优秀的网络威胁分析师懂得何时“结论先行”（BLUF） 

在网络安全领域，表达方式与内容本身同样重要，甚至更为关键。

来看个思考实验：

假设您是全美最大输油管道企业的CEO。您已收到威胁情报简报的通知，分析师发现两个可能影响公司的重大网络威胁。

您会优先处理哪个威胁？  

• 威胁 1：“某勒索软件组织正针对其他能源企业，锁定关键数据直至支付赎金。如果其勒索软件入侵我们的网络，预计可能导致 100GB 数据被加密。”

• 威胁 2：“过去几个月里，一种极具破坏性的恶意软件已攻击多个关键基础设施系统，导致核心服务停摆。如果该软件渗透到我们的网络，预计将迫使输油管道全面停运一周。”

这是陷阱问题。这两种威胁描述的都是同一次攻击：2021 年 Colonial Pipeline 勒索软件攻击，这是美国历史上针对石油基础设施的最大规模网络攻击。恶意黑客当时切断了承担东海岸 45% 燃料供应的管道，迫使受害者支付 440 万美元的赎金。(司法部后续追回了部分赎金）。

尽管描述同一事件，两份报告的紧迫感却天差地别。威胁 1 听起来严重，但威胁 2 才让人立刻想全员动员。

威胁 2 给人的感觉更加紧迫，因为它聚焦于业务影响，而不是技术细节。不幸的是，威胁分析师经常会误解这一点，从而导致网络安全团队和企业管理层之间出现沟通隔阂。  

这种隔阂绝非小事。它可能让企业暴露在各种攻击之下。 

每个人都是如此

一方面，我们网络安全专家并不总是用商业语言来表达我们的洞察分析。我们总爱用技术术语沟通：威胁参与者和恶意软件病毒的名称、IOC、CVE 和 CVSS 评分以及各种专用缩写。

这些行话对我们很有意义，但对需要获取信息的决策者却收效甚微。 

另一方面，业务领导可能对网络安全的作用及其真正价值认知也存在偏差。网络安全常被视作“打勾任务”，即遵守某些规则以避免罚款或获得认证。 

这种思维将安全矮化为预算科目中的成本中心，而非降本增效的竞争优势。 

结果，当我们坐在会议桌旁时，双方总是各说各话。这将产生重大后果。如果安全威胁无法用商业语言传达，企业可能低估风险，或以“似乎不值得”为由拒绝某些安全投资。

最后直到灾难发生。 

但没有人喜欢听“我早就告诉过你了”之类的话语，当然也无法赢得高管团队的信任。 

同样，网络安全专家并不完全是造成这一隔阂的罪魁祸首。但我们恰恰是破局的关键。

如果我们以对企业领导者重要的商业语言进行沟通，就可以更好地协调整个组织的威胁管理优先级和安全控制。

反过来，这种统一认知使安全团队更容易赢得对其建议的支持。随着时间的推移，安全投资获得回报，企业开始将安全视为真正的价值创造者。 

以下是安全团队可以解决这一隔阂的四个沟通技巧： 

我们容易关注可能发生的事情：可能实现的攻击、可能易受攻击的系统、可能出现的威胁参与者。 

企业领导者往往对实际发生的事情更感兴趣：我们阻止了多少攻击，修复了哪些漏洞。

从某些方面来说，这是积极的现象。首先，这是对安全团队信任的标志。企业领导者不需要了解每一种可能性，因为他们相信我们能够阻止大多数（如果不是全部）的可能性。 

这也让我们能更多地宣传我们的成功，通过报告我们如何成功地保护组织免受危险，来证明自身价值。 

话虽如此，我们还是需要解决这个问题。我们要强调实际情况，但也不能完全忽略潜在威胁。毕竟，我们的部分职责是识别新的网络威胁，并采取正确的安全措施来阻止它们。

您可以采取以下方法来平衡这些因素：

当新的网络威胁出现时，确定其可能性和潜在影响。然后，找到任何无需许可或新资源就能用于应对威胁的措施，并付诸实施。评估这些措施如何降低威胁的可能性和影响，然后确定威胁的总体风险级别。 

高风险威胁可能需要更多资源，应引起企业领导者的注意。 低风险威胁可以编入补充列表或顺便提及，但它们不需要占用宝贵的会议时间。  

说到威胁影响：最好将影响报告和估计锚定在确切数字和具体业务后果上。

我们安全从业者有时认为漏洞是不言而喻的坏处。如果系统中存在某个缺陷，您想修复它，因为它是缺陷。 

但在安全之外，漏洞的存在本身可能不足以成为动机。

部分原因是，我们经常以抽象的方式讨论漏洞：“我们的系统容易受到新型勒索软件的攻击，这些勒索软件绕过了我们现有的许多控制措施。我们建议实施新的勒索软件防护措施，成本为20万美元。”

这是一个合理的建议，但 20 万美元显得价格不菲。决策者可能会对这种投资望而却步，尤其是如果唯一的理由是像“阻止勒索软件”这样不具体的东西。

请考虑一下这种说法：“我们的系统容易受到新型勒索软件的攻击。我们分析了类似组织发生的事件，这些勒索软件攻击造成的损失平均每天高达 200 万美元，这既包括业务损失，也包括修复成本。我们建议以 20 万美元的成本实施新的勒索软件保护措施。” 

现在，我们谈论的花费 20 万美元不是为了“阻止勒索软件”，而是为了阻止组织每天损失 200 万美元。这似乎是笔不错的交易。 

我们网络安全专家倾向于谨慎行事。但对于许多企业来说，最佳风险量并不是零。 

想想信息安全的经典 CIA 三元组。它指出，一个安全的信息系统需要具备保密性、完整性和可用性。 

换句话说：敏感数据和系统必须受到保护，但也必须可供员工使用。这种平衡很难实现。严格的保护可能会确保系统安全，但对生产率造成的影响并不总是值得的。

例如，我们中的一个人曾在一家媒体公司工作，该公司对员工使用的技术类型限制相对宽松。这一政策为不受管理的影子 IT 和危险浏览提供了机会，但它也允许员工快速、动态地研究正在开发的存储。这项活动是公司业务模式的核心，因此组织愿意接受随之而来的风险。  

通过对风险含义的共同理解，网络安全团队可以采取满足安全需求的策略和工具，而不会中断业务运营。 

请注意，就风险承受能力达成一致并不意味着网络安全总是向业务让步。网络安全团队可以而且应该利用他们的专业知识来影响企业对风险的理解。

我们中的一个人记得一个特定的威胁情报简报。该简报将特定攻击确定为低风险，但一位高管表示反对。他认为风险水平应该更高，因为该组织过去曾遭受过这种类型的漏洞。

威胁情报团队指出，从那时起，环境已经发生了变化。该组织安装了保护措施，以降低此类攻击的可能性和严重性。此外，该威胁最近并未针对像该公司这样的组织。   

高管听取了此案例并同意了低风险评估。如果我们没有花时间就风险承受达成一致，我们最终会浪费时间和资源在几乎没有危害的威胁上。

最后一点是最简单的，但也许是最有影响力的。它既不需要思维方式转变，也不需要战略重新定向。相反，它是我们报告撰写方式的微小结构性变化。

我们谈论的是 BLUF-ing，也就是“结论先行”。

尤其是在威胁情报界，我们习惯于制作长达 20 页甚至 30 页的详细报告，深入探讨我们必须分享的所有新信息。

我们可能觉得这很有趣，但许多高管看了之后却认为“TLDR”（即太长没看）！

BLUF 意味着开门见山：这就是发生的事情。以下是您需要担心的问题。以下是形势评估以及我们认为应该对此采取的措施。

报告的其余部分仍可深入挖掘，供有需要的读者参考。但是，一份基于相关事实、具体细分和易于理解的总结，通常足以让商业领导者做出明智的决定。 

要解决网络安全沟通隔阂，我们最终需要做的是将行业技术术语翻译成一种能与商业领导者产生共鸣的紧迫性和影响的语言。

通过改变沟通方式，我们还可以改变企业对安全的看法：从另一项项目变成帮助组织运营、创新和发展的关键投资。