楔子：没有发现威胁，就不可能有效的组织响应活动。

随着企业IT成熟度的提升，很多企业或机构已经出现了IT运行作战室模式，例如：DR-WR（Disaster Recovery War Room，灾难恢复作战室）就是典型的运行作战室模式，DR-WR基于灾难假设，当灾难（例如：地震、海啸、台风、滑坡等自然灾害）发生时，生产中心遭受的损害程度到达一定阈值，则将生产任务迁移或局部迁移到灾备中心，在未来的某一时间点进行恢复回切。由以上案例可以看出，上一代作战室以事件（Event）为导向，设置了相应的组织机构和工作流程。

灾难恢复计划（DRP）作为网络安全控制目标的三大要素（CIA）之一的A（可用性）的重要构成部分，代表了网络安全响应方案的基本出发思路。

一、策略导向的转变

近年来，随着威胁情报概念的流行和实际应用，很多企业或机构的网络安全部门已经开始尝试使用威胁情报解决实际问题。然而，如何看待威胁情报在网络安全中的地位，以及如何将威胁情报融合进入网络安全的整体中，则是一个值得思考的问题。笔者就此分享一些观点：建立基于威胁情报导向的网络安全架构，需要企业和组织做出转变，他们包括策略导向、组织架构、人员构成、工作流程、知识驱动的转变。

策略导向，不仅仅是网络安全管理问题，从更高的层面上来讲，它还是网络安全治理层面的问题。策略的制定和执行，需要高级管理人员的持续参与和推动。从基于事件响应的策略转变到基于预判响应策略的转变，是网络安全响应策略的基本转变，也是从传统的纵深式防御到主动式防御的转变。主动式防御体系并不是对纵深防御体系（基于“知己”能力的防御部署）的颠覆，而是在其基础上，结合威胁情报（“知彼”的能力），形成的牵制为主的防御和通过情报系统建立的共防体系。

基于威胁情报的网络防御策略相对于纵深防御策略的转变，关键的两个特征是牵制和共防：

牵制—是以不牺牲防御对象为目标，对攻击者进行观察、分析和记录，从而形成对对手方的特定防御方案，在特定环境下进行快速防御的方案。牵制的决策往往在企业或机构的管理层，其实施难点在于责任的承担。

共防—通过情报交换，将受击“点”信息共享到 “面”，形成“面”（行业、区域等）防御。共防的实施难点在于共识的建立。

二、组织架构的转变

网络威胁情报分析团队成为网络安全团队的信息交换中心。从威胁情报生命周期中我们可以看到，情报分析是连接瞬息万变的现场和决策指挥的中枢环节，因此，威胁情报分析团队作为威胁分析的执行主体，必然是基于威胁情报导向的网络安全时代的核心团队。威胁情报分析团队也是对外部威胁情报（威胁组织、TTPs等）、内部情报（资产、漏洞、配置等）、现场（日志与流量）进行融合处理的团队。

由于威胁情报分析团队在新型网络安全组织中的重要性，其构成人员和方式也值得探讨，企业和机构中从事专门网络安全的人员往往是不足的，因此重构威胁情报分析团队的人员压力更大。在此前提下，我们可以参考其他成功的组织架构模式。在很多企业已经成功的建立了虚拟数据中心组织的模式，即核心成员专职从事数据工作，而来自IT各职能组、业务部门的成员，增强了数据中心的力量。参考数据中心的成功经验，企业和组织可以建立起有效工作的威胁情报中心。当然，人力资源丰富的企业可以建立起专门的情报中心。

需要注意的是，情报中心可以通过引进外部资源进行补充。

三、人员构成的转变

采用威胁情报导向的网络安全策略，配套组织需要相应的人力资源进行支撑。除了决策人员外，其最小组成能力至少包括情报分析师、网络/系统安全工程师、大数据工程师。

威胁情报分析师的主要技能是收集网络安全的内、外部情报，并进行加工处理，以及情报分析工作，情报分析师本身也需要具有网络/系统安全的基础能力，在此基础上进行分析，其技能特点是网络安全的综合分析能力、态势判断能力和根因归并能力。

网络/系统安全工程师，是具体产品或领域的专家，能够根据情报分析师的需求快速、准确的提供相应领域的支持。

威胁情报基于大数据技术，因此大数据工程师在团队中也是必不可少的角色，尤其是基于半结构化数据的数据库专家。

企业可以根据自身的威胁情报管理需求和能力构建适当的威胁情报团队。

四、工作流程的转变

从事件响应型流程向预警响应流程转变。基于威胁情报导向的网络安全，攻防双方的博弈更加激烈，攻防双方基于已知信息进行的攻防调整会使得现场瞬息万变，传统作战室按照规划的步骤执行的工作流程将面对挑战。适应性自我调整的流程才能够满足快速变化的攻防节奏。网络安全对态势研判的需求更加依赖，情报分析师作为网络安全态势研判的主要执行者，成为工作流程的重心。

威胁情报分析中心将成为工作流程的枢纽中心。威胁情报丰富的上下文信息，包括资产、漏洞、威胁、事件等诸多因素，负责网络安全的各部门、人员均以威胁情报作为活动的出发点，威胁情报发挥的协同响应作用，促使网络安全响应的从流式模型向HUB模型转变。

五、知识驱动的转变

基于威胁分析和响应的知识库将使基于事件处置的知识库更加丰富和有效，基于威胁分析和响应的知识库将使得威胁处置方法拥有更多的选择，作为阻断型防御的新型防御类型—牵制型响应将使得防御更加有效，在牵制型防御模式下，防御者可以在风险可控的前提下，尽量收集攻击者的行为习惯、工具、攻击路径和痕迹等信息，用于事后的举证。更重要的是，这些信息可以用于未来的防御，使得防御者能够在预期的时间内对同类攻击进行有效防御，这个预期时间将远远小于基于传统事件防御的时间，尤其是在监测时间上的节约更加重要（在PDRR模型中，Detect是防御链条的关键点，没有发现威胁，就不可能有效的组织响应活动）。

以2019年某知名汽车制造商遭受入侵为例，根据报道:“According to Bayerischer Rundfunk’s reports. ” The automobile company from Munich finally took the computers concerned off the grid. , the group’s IT security experts had been monitoring the hackers for months. This is the result of research by the Bayerischer Rundfunk. Also on the South Korean car manufacturer Hyundai, the hackers had it apart. ”（https://gbhackers.com/bmw-hacked/）该制造商并未采取直接阻断措施，而是针对攻击者进行了长期的跟踪观察，并进行归因分析。

最后，基于威胁情报导向的网络安全战略是动态发展的过程，滚动演进是其基本属性，因此基于威胁情报的CybSecWR也是一个不断进化的过程。