“實時情報”的概念常被描述為解決我們安全問題的靈丹妙藥。理論上確實是這樣。畢竟，情報的最終目的，就是讓其消費者掌握相對于相關威脅和對手的決策優勢。因此，如果在潛在惡意活動發生的“當時”就能消費適用于這些威脅或對手的情報，理論上情報能提供的決策優勢會更為巨大。

但實際上，實時情報極其難以實現。當前很多威脅情報產品都僅限于解決已有各種威脅，滿足不了公司企業希望強化整體安全態勢和緩解企業整體風險的需求。原因如下：

實時情報是反應式的

最成功的情報程序力求在危害造成前就理解相關威脅和對手。然而，當前很多標榜為實時情報的產品都不過是集成各類攻擊指標(IoC)的自動化解決方案，嚴格說來只能算是反應式的。

IoC本質上是技術性質的，僅提供對現有單個威脅和已發生惡意活動的相關情報。雖然這些解決方案能大幅提升網絡防御和邊界安全，但在其他方面就沒什么用了，絕對不能當成安全項目的唯一情報來源。

實時情報的上下文不完整

由于大多數現有實時情報產品基本上就是IoC的集合，它們能提供的上下文非常有限。IoC能反映出電子郵件簽名或IP地址的可疑跡象，但往往告訴不了我們為什么可疑。想要評估IoC的整個上下文和相關性，需要人類分析師進行更多研究和深入分析。而鑒于大部分安全團隊每天都收到大量IoC，該人工分析過程是相當耗時且低效的。

舉個例子，假設有IoC是感染了惡意軟件的流行網站URL。很多情況下，該IoC會自動觸發企業網絡對該URL的訪問屏蔽規則。但如果該網站是剛剛才感染了惡意軟件呢?如果公司員工是從移動網絡訪問的該網站呢?屏蔽該URL真的是對抗此威脅最有效的方式嗎?因為IoC往往是靜態且缺乏上下文的，它們幾乎提供不了威脅的完整情況和潛在影響。

實時情報可能會模糊風險焦點

如果實時情報是安全團隊消費的唯一一種威脅情報，安全團隊就會失去對威脅態勢的宏觀了解，無法探知公司面臨的潛在影響。比如說，實時情報可能會提示安全團隊注意“應防范哪個網絡釣魚行動”，但像是“如何提升全公司網絡釣魚警惕性，增強公司整體安全與風險意識”之類戰略性的問題，實時情報就無能為力了。最有效的安全團隊必然不僅僅關注收集IoC和阻攔各種威脅，他們還會盡力了解為什么會出現這些威脅，可以做些什么來增強公司的整體風險態勢。

公司企業可以靠實時情報產品來進行戰術性網絡防御，但絕對不能把實時情報當成一旦部署就可高枕無憂的“萬靈丹”。

公司企業的安全和風險戰略中應融入相關、完整且可執行的情報，比如業務風險情報(BRI)，而不應僅僅著眼IoC，只有這樣才能獲得真正的決策優勢，以應對大量相關威脅和充滿惡意的對手。