威胁情报驱动：F3EAD 之传播

一次性进群，长期免费索取教程，没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号：微信群；QQ群：460500587

微信公众号：计算机与网络安全

ID：Computer-network

调查总有结束的时候，这样就有足够时间为其他团队或企业形成有效输出。我们将这一梳理、发布和分享已开发情报的过程称为传播。与其他各类技能一样，传播能力的培养需要时间和流程。即使情报再出色，也可能毁于糟糕的传播。相对于几个小时的分析工作，写点儿东西似乎没什么了不起，但是，任何情报团队都应该集中精力，建立自己的信息传播能力。

传播是一项重要的能力，对于较大规模的情报团队，可能会在传播阶段投入专门的资源。这些以传播为主业的分析人员需要以下方面的能力：

深入理解整体流程及所共享信息的重要程度；

准确把握接收情报的利益相关方的类型和需求；

行文训练有素，文笔流畅；

着眼于业务安全，能够保护宝贵的情报产品和材料。

无论你的团队是如何组建的，是靠一个人兼任CERT分析人员和情报分析人员，还是有大型专门团队，都需要建立写作、采编流程并定期练习。传播以及成果的书面产出（被称为情报产品）一定要与分析成果相匹配。此外，糟糕的情报产品会使出色的分析成果毫无价值。

下面将介绍如何创建情报产品，并在你的企业范围内分发。我们将着重说明如何建立有效的写作结构和过程，引起受众的重视，并使他们付诸行动。

一、情报客户的目标

了解情报客户的需求，就了解情报客户的目标。通常情况下，只有认真观察受众，仔细揣摩他们的需求，才能做到这一点。从情报产品的风格、结构到时间窗口，几乎全部内容都被这两个方面所涵盖。了解情报产品的目标，就是要了解利益相关方期望从中得到什么。例如，将攻击者的TTP告知SOC，这就是一个共同的目标。这就需要针对具有深度技术背景的受众（也称为“目标清单”），提供短小精悍的战术情报产品。

情报团队需要找出哪种情报产品能满足客户。这就是为什么需要客户明确提出对产品的需求。在与团队合作创建情报产品时，这一点特别有用。确定的目标才有共同的愿景。

二、受众

受众也被称为客户，任何情报产品的目标都与受众紧密联系在一起。目标的执行与你正在为其撰写产品的利益相关方有着内在的联系。每个情报写手和团队都必须清楚自己在为谁撰写情报，因为只有这样，才能保证写出来有用的具有操作性的情报产品。这并不是一蹴而就的，你的受众也会改变，会成长，会学习。

例如，某企业的CEO可能具有很好的技术背景，可以理解并陶醉于深度技术报告。这可能会彻底改变情报团队所采取的方法。只有了解受众，才能更有效地预测问题和需求。管理团队在听到某个话题后，提出的问题会与SOC分析人员完全不同。

虽然情况总在变化，客户也各有不同，但总能找到一些共性的规律。典型的客户分类包括管理人员或领导、内部技术人员和外部技术人员。

1、管理人员/领导类客户

多数分析人员最怕给行政领导、首席某某官或董事会这类受众展示或提供情报产品。在很大程度上是由于这类领导的权威，以及主要领导经常要为严重情况（如重大侵害或威胁）做出通报这一事实。

如何量化那些无法量化的内容

在给管理人员/领导类客户撰写情报文章时，特别是关于战略的话题时，往往需要对那些无法量化的内容进行量化。要做到这一点，我们需要一种以相对方式来描述抽象概念的语言。

中情局图书馆有一篇很好的文章，不仅提供了答案，还提供了情报界解决这一问题的过程——被称为概率估计词汇。中情局给出了一系列具体词汇及其精确含义，可用于描述确定性和不确定性。

这些词汇如下：

确定（Certainty）：100%可能性

几乎确定（Almost certain）：93%可能性（上下浮动6%）

可能（Probable）：75%可能性（上下浮动12%）

一半可能（Chances about even）：50%可能性（上下浮动10%）

大概不是（Probably not）：30%可能性（上下浮动10%）

几乎肯定不是（Almost certainly not）：7%可能性（上下浮动5%）

不可能（Impossibility）：0%可能性

这里提供了客户可以理解的大致范围，以及对应的可量化的百分比，并可用于口头和书面情报。如果这些词得到一致应用，就可以成为客户理解情报的关键。例如，只要客户理解术语的准确含义，组织也可以使用“差不多”（likely）来代替“可能”（Probable）。如果你不能保持使用你的估计词汇，就会引起混淆甚至误导，而不是让表述更清晰。

作为情报客户的行政领导一直是一种挑战。一方面是因为领导团队的知识面较广，具有一定的技术直觉。另一方面，组织内部既有由技术底蕴深厚的工程师、技术员转型而成的领导，也有来自完全不相干的学科（如财务或人力资源）的专家，他们在自己的领域里驾轻就熟，但对当前技术问题却并不擅长。这些形形色色的受众，往往是对目标的挑战。

以下是首席某某官的共性：

在某个专业领域具有较深的专业知识，同时又具有广博的知识面（有时也被称为T型人才）。尽管他们中的多数都有某一专长领域，但他们在其他领域（如人力资源或财务）也投入足够时间来深入了解。

他们的关注点往往具有过人的战略高度。如果他们在经营企业，那么所有的决定都将集中在如何赚钱或省钱上。如果他们为非营利组织工作，那么他们关注的重点将是如何完成任务。

虽然为行政领导团队撰写非技术性报告是很容易的，许多人也确实在冒着危险这样做。但别忘记，有的领导职位可能是由熟练的工程师担任。意外获知某个首席执行官或高级董事仍然对C代码有所了解，并懂得关键件恶意软件的反汇编代码，这并不鲜见——很可能这位领导刚刚出于兴趣得到电子工程硕士学位。假设领导团队具有一定技术能力而令他们淹没在术语之中固然不对，认为他们对技术一无所知也并非明智之举。

对情报客户的关注比技术理解更深入。行政领导（特别是首席某某官）有自己的重点关注领域。首席财务官（CFO）关心公司的潜在财务威胁、事件造成的损失（实际损失或潜在损失），以及针对财务人员的威胁（如利用W-2表格的社会工程手段）。相反，首席技术官（CTO）可能并不关心窃取W-2表格数据的企图（毕竟那不是其职责所在），却会担心分布式拒绝服务攻击，因为技术部门对此责无旁贷。

设法使一份情报产品满足多个不同的业务视角，就需要倾听客户的声音。一旦客户看到最终产品并给出他们的意见，便形成了我们在《网络安全之情报浅析》中讨论过的情报周期反馈闭环。这些意见可能是针对情报本身的，也可能是针对格式、流程甚至措辞的，无论是哪种意见，都应给予足够重视。团队采纳这些意见后，不断发布改进后的新版本产品，才会不断进步。

在为领导层撰写情报产品时，注意到以下要点将会事半功倍：

注重商业决策所需情报。管理人员（甚至是技术高超的执行官）很少对战术情报具有极大兴趣。他们主要关注那些有助于更好地做出业务决策的事情。

借助情报讲述威胁故事。如果做得正确，与领导分享行动相关情报会产生很大的价值。分享行动（特别是在战役级别）情报的优势，在于大多数人都喜欢听故事。行动情报可以更容易地讲故事：好人、坏人、工具和行动。重点仍应放在战略方面，但可以借助一个强大而可信的故事从行动角度来支持它。

简明扼要。在许多情况下，安全问题只是受众所关心的问题之一，而且他们专注于安全问题的时间非常有限。大篇幅的报告看起来全面透彻，令人印象深刻，但大多数情况下会被束之高阁。有两种方法可能避免出现这种情况：

在不确定对方会不会读的时候，要短小精悍。精心编写并压缩到一页的报告被全文通读，要比50页的报告被阅读10%的可能性更大。

每种产品都应该从涵盖核心要点的执行摘要开始。这一部分可能是唯一被充分阅读的，所以一定要写好。

上述方法适用于大多数客户，而不仅仅是领导者。简练的语言会让客户更快地用到这些数据，避免数据淹没在报告里。

不要把你的情报团队当作客户的唯一情报来源。这种假设是危险的，尤其是在客户是董事会或管理团队的时候。在多数企业中，这类群体会借助外部资源和顾问。在创建情报产品时一定要牢记这一点。你也要对意料之外的严厉批评有心理准备。

2、内部技术客户

对于大多数分析人员来说，为其他分析人员写报告是最容易的。这主要是因为我们全面地了解这一角色——这简直就是为我们自己写的。这时，很容易按照我们的个人想法、偏好和需求对受众做出假设，但是，要像对待情报产品客户那样对待分析人员（即使你是其中的一员），考虑他们自身的需求。不要想当然，而是要研究他们，征求反馈意见，努力改进产品以满足客户的需求，这样做是值得的。

一般而言，内部技术客户（SOC分析人员、事件响应人员、网络威胁情报分析员等）需要战术和操作级的产品来帮助他们完成工作（通常是入侵检测和事件响应）。在某些情况下，这些情报产品是为开发人员、架构分析师，或者准备构建更具防御能力的产品或网络的工程师准备的。因此，这些内部技术客户总会提出各种各样的需求，以及适用于不同情报客户组织的各类用途。以下是几种你要为内部技术客户创建的产品类型：

操作级攻击活动分析，旨在让SOC分析人员熟悉当前主要的鱼叉式钓鱼活动。

针对系统架构和漏洞管理团队的过去一年主要侵害事件的战略性讨论，旨在尝试改善系统和网络架构。

战术IOC域名列表，需要事先剔除可能的误报，用于在Web代理上阻止访问。

上述产品示例都是为了改进检测和减少误报的。分析人员既想知道威胁是什么样子的（普遍地），也想知道如何验证威胁是否发生（具体地）。这是硬币的两面，在为其他分析人员构建情报产品时，关键是要在两者间取得平衡。

至于如何为分析人员撰写报告，重点要用数据说话。

你所形成的情报产品，多数来自于分析人员的笔记。这使产品贴近了分析人员所渴望的真实情况。

这类情报产品可以是（而且也应该是）高度专业性和描述性的，还应该有丰富的参考资料，包括外部的调查结果和内部的监测数据。分析人员通常希望找到数据的原始来源，所以最好提供便于访问的参考资料。

最高质量情报产品应提供可机读（如STIX格式的IOC或Yara规则）信息，以便其他分析人员能够更容易地查看技术细节。

一定要为内部客户提供反馈和提问的途径。可以是简单地提供一个邮件地址、设置特定主题的聊天室，或者其他可以让读者与作者互动的方法。

3、外部技术客户

情报共享可以发挥出极大的威力，但为外部技术客户创建情报产品却有一些独特的挑战。就写作风格而言，为外部技术客户写报告，与为内部技术客户写报告有相似之处。核心差异在于参与规则（rules of engagement），即与外部技术客户的互动方式。以下是四个主要参与规则：

取得授权

与企业内部共享情报可能需要考虑到情报的敏感性，而与企业外部共享情报则通常会带来更大的风险。在许多情况下，威胁和事件相关数据被认为是高度敏感的，在没有签订保密协议的情况下，不应该发送到第三方。

了解共享给谁

在授权范围内，情报可以与特定类型的企业（如合作伙伴、执法机构和ISACs等）或特定个人共享。对于授权范围外的个人共享情报，将使情报面临向预料之外的第三方（包括合作机构甚至媒体）暴露的风险。

情报暴露的风险

即使企业核实并信任共享情报的对象（并尽全力保护他们收到的信息），还是会出现情报被曝光的情况。比如情报客户的邮件账户被黑客入侵，或者内部威胁导致情报泄露。作为一个情报生产方，一定要考虑到你分享的情报可能会泄露。这不应阻止企业共享情报的行为，即使在情报传输过程中使用了强加密方式，你也需要考虑如何面对情报被曝光的局面。

情报团队应避免使用具有攻击性或不友好的代号名称、不专业的语言和毫无根据的推测。如果你的情报产品通过Twitter分享，想一想你是否会觉得尴尬，或者引起不良后果。谷歌的“水族馆调查报告”被曝光就是这样的例子。想对这类曝光采取什么保护措施么？可考虑与企业的公关团队合作，倾听他们的反馈意见。

创建以可转换情报为主的外部情报

可转换情报（Translatable intelligence）对两类组织都是有价值的信息。这主要体现在信标上（例如，Snort特征适用于那些部署了入侵检测系统的组织，而IP地址几乎对所有组织都价值），同时也涉及时间线和叙事信息。投入时间了解合作伙伴企业将有助于编写此类情报产品。

提供反馈方式

情报在内部共享时通常会为客户提供各种各样的反馈方式，但对外部客户来说，可用的反馈渠道就非常有限。在共享情报时，明确地提供反馈方式（包括反馈渠道、格式和期望）是很重要的。

有时会有多方需要你的情报——你的SOC也许是一个事件相关数据的内部技术客户，但首席某某官同样需要一份简报。在这种情况下，务必记录你需要传达给不同客户的信息是什么，所以我们建议，无论受众是谁，你都要为他们设定一个客户角色。下面我们讨论如何设定这些角色。

4、设定客户角色

设定客户角色是理解情报方案受众的一种行之有效的方法，该方法是从常见的营销实践中提炼出来的。为假想的客户类型赋予相应角色，明确这类客户的特征、问题和需求，才能找到最好的方法来满足他们。在传播阶段，角色设定应放在团队各成员都能看到的地方。

首先，需要为角色开发一套模板。图1提供了一份客户角色的示例模板。

图1  客户角色示例模板

老海军（Old Navy）品牌以满足家庭中各类客户角色闻名，但其主要品牌Jenny定位于25到30岁的年轻妈妈。对于情报产品，受众的规模也应得到控制。情报团队的受众数量非常有限，应尽量为不同客户提供专门的详细内容。对于大多数的团队，有一个折中的办法，即为高优先级的客户较为细致地设定角色，而对其他群体则设定得宽泛一些。

角色的设定有助于准确定义那些不曾被注意到的客户和一般性客户。CEO是否具有良好技术背景？是否喜欢阅读典型的逆向工程分析报告？这需要在其角色中注明。你的SOC主任是否喜欢简短的单页报告？这需要在其角色中注明。角色设定的终极秘诀在于，提供对于客户最有用、最关乎利益的产品。花时间仔细考虑（必要时进行调查和确认）角色的目标与挑战、价值与痛点。这将有助于确保实现目标，提供最有用的产品。

图2展示了一份真实的情报客户档案。Shawn是安全副总裁，这会自然地让人以为他的兴趣和专业均在于此（偏见的一种表现）。这就体现出这份档案的意义，因为在这个案例里，我们对副总裁的许多假设都是错误的。Shawn精通技术，对发送给他的每份报告，都要求精确无误并具有深度。有些副总裁对于深入到数据包和持久化手段的技术细节，可能会感到不舒服或被吓倒，但Shawn对这类细节却充满期待。同理，他的兴趣主要在于典型的战略需求。了解这两点，我们可以专门为Shawn量身定制产品，兼顾他的兴趣和技术敏感度。

图2  真实的客户档案

没有必要为每个潜在的威胁情报客户构建详细的档案，但为关键的利益相关方设定角色是很有必要的。另外，有必要根据利益相关方的共性角色（如SOC分析人员）构建一种通用角色档案。在构建情报产品和设置情报职能时，这类通用档案可以作为判断是否满足利益相关方需求的重要衡量标准，提供关键的指导作用。

许多团队在尝试过角色设定方法之后，会将其视为金科玉律。但需要注意的是，所设定的角色是静态的，只满足于它指派给某个人、某个角色当时的样子。是否来了新的首席财务官？花时间为这个人创建一个新的角色吧——与前任相比，她可能有明显的不同。

三、作者

受众决定客户需要，作者决定如何有效表达。任何伟大的产品都要将作者的能力和受众的需要结合起来。

作者需要建立并维护自己的信誉。只有你的产品得到客户（受众）的信赖，才能为他们创造价值，而这种信赖往往来自于作者。成也萧何，败也萧何，分析成果存在的偏见，也会使团队名誉扫地，因此，不要去写那些你不懂的东西。最好从专业角度着力去写那些深入理解的主题，而不是凭借一知半解的推测去写。

作者既要对主题有足够的了解，写出来的东西颇具权威性，还要对受众足够熟悉，以受众喜闻乐见的方式表达内容。没有前者，产品难免出现错误（损害信誉）；没有后者，内容再好也将被束之高阁。

作为一名报告编写者，你要决定是根据你所掌握的分析人员来写情报产品，还是按照你希望的主题来写。如果你希望情报产品从一组主题开始，就要根据主题所涵盖的各种需求组织团队来撰写。反之，如果你已经拥有了一组团队，则情报产品的主题就应限定在团队的能力范围内。

情报产品中的自动化报告信息

情报产品作者常会使用自动化工具向情报产品中添加信息。这种方式在恶意软件分析中尤为常见，许多作者会在报告中引入沙箱和在线恶意软件分析服务输出的内容。在分析人员和作者经验有限时，这种方式尚可接受，但多数情况下，这只是一些数据的堆砌。恶意软件自动化分析结果有时是无效的，因为有些反逆向分析技术的应用会导致自动化分析失败。

将自动生成的信息引入报告，需要注意以下几点：

全面理解信息

理解这些信息的重要性不仅体现在撰写报告的时候，还体现在情报产品交付后你对其侃侃而谈的时候。有些分析人员（甚至包括公司）都曾因为误解自动输出而错误地引入不正确的数据。

将自动生成信息加入上下文

情报产品在讲故事的时候，自动生成的报告应该作为其中的一部分。如果不结合上下文，自动生成的报告只是数据而已。

提供自动分析结果链接以便引用和更新

例如，某些样本最初在VirusTotal只有很低的检出率，但厂商加入特征后，检出率就会改变。这部分内容很重要，应该让情报产品客户易于自行核实这类信息。

以上三点可以确保你在使用自动化分析结果的时候，对情报产品产生积极作用，而不是大肆注水，愚弄你的客户。

四、可行动性

情报产品是用以采取行动的。只有产品以正确的格式，提供正确的信息，客户才能采取行动或制定更好的决策，这时，才能说该产品具有可行动性。如果客户无法借助情报中包含的信息改善其网络防御态势，那么再优秀的情报产品也是毫无价值的。（在F3EAD术语中，如果产品不能提高团队查找、定位或消除对手的能力，报告就是缺少关键内容。）最后，每个情报产品的目标都应该是促成有意义的决策或行动。

提升可行动性的作法包括：

提供对手战术、手法和过程相关信息，使客户更容易地发现他们可能面临的对手，并做出响应。

确保在产品中包含易于使用的IOC和特征，使用户更易于针对恶意活动添加检测功能或猎捕（hunt）方式。由多家厂商所使用的开放格式（如Snort和Yara）就特别适用。

回答与客户需求相关的特定问题。

提升可行动性的禁忌包括：

避免不提供网络防御小组可用的细节而对恶意活动泛泛而谈。例如，不要仅提及攻击者的网络钓鱼活动而不提供相关的电子邮件发件人地址、主题、附件或恶意链接信息。

不要利用工具或方法阻止别人复制情报产品的信息。例如，许多厂商将报告中的文本以图片形式提供，导致客户无法复制和粘贴这些信息。尤其是对于哈希、域名和IP列表，这样做尤其令人沮丧。

避免以仅适用于某厂商产品的厂商特有格式发布信息，或是向仅具备网络检测工具的客户分享只可用于主机检测的信息。

不要因设定过高密级而使信息无法得到使用。这种情况在政府机密和TLP环境中均发生。

避免使用TLP黑色

前面讨论过为保护敏感情报而提出的交通灯协议。除了官方指定的红色、黄色、绿色和白色之外，有些分析人员还会将信息标注为“TLP黑色”。这种非官方说法是指最高级别的敏感性，因为密级过高而无法据此行动，仅供极特殊场合使用。“TLP黑色”让人有一种间谍那样的偷偷摸摸的感觉，因为“TLP黑色”情报理论上是不具可行动性的，所以几乎没有用处。尽量避免使用“TLP黑色”

有些微妙的是，可行动性对于不同客户及其不同的情报程序成熟度，具有显著差异。在某些情况下，如果客户已经对威胁高度重视，即使是很出色的情报产品，其可行动性也会大打折扣。相反，这份情报产品在与刚刚发现该威胁的团队共享时，对他们来说却具有很强的可操作性。为了提高可行动性，需要听取利益相关方的意见，并了解客户的以下特点：

需求

他们遇到的麻烦是什么？他们需要解决的问题是什么？

技术

他们目前在使用哪种工具？

成熟度

他们的团队处于哪种技术水平？有效行动的能力如何？

做事方法

他们如何推进团队任务？

在了解上述特点之后，我们就可以定制产品来帮助他们有效行动了。

五、写作步骤

多数人认为好作家才能写出来好作品。尽管从某种意义上说，成为伟大的作家离不开天赋，但对于大多数人来说，写作不过是一种通过种过是事才能写出来好作品。尽管从某种意义上说，伟大的作家肯用通过通过能缓慢地学习和耐心地实践就可以掌握的技能。为数字取证和事件响应、情报或严谨（rigor-backed）的分析需求而写作，不仅需要写作风格意识（the sense of style），也需要专门的流程。下面涵盖了一套通用的情报产品开发过程——专业的情报生成组织应创建自己的详细指南，如《情报研究与分析入门》。

写作的三个主要步骤是：规划、草稿和编辑。现在让我们来深入探讨。

1、规划

情报写作总是始于规划。虽然匆忙落笔（或敲键盘）更为容易，但这样无法带来最好的产出。情报产品需要深思熟虑、合理安排、精心组织，才能为利益相关方提供尽可能多的价值。为此，在规划阶段应侧重情报产品的以下几个关键方面：

受众

你要写给谁？他们的目标和需求是什么？情报只有得到理解，才能被有效使用。

作者

谁来主笔？他擅长什么？情报依赖对上下文有深刻的理解，所以作者需要知情。

可行动性

情报接收者应该采取什么行动？情报推动决策（通常带来改变）。

这三个概念都有助于规划产品所需内容以及所应采取的格式。在创建情报产品的各个阶段（从草稿到交付给客户），都要考虑到这些。

2、草稿

起草情报产品的过程因人而异。几乎每个人都有自己的方法和流程。不论采取哪种方法，多数人都认为动笔是最困难的。大多数作者都认为，起草初稿的最好方法，就是先随便写出来一些东西，然后在此基础上不断完善。如果你还没有自己的动笔方法，这里有几种方法。你可以酌情使用其中的一种或几种。

从趋势陈述入手

所谓趋势陈述就是全文的一句话摘要，是开始情报产品的理想场所。从趋势落笔，使最终产品易于满足最初的利益相关方的需求。把趋势陈述置于开篇位置，然后给出证明这一趋势的证据，摆出事实，提出假设。在某些情况下，将趋势陈述作为产品的一个独特要素是有意义的，但也不必强求。这只不过是一个起点而已。

在情报写作中采用讲故事的方式

人类擅长讲故事，也喜欢听故事。这是一种我们习惯的形式，令人觉得很舒服。我们喜欢故事里的角色，关心他们的喜好，希望知道他们在做什么，以及不同角色之间的关系。对于情报生产者和客户而言，这种叙事形式是很自然的。接受这种形式，而不要企图对抗人类的天性。相比平淡的陈述，故事更易于被记住，也更具影响力。人类离不开故事，还是使用讲故事的方式吧。

从事实入手

另一种方法是从调查确定的事实清单开始。如果产品创建者掌握完整的笔记，这种方式尤为适用。不必在意格式和表达，尽量在纸面上给出全部事实：时间、信标，以及任何具体信息。当事实准备就绪，就可以在此基础上谋篇布局，润色词句。

从观点、要点入手

拟定提纲是把你的构思谋篇落实到纸面的好方法。此时，在提纲各个部分填写什么内容并不重要，只需写下报告所涉及的几个主题即可。

在此过程中，如果尚未清楚如何组织调查结果的结构或顺序，不妨先从写下各个要点开始。这些要点可以涵盖各种各样的主题，包括事实分析（偏重分析）、考虑因素以及轶闻趣事。只要将这些写下来，最合理的材料组织方式自然会水到渠成。

3、编辑

草稿无法成为最终产品。创造一部真正伟大的作品，即使草稿已经很优秀，仍然需要卓越的编辑工作。对于篇幅较短的作品，编辑工作可能需要形成草稿那么长的时间。

编辑工作很难一个人独立完成。编辑工作是艰苦的，一个人往往因考虑不周而在编辑过程中产生诸多瑕疵。受限于人类的心智，边读边改、查缺补漏（简而言之，就是用你想说的话替换书面上的文字）往往会导致最糟糕的情况。你对内容越熟悉，就越可能会犯这些错误。你可以使用以下各种方法来避免这些错误：

不要相信自己

最容易想到的一种方法是由另一名分析人员（在规模更大的企业，甚至会安排专门的编辑）来审阅你的作品。另一双眼睛往往可以发现原作者不曾留意的事情。与一名编辑按一套规范流程协作会是非常有效的方法。

走开一会儿

暂时离开一会儿是一种让文稿（即使是你亲手写出来的）显得陌生的方法。离开你的办公桌，拿一杯咖啡（或者你喜欢的饮料），花15分钟先不去想它。当你回来重读这段文字时，你会有新的想法，新的视角。

大声读出来

在你默读的时候，你的大脑会使你跳过一些不起眼、不重要的词。这在快速阅读的时候很有用，但在校对文字的时候就有问题了。大声朗读是一种解决办法。这可能会让你觉得有点别扭，但这会让你惊奇地发现平时在一些被忽视的词语中存在着多少错误。

自动化处理

有许多工具可以为作者提供帮助。拼写检查工具和语法检查工具比较常见的，在大多数文字处理系统中都有它们的身影。实际上，你可以使用的工具远非这些。类似write-good这样的工具，可以用来从语法角度找出那些虽然正确但并不恰当或适得其反的句式，包括一些模棱两可的词（不够准确的词，如“really”和“very”），或者一些短语的用法（如句首“So”或“There is/are”的用法）。自动化编辑工具可以帮助团队情报生产者形成规范化的情报产品。

编辑工作不应仅限于找到拼写错误的单词和缺少句号的语句，而是要增强文章的条理性，确保内容的准确性，使主题更容易理解，并找出前后矛盾的地方，督促原作者着眼于最终客户的需求。

以下是情报写作中的常见陷阱：

使用直接宾语+动词+主语的句式被称为被动语态（比如这句话就是）。被动语态使得句子听起来很复杂，往往会令人困惑，并使行为弱化。情报产品应该使用更直接的主语+动词+直接宾语的句式来表达动作，这样更易于让读者理解。例如，应该说“孩子喜欢球”，而不是说“球被孩子喜欢”。

不常用术语和缩写词

必须考虑到受众的技术背景。使用对方不懂的术语会令人兴致索然。想知道如何去除过于专业的技术用语？你应该设身处地，站在客户的角度审视这些术语。如果有什么地方拿不准，就为术语添加定义或说明。

具有倾向性或不客观的语言

注意不要误导客户。关键在于找出那些隐藏在主观用语中的偏见，确保它们经得起推敲。

模糊已知与怀疑

在创建情报产品时，你可能会犯一种最危险的错误，就是将已知与怀疑混为一谈。尽管客户需要分析人员的猜测（实质上是从他们的经验和偏见得出），但模糊了怀疑与事实的区别可能会造成破坏性后果，导致利益相关方做出错误决策。

编辑阶段还要检查内容的准确性和完整性。这对于那些客户可能直接投入使用的攻陷信标等数据尤其重要。对于安全运营团队来说，与输入错误的IP地址比起来，从句是不是由分词引导，在多数情况下并不算什么问题。一名优秀的编辑，不仅能找出错误，还应该能发现缺失的信息、混乱的描述，以及那些异曲同工的段落。

除了使用文字，还应考虑使用图表，让数据更为直观。也就是所谓的“一图胜千言”。只要有可能就使用图表或图片，这会使数据更具吸引力，更容易消化，也更为难忘。在不求助美工的情况下，自己设计图形会是一种挑战，但在多数情况下，即使是一幅剪贴画也可以让文章增色不少。

最后，编辑的伟大之处不在于添加了什么内容，而在于删除了什么内容。情报产品胜在简洁，所以优秀的编辑应该留意那些冗余的内容，力求让情报产品变得简洁。

六、情报产品版式

在规划完成后，我们所讨论的一些特性（目标、作者、受众和可行动性）会为你设定文档结构带来帮助。所谓结构，即是情报产品的实际版式和布局，包括标题、篇幅，甚至数据格式。对于受众和可行动性两个方面而言，尤其需要与具体产品相适配。

打算匆忙赶制出情报产品是要冒风险的。其风险在于，要么忽视了受众的需求，要么忽略了关键的可行动信息。成熟的情报程序会为分析人员提供可选的情报产品模板库，以及如何选择模板的指导手册。

开发产品模板是企业的一项特定任务，该任务依赖于对预期受众、需求和组织风格的理解。这种定制模板需要根据客户和分析人员的反馈不断改进。

通过浏览我们的示例报告模板，可以很好地了解这类产品应该是什么样子的。这些模板列举出团队可为各种利益相关方生产的几类产品。我们共享这些模板，实际上是为了让你可以用来为自己的利益相关方构建产品。

1、简易格式产品

简易格式情报产品，通常只有一两页，旨在满足特定的战术或作战情报需求。简易格式产品以某些方式直接与RFI相关联。这类产品侧重于及时、快速地采取行动，通常可对类似问题做出更长效的响应，或直接满足客户的需求，或在企业内部为对手行动发出告警。简易格式情报产品力求简洁，通常不会面面俱到，而是提供特定角度的调查细节，或根据特定需要，提供给定事件或攻击者的详细信息。

为事件与攻击者命名

在撰写简易格式或完整格式情报产品时，分析人员通常需要以某种代号指称当前或既往事件，以及事件背后的攻击者。较之“去年发出的电子邮件”或者“那些使用该工具的坏人”，这样做会更省事。为攻击者指定代号，为事件指定易于记忆的名称，符合人类喜好听有人物、有情节的故事的天性。

这类代号有着重要的作用，在选择代号的时候应多加小心。代号可能会被公开，所以它们不能让人反感。在使用代号命名时，还应避免使人们联想到某种产品品牌，否则就成了市场营销。

微软威胁情报中心（Microsoft Threat Intelligence Center，MSTIC）就是具有优良命名传统的典范，其命名取自元素周期表中的元素，以此为恶意活动分组。这些命名独特又令人难忘，选择余地也很大。下面从事件简报开始介绍各类情报产品。

事件简报

事件简报是一类常见情报产品，是事件响应和威胁情报之间的纽带。这种简易格式情报产品以一两页的短小篇幅，简要说明当前事件的事态进展，对事件响应人员、SOC分析人员和管理层均有用处。该产品应具有严格时间限制，并仅针对特定行动。简报样式见示例1。

示例1  事件简报格式样例

目标清单

事件简报用于描述近期发生的事件，这类事件通常尚未溯源到攻击者，而目标清单用于描述攻击者，无论该攻击者发起的攻击事件是否被观察到。目标清单通常是从厂商报告中提取的信息。

目标清单是一种非常通用的情报产品，因而受到各类客户的广泛关注。一个优秀的目标清单不宜过度涉及溯源。它需要以事实为依据，而不应过度掺杂主观猜想。目标清单样式见示例2。

示例2  目标清单格式样例

攻陷信标（IOC）报告

攻陷信标（IOC）报告是高度战术性的产品，通常供SOC和响应人员分享信标使用。IOC报告在结合新的检测或告警（如近期加入黑名单的信标）使用时更能发挥作用。鉴于缺少上下文信息时信标难以作为情报，IOC报告通常要提供必要的上下文信息。

记住，IOC报告的参考资料可能来自外部，也可能来自内部，如果是来自内部的资料，往往会更有价值。例如，参考资料指向某个关联攻击者的相关目标清单，或者指向信标被发现时的某份报告，都是有意义的。追踪多种不同情报产品，往往可以得到分析人员所需的上下文信息，有助于理解复杂的事件。IOC报告样式见示例3。

示例3  IOC报告格式样例

2、完整格式产品

完整格式情报产品是多页的，通常需要多轮分析的情报产品，可以满足广泛的需求。简易格式产品往往有苛刻的时间限制，而完整格式产品通常没有时间限制（但可能会有最后完成期限）。简易格式产品可能在24小时内就可以形成，而完整格式产品可能需要数周或数月才能交付。这在一定程度上是篇幅的原因，完整格式情报产品往往超出5页且上不封顶，为达到预期效果和提供所需内容，篇幅还会更长。简易格式产品通常是小型团队甚至是由分析人员独自完成的产物，而完整格式产品通常是由大型团队开发的，需要从逆向分析工程师到平面设计师的各种技能和能力。

完整格式产品应该能够全面阐述某个特定主题。与其他产品一样，完整格式产品也需要大量定制和艰难尝试才能有效使用。因为它对于技术、写作、编辑和团队协同等方面均有更高的要求，只有更为成熟的情报团队才能开发完整格式产品，而即使是这样的团队也不是总能成功。这类产品可能具有较长的篇幅，却缺少战略重点，而战略客户（往往是领导），可能只会去读与他们相关的只言片语。因此，开始部分的简介应该涵盖主要观点和综合索引，让利益相关方可以直接跳到对他们有用的地方，这一点很重要。

以下为三种常见的完整格式产品模板（分别是战术模板、行动模板和战略模板）。

恶意软件报告

战术型完整格式产品以恶意软件报告为例。通常来说，恶意软件报告作为逆向分析的产物，为不同团队（从据此信息识别新攻击或已有攻击的SOC分析人员和事件响应人员，到据此信息构建未来防御体系的系统架构师）提供广泛帮助。

在战术型完整格式产品中，应包含沙箱等自动化工具的输出结果。这是因为完整格式产品的确适合讲故事，但从报告中提炼可用的攻陷信标，却会拖慢响应措施。恶意软件报告见示例4。

示例4  恶意软件报告格式样例

攻击活动报告

攻击活动报告是最常见的完整格式报告，是从终端到终端地解析入侵活动全过程。报告有助于发现分析存在的差距（你的团队在哪些方面没有完全掌握对手的行动），并将产生进一步的情报需求。报告还有助于发现响应措施存在的不足，进而补充新的响应人员、情报分析人员，以及促进各方加快长期调查的进度。对于多数团队而言，攻击活动报告是分析团队能够定期输出的最长篇幅的产品。攻击活动报告模板见示例5。

示例5  攻击活动报告模板

情报评估

情报评估是一种全面探讨重大战略问题的完整格式产品。这种产品起源于由美国中央情报局的前身、国务院下设的国家评估办公室（Office of National Estimates，ONE）。ONE起草的《国家情报评估报告》是美国的年度情报产品，旨在识别和探索对美国的重大战略威胁。

典型的情报评估类产品是针对最高级利益相关方的广泛的、战略性为主的产品，为制定全年战略决策提供必要背景。虽然报告存在各种不足，需要在年度内不断完善，但作为情报评估的基础，为利益相关方提供了解各种问题的起点。

3、情报需求流程

情报需求（request for intelligence，RFI）是一类用于回答某个具体问题的专门产品，通常是为了满足态势感知（situational awareness）需要。需求方向情报团队提出一个非常简短的问题。此时，情报团队可以根据已经收集到的信息直接回答该问题（如果可能的话），或者将该问题视为收集需求，启动新的一轮情报周期。为保持流程的有序性和一致性，对于应答产品或初始需求，都应提供相应模板，并应遵照情报需求流程（见图3）。情报需求可满足战术、行动和战略三种不同要求。

图3  情报需求流程图（包含情报流程）

通过电子邮件发出请求是一种启动RFI流程的简单方法。客户使用团队提供的模板，向形如rfi@company.com的公开邮箱发出请求，情报团队从该邮箱中获取请求。由于RFI分为请求和应答两部分，所以需要分别提供两个模板。

RFI请求

客户的RFI请求应遵循严格受限的结构，如示例6所示。

示例6  RFI请求模板

“收件人”字段和“发件人”字段分别指向情报团队和客户。“应答期限”字段表明客户需要情报的紧迫程度（也可以使用“高、中、低”表明严重程度）。其后是请求内容，应为有针对性的问题，并说明具体应答形式。最后，需求方可附上请求参考或其他背景资料，以便情报团队开展调查。

RFI应答

RFI应答也需要遵循严格受限的结构，如示例7所示。

示例7  RFI应答模板

“发件人”字段和“收件人”字段分别指向原始需求方和情报团队。交通灯协议（TLP）字段指定应答接收方应遵循的共享规范。应答日期（应答被发送给客户的日期）也是重要的参考指标。RFI流程能否成功，取决于反馈给需求方的情报是否对请求做出有效应答。应答需要针对需求方提出的具体问题，不要节外生枝。最后，将情报团队为RFI所使用的信息来源作为“应答参考”是有必要的。

RFI流程示例

以下为典型情报请求工作流程示例。我们将从客户的请求开始。

RFI请求。有效的RFI请求形式如下：

发件人：安全运营中心

收件人：情报团队

应答期限：2017-02-20

请求：

用于检测恶意软件X-Agent的有效网络信标是什么？

RFI应答。以下为应答：

发件人：情报团队

收件人：安全运营中心

应答日期：2017-02-22

据公开来源，我们建议使用以下网络信标检测APT28的X-Agent恶意软件：

Snort`alert tcp$HOME_NET any->$EXTERNAL_NET$HTTP_PORTS（msg："Downrage_HTTP_C2"；flow：established，to_server；content："POST"；http_method；content："="；content："=|20|HTTP/1.1"；fast_pattern；distance：19；within：10；pcre："/^\/（？：[a-zA-Z0-9]{2，6}\/）{2，5}[a-zA-Z0-9]{1，7}\.[A-Za-z0-9\+\-\_\.]+\/\？[a-zA-Z0-9]{1，3}=[a-zA-Z0-9+\/]{19}=$/I"；）`

http://23.227.196[.]215/

http://apple-iclods[.]org/

http://apple-checker[.]org/

http://apple-uptoday[.]org/

http://apple-search[.]info

若有后续需求，可提供进一步情报。

日期时间格式

对于安全运营团队而言，几乎没有什么问题会比日期时间表示不一致带来更大的惊慌和混乱。虽然大家很熟悉美国常用的MM/DD/YYYY日期格式，但它并不易于使用。与之相比，欧洲常用的DD/MM/YYYY日期格式则更为直观。不幸的是，这两种格式都不适用于情报产品，因为不容易排序，也不便于在线阅读。可以考虑用YYYYMMDD格式取而代之，这种格式易于阅读（特别是应用于时间轴的时候），也易于排序。对于时间格式，也面临同样的排序问题，建议使用24小时制，并统一时区（最好是UTC形式），例如2017021922：02+00。在使用脚本和工具提取数据的时候，这种格式也更易于使用。

4、自动使用型产品

自动使用型产品（Automated consumption products）是指供告警工具或分析系统所使用的IOC类别（不同于那些供人类分析员阅读的IOC报告）。与书面产品（可以提供有用的上下文信息）结合使用，自动使用型产品能够令威胁数据被更高效、更准确地运用。自动使用型产品分为以下四类：

非结构化/半结构化IOC

使用Snort规则描述的网络特征

使用Yara规则描述的文件特征

自动化IOC格式

下面我们会展开说明各类自动使用型产品。

非结构化/半结构化IOC

通常所说的攻陷信标是由基本的文本列表所表示的一组信标（一段数据+上下文信息），这一特点使其易于在工具中运用，或转换为其他格式。在共享可被脚本、工具自动使用的信息时，首要考虑因素是该产品适用于哪类脚本和工具。OpenIOC和STIX这类复杂标准，都具有超乎想象的表达能力，但仅供支持这类标准的工具使用。如果你的客户无法使用这些格式标准，往往会给他们带来更多的麻烦。

在这些以安全为中心的标准出现之后，多数IOC共享仍旧沿用文本文件列表或半结构化的CSV。这种格式尽管缺少上下文信息，但易于使用，易于人类（以及计算机）读取，也易于编写脚本。

“玻璃巫师”的非结构化IOC。一般的IOC格式可以非常简单。以下为“玻璃巫师”哈希值示例：

这种格式非常简单，易于以脚本形式提供给各类工具使用。这类IOC列表通常以纯文本、Markdown或Excel/CSV方式共享。

使用Snort规则描述的网络特征

一般来说，我们所说网络特征就是指Snort规则。Snort是最早的入侵检测系统之一，其特征使用开放的文本格式。Snort所提供的特征描述语言冗长但却有效，并已被许多厂商所采用，被多种工具所支持，因此成为描述网络流量的标准。

Snort规则可以采用文本格式文件分享，这一特点使其易于在多种工具中应用，且易于使用脚本管理。Snort规则见示例8。

示例8  Snort规则样例

“玻璃巫师”的网络特征。以下为“玻璃巫师”的网络特征。值得一提的是，该规则由Snort社区提供，用于检测“玻璃巫师”所使用的Hikit恶意软件如下：

以下为Snort规则工作机理关键片断：

“玻璃巫师”所使用的Hikit恶意软件会被安装在受害网络的非军事区（demilitarized zone，DMZ）中的服务器上，再由攻击者从外部连接到该服务器——这种架构并不常见，大多数远程控制木马都是从受害者网络内部回连到通信控制节点。为描述检测模式，Hikit的Snort规则用到了变量，以便为不同网络位置设定网络范围：$HOME_NET通常是指企业所处范围，而$EXTERNAL_NET是指企业以外的网络。因此，Hikit的特征仅应在服务器（$HOME_NET范围内，通常位于受害者的DMZ）向客户端（位于$EXTERNAL_NET范围内的攻击者的系统）发送消息时生效。

同样需要注意的一点是：不要指定端口。如果端口是硬编码写入恶意软件的，攻击者只需要对于不同的恶意软件设置不同的服务器端口即可。但由于客户端的端口几乎都是随机的临时端口（在高端口范围内随机产生），因此难于指定固定端口。假如攻击者采用猜测端口的方式，就很容易躲避检测了。鉴于该恶意代码的内容比特串和方向性均具有特殊性，使用通配符表示端口不会导致太多的误报。对于那些涉及特定服务的特征，例如针对SMB（445/TCP，适合家庭用户）的攻击，务必指定端口。

flow从句对方向的描述，与alert从句所描述的去向/来源效果相似。关键是该从句后面的established，这表明该特征对于建立连接时产生的前几个包无效。这可以提高特征的准确性，防止有人故意使用以下Hikit比特字符串生成数据包：

该特征的第二个关键部分是通信字节特征（这段字节特征正是该恶意软件得此命名的原因）。在Hikit恶意软件的通信控制中（至少所述VirusTotal样本是这样），通常会观察到这样的字节组合。

将以上三个特点（方向性、流量和内容）结合起来，就形成了Hikit恶意软件的完整特征。

使用Yara规则描述的文件特征

信息分析人员依赖Yara规则描述文件内容。对于恶意软件研究者（同样适用于其他群体）而言，Yara规则堪称是恶意软件模式匹配的利器，Yara规则可以很容易地描述各类恶意软件识别模式——不仅适用于描述一组文件（比如使用多个哈希值），也适用于描述整个系列。有多种基于开源Yara检测库的工具都可以支持Yara规则，使得Yara规则成为共享这类数据的理想方式。利用Yara规则，客户可以使用各类命令行工具、自动化工具、主机和网络检测工具，甚至在VirusTotal Intelligence上检索样本。

Yara规则可以采用文本格式文件分享（类似Snort规则），这一特点使其易于在多种工具中应用，且易于使用脚本管理。Yara规则见示例9。

示例9  Yara规则样例

自动化IOC格式

像OpenIOC、STIX这类的全自动和完整格式的IOC，仅适用于那些使用量身定制的工具（或具备开发满足该标准工具的能力）的团队。这类IOC可作为通用情报消费品，但需要转换成更易于访问的格式。过去，因为OpenIOC和STIX第1版都是基于可扩展标记语言（XML）实现的，这使其在厂商之外的应用受到限制。多年以来，XML曾一直用于描述数据格式，但由于REST接口的地位已经超越SOAP，JavaScript对象表示法（JSON）已经超越了XML。

为跟上技术潮流，STIX格式也被升级为JSON。示例10所示的C2信标来自于Oasis的GitHub。

示例10  使用STIX第2版描述的通信控制IOC

在与不同种类客户分享信标而作者又不了解客户在使用哪种工具或格式的时候，STIX格式会显得特别有效。这种格式尤其适用于公开报告，例如US-CERT发布的Grizzley Steppe报告。在这个例子中，为了使信标广泛有效，US-CERT随同书面报告（与我们的攻击活动报告格式类似）发布了以多种格式（包括STIXv1）描述的信标。作为以“TLP白色”方式共享的公开报告，作者无法获知客户需要哪种格式的信标，在这里使用STIX格式是恰当的。STIX格式为所有的威胁情报团队提供了一种折中方案，有些团队可以快速使用。

七、节奏安排

情报团队必须按自己的节奏发布情报产品。有些产品适合定期发布（例如态势感知报告和情报评估产品），有些产品（如RFI）则应根据当前事件进展情况决定发布时机。

定期发布情报产品有利于获得利益相关方的持续关注，有利于建立沟通渠道。因此，定期发布的情报产品在频率、篇幅和内容各方面应与利益相关方共同磨合。如果发布情报产品过于频繁，分析团队就要冒着“巧妇难为无米之炊”的风险，给客户提供价值不高的信息，浪费客户的时间，最终导致他们失去兴趣。反之，如果长时间不发布情报产品，就会缺少前进的动力，在每次发布新产品时都需要花费过多时间重新定位客户。

1、分发

某类产品经撰写和编辑后，就可以分发给客户了。与传播过程的其他环节一样，分发物必须能够被目标受众所使用，同时必须有效表达产品内容。

情报产品在分发时需要兼顾方便性与保密性。政府制定的密级制度，就是情报产品保护的一个例子。煞费苦心地建立一套制度，看似有用，往往弊大于利。

在分析团队内部，可以通过门户网站（portal）有效地分发情报产品。Wiki或CRM（如Microsoft SharePoint）可以作为创建、更新和共享信息的中心。这类平台通常支持搜索功能，这对于获得信标的上下文信息很有用。情报团队可以在非公司（noncompany）SOC或情报团队的内部网络建立离线的CRM。

根据敏感性不同，向领导分发的情报产品可以通过不同方式。诸如电子邮件之类的公用渠道适合分发不太敏感的产品，尤其适用于那类定期分发的产品。大多数领导不会投入太多时间查看情报产品，所以电子邮件和打印稿是最有效的分发方式。另外，PPT也是一种不错的形式。

2、反馈

情报写作过程的最后一个阶段，也是最常被忽视的阶段，就是反馈。在反馈过程中，情报客户会提出如何改进未来的产品。反馈形式基本上分成两种：

技术反馈

客户首要反馈的是，情报产品是否偏离了方向，以及利益相关方是否得到了所需的信息。在很多情况下，对这类问题的答案并不是简单的肯定或否定，而是需要情报团队启动新一轮的情报周期。其成功之法在于，细化需求，提供新方向。

格式化反馈

另一种反馈形式是产品对利益相关方有用与否。在很多情况下，无论对于老客户还是新客户，情报本身都是有用的，但是产品类型还有改进空间。例如，某攻击活动报告对于SOC团队来说非常有用，但是SOC团队负责人可能还需要为管理人员另外制定一份简易版本。

通过建立开放的沟通渠道，定期获得客户的反馈，情报团队将受益匪浅。定期反馈有利于改善流程、优化格式和改变惯例，以及调整情报团队的人员配备。

征求反馈可能会遇到麻烦。有没有什么最简单的方法？那就是主动联系情报客户征求意见。想要更上一层楼？那就把收集情报产品的反馈信息与改进客户角色相结合。通过拜访客户，可以为各类情报产品带来改善，而一旦反馈的闸门打开，就很容易得到各方面的意见，其中就包括如何改进情报产品。

3、定期发布产品

安排情报产品节奏的关键在于定期输出情报产品。许多成功的情报程序通过常规产品达到了良好的效果。以下是常规产品产生影响的几点原因：

定期的情报产品使客户了解到重要话题，如即将发生的威胁，包括安全新闻在内的态势感知项目，以及情报团队和事件响应团队的动态。

定期的情报产品使客户总会想到情报团队，提醒他们提出请求（无论是RFI还是正式的），留意进一步的情报产品。

通过生产常规产品，可以让情报团队牢记对于客户的安全使命，即使这种使命超乎事件响应之外。

为情报产品安排节奏，在很大程度上取决于事件响应团队的运行节奏，也就是情报团队创建定期情报产品的节奏，以及客户需求的节奏。

不妨从发布威胁周报入手。这种基本的单页产品应以安全新闻的形式发布，侧重于正在进行中的调查、事件和态势感知。这种产品对从SOC分析人员到首席某某官的各类客户都是有价值的，可以让他们持续知悉最新情况，得知紧急事件（无论是内部还是外部）的状态，具有情报和事件响应方面的谈资。

八、结语

分析人员需要优秀的产品来有效地分享他们的情报。有效的传播需要投入时间，关注想定的客户，了解他们使用这类情报的计划，并进行相应的规划，才能创造出准确的、针对受众的、具有可行动性的产品。

优秀的情报产品一般具有以下特点：

准确性

针对性

可行动性

另外，在写作过程中，分析人员应该自问以下五个问题，确保他们所开发的情报产品能够被客户很好地接受，并能够满足情报客户的需求：

目标是什么？

受众是谁？

产品的适当篇幅是多大？

哪种层次的情报？（战术，运营，战略？）

可以使用哪种语言风格？（技术还是非技术？）

上述问题的答案都将影响最终的产品。学会将目标与受众相结合是一种才能，并无一定之规。想要培养这种才能，需要投入一定的时间。为规划、起草和内容编辑建立相应流程，将大大加速整个过程。

最后，整个传播过程依赖于在分析人员、作者、编辑和客户之间建立起一套持续的反馈循环。只有通过这个循环，流程才能得到发展，产品才能不断完善，情报程序才能逐渐成熟起来。

微信公众号：计算机与网络安全

ID：Computer-network