本节书摘来自异步社区《请君入瓮——APT攻防指南之兵不厌诈》一书中的第3章3.2节在网络对抗中应用CI思想，作者【美】Sean Bodmer , Max Kilger , Gregory Carpenter , Jade Jones,更多章节内容可以访问云栖社区“异步社区”公众号查看。

3.2 在网络对抗中应用CI思想
请君入瓮——APT攻防指南之兵不厌诈
在前文中我们介绍了网络间谍时代（或网络战条件）下传统CI工作的关键环节。您有没有想过，在网络对抗中究竟如何将上述知识活学活用呢？

首先要舍弃在传统安全领域学到的一切。在处理攻陷的主机时，很多单位的应对策略仅仅是简单地“隔绝网络”，“通过恢复镜像重新安装业务系统”，“调整上线”。他们认为这样就可以完全清除恶意软件的感染。而实际情况是另外一码事：只要弱点未被排除，网上某处的某人仍然有机会卷土重来。

网络世界中，差不多所有的事件都可以被记录、检测、鉴定、分析、推演、追踪、确定。而您必须搞清的情况，仅有“寻找着手点”这一件事。为了理出头绪，您要做好决心使出吃奶的力气分析所有可用的、任何形式的情报。毕竟，全部观测结果都可以用来反击入侵者、您的对手，或者是威胁。虽然网络都会有这样那样的缺陷和不足，但是只要充分利用各个数据源，您仍然能够洞察真相，找到幕后黑手的微弱信号。如果无法控制、分析企业网络里的所有数据源，情报分析人员就不能通过关联分析的手段有效地对数据进行识别、分类和利用1。

1译者注：即，调查人员要充分利用主场优势，因地制宜开展工作。
本文仅用于学习和交流目的，不代表异步社区观点。非商业转载请注明作译者、出处，并保留本文的原始链接。