在針對組織內部研究是否有潛在漏洞之前,更重要的是對公司內部的資產有更詳細的調查,比起一直檢查Cisco設備有沒有新的zero-day漏洞,但公司內部全部只採購Juniper設備為何要去看其他家廠商的威脅情報,只有完成所有組織內有在使用的軟、硬體跟系統之後,再去檢查其他對接設備的潛在漏洞也不遲
而要檢查的話可以制定威脅模型來檢測,威脅模型是為了定義出攻擊者的樣態,所以會從現實世界的惡意組織收集真實攻擊的行為,之後剖析其技術如何針對哪一個人/組織、使用何種技術、針對何種系統以及哪種軟體,有了這模型就能夠預測出如果我們的系統被攻擊後會對其他設備造成多少傷害
威脅情報是指那些已經被受害組織整理出來的資料,可能是該公司內部的安全團隊,也可能是由外部第三方紅隊公司數位鑑識出來的報告結果,組織透過威脅模型針對有效攻擊公司的取得威脅資料,這些資料之後在法庭上可作為有效證據,但要注意的是只有攻擊成功的結果、log等才能作為威脅情報,公司內早已存在的Exploit並非威脅情報,不過有時也能協助作為找出威脅情報
舉例來說威脅情報發生於近期最新的惡意組織或攻擊者使用的手法解析出來,而這些攻擊行為當下對於其他公司還有效造成危害,使得一些公司暴露於潛在威脅之中,要說安全資訊跟威脅情報有何區別的話,最大差異就是安全資訊只會根據某個特定的組織做特定情境的研究,然而威脅情報從現實中學習,能夠幫助其他企業組織採用相關對策改善內部系統流程、策略以及管控機制
