随着数字化转型的深入发展，网络安全工作已经得到企业组织的高度重视。但是在很多企业中，还是将安全建设的重心放在如何响应和处置已经发生的安全事件上，这样的防护模式并不能减少企业未来面对的安全风险。在此背景下，研究机构Gartner提出，企业组织应该将网络安全工作的重心从被动事件响应转向主动威胁管理。

       Gartner副总裁级分析师Jeremy D’Hoinne认为，通过鼓励安全团队采用主动的风险管理心态，将会有效改善企业内、外部的安全态势，并可为企业长期安全管理战略的转变提供决策支撑。因为主动威胁管理并不关注攻击事件本身，而是关注攻击路径，站在攻击者的角度去思考攻击可能发生在哪里，以及可能采用的攻击战术和实施手段。为了实现主动威胁管理的防护目标，组织需要完成以下五个关键步骤。

步骤1：界定组织的攻击面

       云计算的快速应用，及远程办公方式的兴起，直接导致现代企业组织的网络攻击面迅速扩大，并导致联网架构出现越来越多的盲点。因此，要实现有效的网络威胁主动管理，首先要从界定组织的攻击面做起，全面跟踪数字化环境中所有变化的因素并及时清点数字化资产。界定攻击面的最终目的是，确保组织中没有暴露的资产未受监控，最大限度地消除安全盲点。

步骤2：持续进行资产发现

       为了准确识别和界定攻击面，组织需要通过探测互联网数据集和证书数据库，或模拟攻击者的入侵方式，全面分析组织的数字资产，并针对所发现的安全缺口，寻找实用的应对方法。很多组织会将界定攻击面和资产发现相混淆，已发现的资产和漏洞的数量本身并不代表成功，基于业务风险和潜在影响准确地识别未知资产和新增资产对企业更加重要。做好主动威胁管理的基础是要持续量化资产暴露面和风险问题，并且提供针对性的治理。

步骤3：评估威胁优先级

       尽管企业暴露的IT资产很多，但并不是所有的资产漏洞黑客都会感兴趣。攻击者通常会从一个最容易被利用的弱点切入，进而攻破重要系统，造成数据篡改、信息泄露、病毒勒索等安全事件的发生。对网络威胁进行优先级评估的目的不是为了解决资产上的每一个安全问题，而是要将有限的资源和精力，优先投入到防护最紧急的威胁。优先级的确定应该考虑以下因素：

威胁的紧迫感；
威胁的严重性与破坏性；
相应安全控制措施的可用性；
对相关威胁风险的容忍度；
企业面临的风险等级。

步骤4：开展有效性验证

      根据Gartner的定义，在主动威胁管理的要求中，会明确涉及威胁有效性验证的要求，因此企业的安全团队不能只聚焦于识别发现和评估通知的能力，同样应当具备攻击有效性验证核查以及收敛攻击面的能力。从技术角度，融合验证收敛能够提升识别验证与处置的效果，防止大范围误报、海量告警无从处理的情况发生。从管理角度，开展攻击有效性验证也保证了流程的闭环，避免只告警待整改、不整改的情况发生。

      实践表明，攻击验证应当整合平台自动化验证以及安全服务涉及的专家验证，其中自动化验证能够尽速缩减验证范围，提升人员验证的效率；而专家验证可以基于自动化验证结果，也可基于专门场景。

步骤5：实施完善的威胁管理计划

      主动威胁管理是一种更加务实且有效的系统化威胁管理方法，可以有效降低组织遭受网络安全攻击的可能性。通过优先考虑高等级的潜在威胁处置，CTEM实现了不断完善的安全态势改进，同时还强调有效改进安全态势的处置要求。主动威胁管理工作的开展需要一套完善的实施计划，并遵循治理、风险和合规性（GRC）的要求。

      在实施主动威胁管理计划时，虽然自动化技术有助于解决一些明显或不明显的问题，但企业不能完全依赖它。企业应该将主动威胁管理计划传达给安全团队所有成员和其它部门的利益相关者，确保大家都已充分了解。实施完善的威胁管理接话，可以减少审批、实施过程或缓解部署等方面的障碍，确保团队将主动威胁管理中发现的问题及应对措施诸实施，并将跨团队的协同工作完整记录。