應急響應建立威脅情報包括哪些方面

應急響應建立威脅情報包括以下方面：

• OODA模型：在實際的我們采用的是OODA循環（又叫博伊德環）模型，它是由Observation觀察、Orientation判斷、Decision決策、Action執行四個步驟，將行動前的動作，進行了一步步分解。這些步驟，可以讓我們的行動，有據可依，通過這個循環，則可以讓我們的行動更加系統化、理性化。

• 情報獲取：在情報收集這一塊，可以跟各家安全廠商溝通，希望能免費幫忙提供威脅情報支持，當然在資金充足的情況下，也可以采用付費訂閱的方式每周或每天發送至工作郵箱。

• 情報分析：可以根據漏洞利用的難易程度，受影響范圍，還有網上是否已經有POC來進行區分，也就是優先級，一般我們都會選擇遠程代碼執行，任意代碼執行，exp，poc的漏洞優先進行分析，這樣可以盡量快速的處理，畢竟每個企業的安全人員都是非常少的。

• 情報決策：一般我們都會將寫個情報分析報告，其中會包括情報來源，情報類型，可利用情況，修復方式，受影響的資產，是否已有poc，等，從而得出一個風險級別，發送給領導決策，審閱，一般高危以上的情報，且單位也有受影響的資產，這時都會直接找領導現場溝通，待同意后再進行下一步操作，切記，郵件一定要領導審閱。

• 情報處置：針對已篩選出的情報，領導也審閱完成，這時就根據內部的規范流程，準備好應急處置的方案，受影響的資產，反饋表等，提交流程給開發團隊，對漏洞進行修復處置，這時我們也需要跟進驗證漏洞的修復情況，直至修復完成。

回答所涉及的環境：聯想天逸510S、Windows 10。