Een threat intelligence feed (TI feed) is een voortdurende stroom van gegevens met betrekking tot potentiële of actuele bedreigingen voor de veiligheid van een organisatie.
Intelligence, in het leger en andere contexten waaronder het bedrijfsleven en de beveiliging, is informatie die een organisatie voorziet van beslissingsondersteuning en mogelijk een strategisch voordeel. Threat intelligence data feeds voorzien gebruikers van constant bijgewerkte informatie over potentiële aanvalsbronnen.
Bronnen van threat intelligence data omvatten gratis indicator feeds, betaalde feeds, bulletins, interne inlichtingenvergaring en strategische partnerschappen. Organisaties binnen de netwerkbeveiligingsgemeenschap, waaronder SANS en CERT, stellen open source TI-feeds vrij ter beschikking. Van dergelijke feeds wordt soms gezegd dat zij eerder uit dreigingsgegevens dan uit dreigingsinformatie bestaan, omdat de gegevens niet zijn geanalyseerd en verwerkt, zoals de term intelligentie impliceert. Andere opties zijn commerciële producten die gescreende en geaggregeerde gegevens leveren en gesloten gemeenschappen voor informatie-uitwisseling die specifiek zijn voor bepaalde bedrijfstakken of aandachtsgebieden.
Volgens beveiligingsingenieur Matthew Cwieka brengen gratis feeds de meeste uitdagingen met zich mee op het gebied van nauwkeurigheid, maar zelfs informatie uit betaalde feeds en bulletins moet worden onderworpen aan regressietests en IP-adressen en domeinen moeten worden onderzocht om te voorkomen dat per ongeluk te veel adressen worden geblokkeerd.
Zie een DefCon-presentatie, "Het meten van het IQ van uw feeds met informatie over bedreigingen."