Susan：他们(上面说的其他人)实际上比你更了解你的网络。

　　答：对，是这样的。只有当你你对环境有了深入的了解并且拥有深度防御你才会真正感到自信，我认为只有其一的策略不会是一个全面的策略的。有关环境理解另一个有趣的方面是有人从外部测试你相当重要。举一个典型的例子：我做到了深度防御和对环境的理解，因此我知道设施正在运行以及如何运行，但是设施之外的人测试之后会提醒我，我开放了各种端口、新系统已经联网了、某个事件产生了千兆字节的流量、设备已经成为了垃圾邮件的主机或肉鸡等等其他任何可能的问题，这些都等同于环境理解的一部分。现在你知道了，不管你做了什么，都不可能做到足够好、完全好。有些时候唯一的办法只能是找其他人在外部测试你的系统，然后认真考虑他们给出的建议。

　　Susan：思科提供这样的服务吗?

　　答：我们提供这样的服务，我们称这种服务为“安全智能操作”或“SIO”。它包含了两部分。第一部分，我们正在研究互联网的质量，并确保我们建立了“互联网上的恶劣区域”，然后通过各种手段：电子邮件、网页、IDS、IPS、防火墙，防止你访问到那里，同时防止那些区域尝试连接或接触到你。第二部分，由于我们通过网流量来理解网站流量的能力越来越强，而网流量对于每一个我们生产的路由来说都是“自由的”，这为环境理解提供了很多有用的信息。虽然你无法看到负载，但是你可以看到IP地址间流量的大小以及形式，这就是网流量真正的价值。

　　Susan：所以仅仅通过这样做你们就可以辨别可能的非法流量了。

　　答：的确是这样，但是它涉及到流量，所以你要问“这是怎么回事?”我试图建立的部分仅仅是为了帮助你意识到你并不是一个独立的受害者，并不需要一个人处理所有这些事情。在我看来，你最终需要定制正在研究客户总数的服务，这样你们会得到提前警告：这种情况会发生在一组客户身上---你只是肉鸡或者垃圾邮件产生系统的一部分。

　　Susan：考虑安全漏洞所带来的经营风险，企业应该成立一个独立的、类似Cisco的TOC(Threat Operations Center，威胁运营中心)并且直接向最高层管理反映问题的威胁运营单元吗?

　　答：这是一个很好的问题。从之前所述可以看出，基本上有两种获取数据的方式。一类是自动提供数据的系统SIO。通过我们每天千兆字节的数据分析，SIO使你加入一个由客户组成的社区，这些客户基本上都在通过深入的研究理解流量来帮助其他人。这是我们提供的，还有另外一种更加手动的方式。当你有一个已经知道的漏洞，你需要查看漏洞以及漏洞的含义。

　　我认为在安全相关的问题上与其它公司合作对供应商来说非常有帮助。

　　假设有一个已经被Microsoft报告的漏洞，下面是Cisco和Microsoft为了告诉客户可以帮助他们解决漏洞时的说法：“这是有益的，因为它可以让你有事情做，而且仅仅是数据方面”;“嘿，你是脆弱的”，这很好，但不是我需要的，我需要的是“我到底需要做什么?给我一些选择和选项。”所以这就是我觉得手动获取数据的定制价值带来的帮助所在。

　　Susan：我看到的是人们很容易墨守成规。比如，你上周日做其它服务器维护并且没有什么看起来是错的，这时存在进入一种模式、惯性的趋势影响着你。显然你试图管理的网络是脆弱的，当它看起来没有明显问题时可能会存在重大的问题：事实上你的数据可能已经泄露了。

　　答：你说的很对，你看不到它并不意味着它不会发生。

　　Susan：对，的确是这样。

　　答：如果要我指出什么是你问的问题所涉及的最相关的点，我已经很大声的说出了：“确保你把基础做好。”这包括认识到未来潜在的问题，而且同样弄清你正在运行已经存在的操作并且做到了最好。这样，在真正的风险到来时，你能够缓解甚至完全接纳风险。因为往往你会思考最新的问题是你必须处理的是事实上由上周末的配置错误导致的你最大的风险，而我看到自己的团队一直在这么做。风险加上缓解措施等于风险管理。所以，我们应该先把基础做好再开始考虑更高层，先想好了策略再出发。

　　希望本次安全威胁解析能给您带来帮忙，通过讨论深思解决自身的安全漏洞。

(责任编辑：)