组织机构必须响应数量巨大的安全漏洞和攻击行为

(3)组织机构必须响应数量巨大的安全漏洞和攻击行为，因此如何有效的找到需要优先应对问题成为关键；

攻击数量的庞大以及持续性攻击的出现，使用传统的安全分析方式难以应对。传统的信息安全分析停留在处理过程的“数据”和“信息”阶段，这些虽然在一定程度上可用于抵押安全风险，但并不足以应对当前的安全环境。以下例子可以帮助理解威胁情报与传统信息处理的区别：

一个Java的零日漏洞的利用被公开在一个安全邮件列表中，一个攻击者组织发布了一个利用此漏洞恶意软件。传统的安全分析会将这一威胁通知给客户并给出减缓的建议，这是一个非常有用的信息，但这不是威胁情报，而是威胁信息。一家监控Java漏洞的安全厂商注意到该恶意在亚太地区的感染率远高于美国，并且发现此恶意代码会在用户计算机设备上安装该恶意代码并控制该计算机加入僵尸网络，并且下载与被控制系统相关联的新变种恶意代码。与此同时，一家大型的金融机构宣布若干可能导致大量消费者愤怒的政策，使得大量的消费者开始讨论针对该金融机构的抗议活动。一个黑客活动推特的账户上发布了使用该僵尸网络和控制软件的方法。将这些信息关联起来可以得到这样一个可能的风险：美国的银行极有可能被黑客团体作为利用基于Java漏洞的僵尸网络进行DDoS（分布式拒绝服务）攻击的目标，由于亚洲是最大的僵尸网络感染区域，因此大量的攻击可能来自亚洲的IP地址。根据这个威胁分析，相关银行就可以根据此风险采取相应防御措施。这才是威胁情报分析价值，信息被从分散的来源收集起来，通过人为分析合成，去辨识出针对某一特定目标的特定威胁。