一、草船借箭

大東：之前我們談了應急響應全球化之錦囊。提問時間到：小白，你覺得在數(shù)字中國建設背景下，應急響應能力建設應該考慮哪些方面呢？

小白：那就是要圍繞“預”這一科學目標從“三優(yōu)”維度分析，即優(yōu)勢、優(yōu)化、優(yōu)先。

大東：不錯，看來上一講的知識消化良好，提出表揚。

小白：謝謝東哥。

大東：咦，你在看《三國演義》??！

小白：是的東哥，正所謂“不謀萬事者不足以謀一時，不謀全局者不足以謀一域”。這本書里面很多戰(zhàn)略思想和妙計可以觸發(fā)戰(zhàn)略思維的升級。比如我現(xiàn)在看的“草船借箭”這部分，就是孔明充分估計了戰(zhàn)局形勢，剖析了敵我優(yōu)勢劣勢，開展了場景推演后，執(zhí)行的優(yōu)選策略，令人擊節(jié)！

大東：你說的沒錯，看來是總結了很多，思考了很多。草船借箭這部分的故事，我也很喜歡，而且我覺得，這部分故事與威脅情報有關。

小白：東哥速速道來，我已迫不及待~~

二、 事先：“四量

大東：我們今天的主題仍然是威脅情報全球化網(wǎng)絡建設的中觀分析，也就是妙計，那么就要從威脅情報的“四量”說起。

小白：何為“四量”?

大東：存量、增量、變量、能量。

小白：懂了，我認為存量是大東話安全的網(wǎng)安熱點事件庫。全球化網(wǎng)絡建設下，威脅情報的流動性和復雜性增加了不少，因此可以根據(jù)安全事件的歷史發(fā)展脈絡探尋期內(nèi)生邏輯和演進規(guī)律。

大東：是的，這也意味著可以建立一個強大的全球合作網(wǎng)絡來共同盤點存量，分析規(guī)律。

小白：上次東哥提到的共享機制，也可以面向存量歷史事件庫遞進式開展，以便及時了解全球威脅動態(tài)。

大東：你說的沒錯。增量，就是根據(jù)歷史事件升華凝練的安全情報庫，這個理念你可以借用稀疏矩陣的映射邏輯來類比。

小白：那么什么是變量呢？

大東：其實，存量和增量都是都是聚焦于網(wǎng)安威脅情報領域，但是網(wǎng)安事件的深度分析還需要進一步考慮帶外情報，譬如跳出網(wǎng)安領域從全球產(chǎn)業(yè)鏈視角做產(chǎn)業(yè)情報分析，得出的威脅帶外情報庫可以稱為“變量”。產(chǎn)業(yè)情報庫的功能就是結合產(chǎn)業(yè)行業(yè)的情報信息，更全面分析威脅情報的來源和目標。

小白：明白，而且產(chǎn)業(yè)情報觀測視角也需要不斷更新，以及時動態(tài)調整，適應不斷變化的威脅情報發(fā)展形勢。

大東：“能量”可以理解為面向產(chǎn)業(yè)數(shù)字化場景的、具有網(wǎng)絡威脅應對能力的沉淀庫，因此產(chǎn)業(yè)數(shù)字化場景庫的構建至關重要，這樣才能夠對威脅情報的推演和預測提供背景和環(huán)境。能量聚合是四量的核心目標，可以用一個“積”字加以概括。

小白：明白了。

大東：你有沒有發(fā)現(xiàn)，這“四量”內(nèi)部也有一個“由窄到寬”的演變規(guī)律？

小白：嗯， 發(fā)現(xiàn)了！

大東：非常好，你已經(jīng)get到了要點。

三、 事前：“四知”

大東：小白，“四知”你知道嗎？

小白：之前的《兩個情》講過已知和未知，是和這個有關系嗎？

大東：應急響應下的威脅情報“四知”為：應知、深知、專知和先知。

小白：怎么講？

大東：首先來說“應知”。應知就是威脅情報從業(yè)人員默認應該知道卻往往不知道的情報。比如，已經(jīng)存在很久的Nday漏洞的情報，而網(wǎng)安有關從業(yè)人員卻對此一無所知，這就會埋下很大的隱患。

小白：那“深知”呢？

大東：“深知”已經(jīng)比“應知”遞進了一個層次，它是指在獲得了“應知”情報能力的基礎上繼續(xù)按圖索驥，探尋未知情報。通過不斷縱深挖掘事件的方式，就能更加深入地掌握安全事件的內(nèi)在演進機理和邏輯脈絡。

小白：如何挖掘呢？

大東：還是回歸到全球視角之安全事件這張圖。比如沿著勒索病毒的事件的時間軸，針對相關勒索組織情況做分類分析，可以得出勒索病毒的代碼特征是有規(guī)律可循的，這樣就可以做定向的代碼特征分析。如果進一步對其背后的勒索黑客組織開展定向研究，那么應急響應能力就會進一步提升，也就是我們常說的“只見樹木不見森林”。

小白：明白了。那么”專知”該如何理解呢？

大東：“專知”就是獨門手藝，具有獨特性。

小白：就像諸葛孔明的“木牛流馬”？

大東：有點類似。也比如錢鐘書的著作《管錐編》。其實《管錐編》里面的知識都可以公開查閱到，但是錢鐘書先生利用他強大的國學知識體系進行了一場史詩級總結，用獨特的方式將別具一格的國學知識體系呈現(xiàn)給讀者。

小白：具備“專知”能力也就是說縱使我有本事且告訴了你，你也看不懂，夠凡爾賽。

大東：的確。其實“專知”也給了我們一點啟示，就是看不懂并不代表沒有價值，而是要跳出網(wǎng)絡安全思維來分析網(wǎng)絡安全的事件，比如可以切換到產(chǎn)業(yè)鏈、供應鏈的視角去觀測網(wǎng)絡安全學科領域的演進規(guī)律，進而獲得“專知”。

小白：妙哉！那么“先知”呢？

大東：“先知”是“四知”的最高境界，也是威脅情報領域不斷探索、追尋的核心目標。

小白：我明白了，孔明的“草船借箭”豈非恰是一種“先知”，運籌帷幄，決勝千里！

大東：沒錯。

小白：那么在威脅情報領域，如何能夠成為像孔明一樣的先知呢？

大東：這就需要打通從“專知”到“先知”的閉環(huán)鏈路，不能一蹴而就。從事先、事前、事中、事后四個維度全方位開展威脅情報預警響應能力建設，實現(xiàn)對威脅情報了如指掌的戰(zhàn)略目標。

小白：是的。我又想到了“蔣干盜書”這個故事，周瑜對蔣干的所有行為、心態(tài)都已經(jīng)開展了全方位的揣摩、推演，所以也是“先知”的經(jīng)典案例?。?/p>

大東：《三國演義》類似的先知故事很多，像陸遜的“火燒連營”，諸葛亮的“鐵鎖連舟”，曹操的“烏巢燒糧”等，也都是窮盡場景推演進而決勝千里的“先知”典例，值得我們借鑒、思考。通過這些案例，我們不難發(fā)現(xiàn)，其實這些“先知”，作為威脅情報的關鍵性輸入，大多會對戰(zhàn)機的把握起到關鍵性作用。

小白：嗯嗯，活學活用最關鍵。

大東：我們小結一下，“四知”的核心目標可以用一個“知”字加以概括。俗話說“知己知彼百戰(zhàn)不殆”，到底是真知己還是假知己，誰也不知道，這就是“應知”要解決的問題：我以為我知道了，其實我不知道，這就是應知的未知，所以要構建應知能力；建立了應知能力才能繼續(xù)構建深知、專知，最終實現(xiàn)“知”目標。

小白：嗯嗯。

大東：要不“四知”能力建設的演變規(guī)律你提提？

小白：我想應該是——“由淺入深”對嗎？

大東：孺子可教也！

四、事中：“四跑”

大東：其實事中這一階段，可以用“四跑”理論來解釋概括。

小白：“四跑”就是你經(jīng)常說的會跑、跟跑、并跑、領跑？

大東：對的。事中代表著安全事件正在發(fā)生中，這個時候就需要網(wǎng)安應對能力跑起來。

小白：會跑我理解就是要建立全天候全流量全局性的態(tài)勢感知能力。

大東：那么跟跑呢？

小白：跟跑我理解就是要及時跟蹤全球威脅情報能力演變情況，不斷優(yōu)化現(xiàn)有的安全防護能力。

大東：理解得不錯，并跑呢？

小白：并跑我理解就是應對能力要達到全球標準，也就是說要具備與時俱進的能力。

大東：如果是面向數(shù)字政府這種場景，需要如何設計？

小白：我認為應該充分利用基礎運營商的網(wǎng)絡資源，全面提升資產(chǎn)測繪、威脅監(jiān)測、威脅預警、威脅處置、攻擊溯源、情報協(xié)同、攻防一體的安全服務能力，從而實現(xiàn)全方位感知網(wǎng)絡空間安全態(tài)勢，協(xié)助有關部門快速梳理互聯(lián)網(wǎng)資產(chǎn)暴露面，解決國內(nèi)外非法網(wǎng)絡攻擊的監(jiān)測預警、情報協(xié)同問題，縮短“感知-行動-決策-響應”周期。

大東：沒錯。所以，這就要求面向威脅情報的安全運營能力實現(xiàn)從應急到應對的提升。那么，領跑呢？

小白：我理解是不是就要從建立數(shù)字指標標準的目標出發(fā)，譬如統(tǒng)一多元數(shù)字安全韌性能力建設體系，從韌性指標出發(fā)，充分考慮抗毀、彈性、快速重構等設計目標；同時，還可在大模型的基礎上，智能構建推演持續(xù)豐富深化的應用場景，這樣就可以穩(wěn)步實現(xiàn)“領跑”能力。

大東：講的非常好。四跑的核心目標是“處”，實施處置，減少損失。

小白：那么“四跑”內(nèi)部的演變規(guī)律，應該是由內(nèi)而外對吧？

大東：恭喜你啊，都會搶答了！

五、事后：“四因”

小白：那么在威脅情報全球化建設過程中，事后這一階段妙計如何實施？

大東：這部分可以通過“四因”脈絡來詮釋。四因是指誘因、起因、成因、歸因，通過總結經(jīng)驗最終推出原因。

小白：這個有具體應用案例嗎？

大東：你想一想今天的主題~

小白：草船借箭？

大東：沒錯。“四因”完全可以借助草船借箭的案例來詮釋。你覺得草船借箭的誘因是什么呢？

小白：三國演義里赤壁大戰(zhàn)之前，兩方實力不對等，吳蜀缺箭，那就得想辦法。辦法也許不一定是借箭，也可以造箭，反正得想辦法把缺箭的短板補齊。

大東：是的。這就是草船借箭這個故事的誘因。

小白：那么，起因是?

大東：這件事的起因是周瑜故意提出限十天內(nèi)造十萬支箭想難為諸葛亮，諸葛亮卻在魯肅的幫助下巧妙地借到了箭，實現(xiàn)了攻防優(yōu)勢逆轉。

小白：那么成因呢？

大東：成因就是這個事情直接辦成的原因。你覺得有哪些呢？

小白：我覺得主要是因為當時赤壁鏖戰(zhàn)一觸即發(fā)，曹軍處于實時備戰(zhàn)狀態(tài)，所以才會有大量弓箭，這才讓諸葛亮撿了便宜。

大東：這是一個原因。另外，還有一個原因就是魯肅幫助諸葛亮籌措了大量草船，大霧的天氣也天然阻礙了曹軍的視域，幫了孔明的忙；而且，借箭這招史無前例，曹軍想破腦子也無法想出。

小白：妙哉，那么歸因呢？

大東：歸因當然是諸葛亮算無遺策、料事如神?。〔懿龠@個對手太牛了，難怪栽跟頭。

小白：確實啊，能贏了曹操的人翻遍《三國演義》也是屈指可數(shù)的。

六、小白內(nèi)心

小白：今天東哥的“四量”、“四知”、“四跑”、“四因”真是精彩絕倫，我得好好消化一下。下一講，是不是要講“靠譜”啦！讓我們拭目以待吧！