然后：度过美好的时光

我曾经在 2000 年到 2002 年运行过 IRT，当时（被认为）最大的威胁来自本地脚本小子。

我们使用白板和原始 RDBM（顶部没有 GUI 或应用程序）来跟踪个人、他们的昵称、已知的成功攻击、团体隶属关系、内部竞争等。

我们对这些人及其所作所为的了解比我们在法庭上所能证明的要多得多——但他们并不知道这一点，所以有时参与各种 IRC 频道是有帮助的。我们估计我们花在跟踪和“提醒”他们我们存在上的时间比我们在清理他们所花费的时间要少。

现在：咨询您的风险评估

虽然这些天我更喜欢定期睡觉而不是 IR，但我怀疑对于成熟的企业 IR 团队来说，如今追踪攻击者的财务意义要小得多。许多攻击者是位于很远的犯罪团伙或情报机构。研究个人和与适当的 LE 联络所需的时间将以几周或几个月而不是几小时或几天来计算。

所以，我认为企业 IRT 不会收集关于攻击者的情报，如果他们这样做了，我可能会质疑他们的风险评估。我很难想象这样一种情况，一家公司对花钱了解谁在试图攻击他们毫无兴趣。

商业/出租 IR 商店、LE 和情报机构的成本/收益分析显然非常不同，但这些都不符合我书中的“成熟 CIRT”一词。

我不是 IRT 的成员，但确实与我在 BSides/RSA 外出时的一些人交谈过，当然还有最关心 APT 的团体（如 Beijtlich、电力公司等）似乎花了研究方面的大量资源。

一些不同的观点 - 专门针对 APT 进行防护的安全专业人员将其视为战争，情报可以从任何来源（包括间谍活动）通过事物的声音获得（尽管他们非常痛苦地指出他们不会屈从于一些外国势力可能的水平）

对于电力公司和关键的国家基础设施而言，重点更多地放在试图了解是否预计在不久的将来会发生攻击——因此更多地关注 IRC 类型的聊天。