A threat intelligence feed (TI feed) é um fluxo contínuo de dados relacionados a ameaças potenciais ou atuais à segurança de uma organização.
Intelligence, no contexto militar e outros contextos, incluindo negócios e segurança, é informação que fornece a uma organização suporte a decisões e possivelmente uma vantagem estratégica. Threat intelligence data feeds fornecem aos usuários informações constantemente atualizadas sobre potenciais fontes de ataque.
As fontes de dados de inteligência de ameaças incluem feeds indicadores gratuitos, feeds pagos, boletins, coleta de inteligência interna e parcerias estratégicas. Organizações dentro da comunidade de segurança de rede, incluindo SANS e CERT, tornar o código aberto TI feeds livremente disponível. Tais feeds são por vezes ditos como consistindo em dados de ameaça em vez de inteligência de ameaça porque os dados não foram analisados e processados, como o termo inteligência implica. Outras opções incluem produtos comerciais que fornecem dados vetados e agregados e comunidades fechadas de compartilhamento de informações específicas para indústrias ou áreas de foco particulares.
De acordo com o engenheiro de segurança Matthew Cwieka, feeds gratuitos trazem os maiores desafios em termos de precisão, mas mesmo as informações de feeds e boletins pagos devem ser submetidos a testes de regressão e ter endereços IP e domínios investigados para evitar bloquear acidentalmente muitos endereços.
Veja uma apresentação DefCon, "Medindo o QI dos seus feeds de inteligência de ameaças"