總的來說，網絡安全的焦點一直都放在了檢測和響應方法上。威瑞森的2016數據泄露調查報告(DBIR)中，對手進出公司網絡的時間是分鐘級的，而公司發現自己被黑的時間要以天計。

傳統上，緩解威脅的主要方式是封鎖和阻擋。可用的工具和服務很多，防火墻、殺毒軟件(AV)、入侵防御系統(IPS)、終端防護系統等等。熙熙攘攘皆為利往，攘攘熙熙皆為利來。網絡罪犯們總是追逐高價值目標，經常變換戰術逃避檢測，而且非常精于此道。按下葫蘆浮起瓢，怎么封擋都擋不住。

因此，技術人員在努力阻止壞家伙造成嚴重破壞，但這與公司一直關心的事務有什么聯系呢？

想想一個成功(或無效)的安全策略對公司的品牌和聲譽的影響吧。它對你的法規環境有和影響？是如何左右你的底線的？有些大局性的問題是無法用戰術性安全方法回答或考量的。但這些問題可以被戰略性和操作性網絡威脅情報解決。

威脅情報棧及其與企業的聯系

說到典型的威脅情報棧，人們通常會圍繞“戰術、技術和規程(TTP)”及其與技術方面的聯系展開討論。這里面缺失的關鍵性東西，是TTP與公司業務領域面臨的風險之間的聯系。太多的公司防御者是在缺乏資產優先級的情況下奔忙于企業防護了。他們不清楚公司運營的根基是什么，不知道公司盈利的主業是什么，不曉得保持公司成長的關鍵性因素長什么樣子。

公司提供的每一個產品和服務，都在某種程度上依賴于技術才能成功。由于公司持續將網絡威脅看做單純的技術問題而非業務問題，他們很容易無視掉網絡威脅是怎么演變為對負責該產品和服務的業務部門的直接威脅的。

想看清這一問題，幫公司減少不確定性，每個業務部門的頭兒都應該先從這個簡單的問題開始：從網絡安全的角度，我們定位良好了嗎？如果沒有，為什么？良好定位意味著知曉風險，知道自己有套可接受的風險緩解措施，可最終縮減威脅界面，并準備好在必要的時候快速應對威脅。還意味著你不僅了解自家公司面臨的威脅，還知道這些威脅會對產品、服務、品牌或監管態勢造成何種程度的影響。

而想要答好這個問題，你得抽絲剝繭，層層剝開業務運營的方方面面。

仔細觀察你的業務部門，它依賴于哪些產品和服務呢？公司對該部門的利潤依賴程度有多重？該部門的戰略是什么？使命或者目標是什么？他們的下一個層次是什么？然后，如果這個業務部門遭到慘痛的網絡威脅損害，公司岌岌可危的東西是什么？這就是你的威脅界面。有沒有什么業務領域是應該收到更多的資源投入的呢？

若要揭開另一層，你可以檢查支持自家產品或服務的那些工具。查看撐起這些工具的基礎設施。看看有沒有什么具體的IT痛點。IT是怎么支持基礎設施的？這些基礎設施的維護情況怎樣？外包的基礎設施有多少？供應鏈有沒有風險？最后，重點問題——信息，你需要保護的是什么，以及你的對手想要的是什么？你手里的什么信息是對手覺得有價值的？如果他們得到了那些信息，你需要擔負什么責任，會產生什么監管上的影響？如果那些信息泄露，品牌和聲譽會受到怎樣的影響？

如果你不能回答此類問題，那就從收集情報并去掉噪音開始吧。在考慮有哪些情報可以收集的時候，要清楚情報也是分不同的用途的：

戰術性情報——所謂的“網上行動”立足點，此類情報專為防御者改善檢測和響應技術所用；

操作性情報——比戰術性情報高一級，專注于直接操作環境，更具對手針對性；

戰略性情報——為高管而設，用于評估網絡風險，指導合適的投入和風險管理決策。

全部3種情報都有助于驅動決策和產生最終效果，但針對的是公司的不同層級。戰術性威脅情報是網絡安全項目部署的起點。戰略性和操作性威脅情報則是下一步，是情報從技術圈走向董事會，作為更高層的公司風險進行討論的一步。