总的来说，网络安全的焦点一直都放在了检测和响应方法上。威瑞森的2016数据泄露调查报告(DBIR)中，对手进出公司网络的时间是分钟级的，而公司发现自己被黑的时间要以天计。

传统上，缓解威胁的主要方式是封锁和阻挡。可用的工具和服务很多，防火墙、杀毒软件(AV)、入侵防御系统(IPS)、终端防护系统等等。熙熙攘攘皆为利往，攘攘熙熙皆为利来。网络罪犯们总是追逐高价值目标，经常变换战术逃避检测，而且非常精于此道。按下葫芦浮起瓢，怎么封挡都挡不住。

因此，技术人员在努力阻止坏家伙造成严重破坏，但这与公司一直关心的事务有什么联系呢？

想想一个成功(或无效)的安全策略对公司的品牌和声誉的影响吧。它对你的法规环境有何影响？是如何左右你的底线的？有些大局性的问题是无法用战术性安全方法回答或考量的。但这些问题可以被战略性和操作性网络威胁情报解决。

威胁情报栈及其与企业的联系

说到典型的威胁情报栈，人们通常会围绕“战术、技术和规程(TTP)”及其与技术方面的联系展开讨论。这里面缺失的关键性东西，是TTP与公司业务领域面临的风险之间的联系。太多的公司防御者是在缺乏资产优先级的情况下奔忙于企业防护了。他们不清楚公司运营的根基是什么，不知道公司盈利的主业是什么，不晓得保持公司成长的关键性因素长什么样子。

公司提供的每一个产品和服务，都在某种程度上依赖于技术才能成功。由于公司持续将网络威胁看做单纯的技术问题而非业务问题，他们很容易无视掉网络威胁是怎么演变为对负责该产品和服务的业务部门的直接威胁的。

想看清这一问题，帮公司减少不确定性，每个业务部门的头儿都应该先从这个简单的问题开始：从网络安全的角度，我们定位良好了吗？如果没有，为什么？良好定位意味着知晓风险，知道自己有套可接受的风险缓解措施，可最终缩减威胁界面，并准备好在必要的时候快速应对威胁。还意味着你不仅了解自家公司面临的威胁，还知道这些威胁会对产品、服务、品牌或监管态势造成何种程度的影响。

而想要答好这个问题，你得抽丝剥茧，层层剥开业务运营的方方面面。

仔细观察你的业务部门，它依赖于哪些产品和服务呢？公司对该部门的利润依赖程度有多重？该部门的战略是什么？使命或者目标是什么？他们的下一个层次是什么？然后，如果这个业务部门遭到惨痛的网络威胁损害，公司岌岌可危的东西是什么？这就是你的威胁界面。有没有什么业务领域是应该收到更多的资源投入的呢？

若要揭开另一层，你可以检查支持自家产品或服务的那些工具。查看撑起这些工具的基础设施。看看有没有什么具体的IT痛点。IT是怎么支持基础设施的？这些基础设施的维护情况怎样？外包的基础设施有多少？供应链有没有风险？最后，重点问题——信息，你需要保护的是什么，以及你的对手想要的是什么？你手里的什么信息是对手觉得有价值的？如果他们得到了那些信息，你需要担负什么责任，会产生什么监管上的影响？如果那些信息泄露，品牌和声誉会受到怎样的影响？

如果你不能回答此类问题，那就从收集情报并去掉噪音开始吧。在考虑有哪些情报可以收集的时候，要清楚情报也是分不同的用途的：

• 战术性情报——所谓的“网上行动”立足点，此类情报专为防御者改善检测和响应技术所用；
• 操作性情报——比战术性情报高一级，专注于直接操作环境，更具对手针对性；
• 战略性情报——为高管而设，用于评估网络风险，指导合适的投入和风险管理决策。

全部3种情报都有助于驱动决策和产生最终效果，但针对的是公司的不同层级。战术性威胁情报是网络安全项目部署的起点。战略性和操作性威胁情报则是下一步，是情报从技术圈走向董事会，作为更高层的公司风险进行讨论的一步。