实现智能辅助决策。在网络安全领域，知识图谱技术可优化威胁情报融合和关联分析方法，实现网络安全态势的整体感知和预测，进一步提升威胁狩猎的效率和准确性。

标准并非用于描述单个威胁情报，而是应当作用于整个网络威胁生态环境当中。因此，在今后的标准框架设计中，应当充分考虑基于威胁情报的共享机制、共享平台、智能化应用等生态元素，切实做好网络威胁情报生态环境的底层支持。建立起行之有效的奖惩制度，对于积极应用国家标准并提出建设性意见的企业和组织提供合理的奖励。同时加强相关法律法规的建设，引入正确的道德舆论导向，促进形成良性的网络威胁情报生态环境。 

威胁情报需求的发展与企业数字化转型、企业上云等趋势密切相关。标准化威胁情报服务虽可满足企业一般性需求，但对不同攻击者群体、不同攻击技术以及不同企业类型仍具有差异。客户更倾向于针对内部需求，实现多源威胁情报数据生产、处理、分析、应用等流程，推动企业网络安全运行和日常经营管理健康发展。