随着威胁情报在业内越来越广泛地被应用，从业者成立威胁情报联盟、打造威胁情报生态圈、制定威胁情报标准已经成为国内外的必然趋势。那么，国内的威胁情报联盟发展现状如何，未来又将会带给我们怎样的前景呢？ 金湘宇（NUKE）对威胁情报国内外当前的最新应用情况的研究进行了分享，并介绍了国际上的威胁情报相关体系、产品、标准等的最新发展情况和领先实践。但是NUKE认为，威胁情报虽然是安全体系、产品的必由之路，却只是未来整个安全防护体系进化演进中的第一步。

据国外某项调研显示，威胁情报的排名前三的用户分别是 CISO/CSO、应急响应团队、合规，这在一定程度上指明了威胁情报的重要客户。但是，很多用户都表示威胁情报并不好用，因为数据杂乱、员工缺乏经验、责任不清楚、合适的技术装备少等因素，造成用户有数据也无法利用好。因此，如果威胁情报想要卖的好、用的好，它一定得跟体系或者产品很好的结合。目前，许多企业对威胁情报还处在在观察阶段，但是这个观察的过程中已经有很多用户决心要用。从当前广泛的与 SIEM 结合到未来逐渐用在入侵检测、入侵防御、防火墙、WAF、终端安全技术中，威胁情报其实在逐渐从战略、概念发展到落地。
最早的威胁情报是结构化的文档，属于偏战略的情报，可以分为目前主流的以及未来会升级的。此外还有战术情报，包括溯源分析（人机之间）、回溯展现（界面交互）。随后的发展越来越偏向设备落地，如 FEED 方式（钓鱼域名、IP、扫描IP、DDoS IP，或者常见的代理或者逆命化网络的出口的IP、样本的 Hash 等），往往是热名单，命中率较小。但 FEED 会发展演进，除了 IP 域名之外也可能会提供一些 Snort 规则、YARA 规则、SCAP/OVAL 规则、PoC、工具 Hash 等。未来，威胁情报更多会集中于 API 的提供方式。事实上，不论是甲方还是公司，都很难把所有东西放在一起，未来还是分布式存在，以 API 的方式提供情报的查询，这样有助于保护知识产权，也能防止黑产利用威胁情报。

此外，威胁情报自身在未来也需要有演进，首先要可执行，即实现自动化，利用机器输入代替人工输入，让用户能在最短的时间内利用情报进行快速响应；其次要降低门槛，尽量减少人工参与，而是让设备或方案自身就能合理利用，此外，由于自动化需求变高，未来以 API 或其他标准化的方式提供威胁情报将是个发展趋势。具体说来，威胁情报的价值并不在于发现 APT，它真正的价值实际上是让大家把所有的跨厂商，跨品类的安全设备，安全体系连起来，甚至把跨体系的安全组织也利用起来，大大提升应急响应能力和分析能力。美国的 IACD （集成的自适应网络安全防护框架）就是在做这种体系化的事情。

可以说，自动化、标准化、体系化将是威胁情报发展的必由之路。