2025 m. rugsėjo 14 d.Lietuvių

Išsamus vadovas saugumo lyderiams, kaip integruoti CTI su JavaScript pažeidžiamumų bazėmis, kuriant proaktyvią, kontekstualią saugumo strategiją.

Daugiau nei CVE: „JavaScript“ saugumo stiprinimas integruojant grėsmių žvalgybą

Šiuolaikinio pasaulio skaitmeninėje architektūroje „JavaScript“ yra universali kalba. Ji valdo dinamiškas beveik kiekvienos svetainės vartotojo sąsajas, sudėtingas serverio pusės programas per „Node.js“ ir yra integruota visur – nuo mobiliųjų programėlių iki darbalaukio programinės įrangos. Tačiau šis universalumas sukuria didžiulį ir nuolat augantį atakos plotą. Saugumo specialistams ir programuotojams visame pasaulyje šios plačios ekosistemos pažeidžiamumų valdymas yra milžiniška užduotis.

Daugelį metų standartinis požiūris buvo reaktyvus: ieškoti žinomų pažeidžiamumų naudojant duomenų bazes, tokias kaip Nacionalinė pažeidžiamumų duomenų bazė (NVD), nustatyti prioritetus pagal Bendrąją pažeidžiamumų vertinimo sistemą (CVSS) ir atitinkamai diegti pataisymus. Nors šis modelis yra esminis, šiandienos grėsmių aplinkoje jis yra iš esmės ydingas. Tai tarsi bandymas naršyti sudėtingame, dinamiškame mieste su savaitės senumo žemėlapiu. Jūs žinote, kur anksčiau buvo pranešta apie uždarytus kelius, bet neturite informacijos apie esamą eismą, avarijas ar nusikalstamą veiklą, vykstančią šiuo metu.

Būtent čia kibernetinių grėsmių žvalgybos (CTI) integracija keičia žaidimo taisykles. Sujungdamos realaus laiko, kontekstualius grėsmių duomenis su statine pažeidžiamumų informacija, organizacijos gali pakeisti savo saugumo strategiją iš reaktyvaus, kontroliniu sąrašu pagrįsto proceso į proaktyvią, rizika pagrįstą strategiją. Šiame vadove pasaulio technologijų ir saugumo lyderiams išsamiai paaiškinama, kodėl ši integracija yra kritiškai svarbi ir kaip ją efektyviai įgyvendinti.

Pagrindinių komponentų supratimas: dvi saugumo medalio pusės

Prieš gilinantis į integracijos strategijas, būtina suprasti skirtingus pažeidžiamumo duomenų bazių ir grėsmių žvalgybos kanalų vaidmenis bei apribojimus.

Kas yra „JavaScript“ saugumo pažeidžiamumų duomenų bazė?

„JavaScript“ saugumo pažeidžiamumų duomenų bazė – tai struktūrizuota žinomų saugumo spragų „JavaScript“ bibliotekose, karkasuose ir vykdymo aplinkose (pvz., „Node.js“) saugykla. Tai yra pagrindiniai įrankiai bet kuriai programinės įrangos sudėties analizės (SCA) programai.

Pagrindiniai duomenų taškai: Įprastai įrašas apima unikalų identifikatorių (pvz., CVE ID), spragos aprašymą, paveiktų paketų pavadinimus ir versijų diapazonus, CVSS balą, nurodantį sunkumą, ir nuorodas į pataisymus ar švelninimo patarimus.
Žymiausi šaltiniai:
- Nacionalinė pažeidžiamumų duomenų bazė (NVD): Pagrindinė CVE saugykla, valdoma JAV vyriausybės, bet naudojama visame pasaulyje.
- „GitHub“ saugumo patarimai: Gausus bendruomenės ir tiekėjų praneštų pažeidžiamumų šaltinis, dažnai pasirodantis čia anksčiau nei priskiriamas CVE.
- Komercinės duomenų bazės: Kuruojamos ir dažnai praturtintos duomenų bazės iš tiekėjų, tokių kaip „Snyk“, „Sonatype“ („OSS Index“) ir „Veracode“, kurios kaupia duomenis iš įvairių šaltinių ir prideda savo tyrimus.
Esminis apribojimas: Šios duomenų bazės yra praeities įrašai. Jos nurodo, kas yra pažeista, bet nepasako, ar kam nors rūpi ta pažeista dalis, ar kas nors aktyviai bando ja pasinaudoti, ar kaip tai daro. Dažnai yra didelis laiko tarpas tarp pažeidžiamumo atradimo, jo viešo atskleidimo ir pasirodymo duomenų bazėje.

Kas yra kibernetinių grėsmių žvalgyba (CTI)?

Kibernetinių grėsmių žvalgyba – tai ne tik duomenys; tai įrodymais pagrįstos žinios, kurios buvo apdorotos, išanalizuotos ir pateiktos kontekste, siekiant suteikti veiksmingų įžvalgų. CTI atsako į kritinius klausimus, į kuriuos pažeidžiamumų duomenų bazės negali atsakyti: kas, kodėl, kur ir kaip vykdo potencialią ataką.

CTI tipai:
- Strateginė CTI: Aukšto lygio informacija apie kintančią grėsmių aplinką, geopolitines motyvacijas ir rizikos tendencijas. Skirta vykdomajai vadovybei.
- Operacinė CTI: Informacija apie konkrečių grėsmių veikėjų taktikas, metodus ir procedūras (TTP). Padeda saugumo komandoms suprasti, kaip veikia priešininkai.
- Taktinė CTI: Išsami informacija apie konkrečias kenkėjiškas programas, kampanijas ir atakų metodikas. Naudojama pirmosios linijos gynėjų.
- Techninė CTI: Konkretūs kompromitavimo indikatoriai (IoC), tokie kaip kenkėjiški IP adresai, failų maišos (hash) ar domenų pavadinimai.
Vertės pasiūlymas: CTI suteikia realaus pasaulio kontekstą. Ji paverčia bendrinį pažeidžiamumą konkrečia, apčiuopiama grėsme jūsų organizacijai. Tai skirtumas tarp žinojimo, kad langas yra atrakintas, ir žinojimo, kad vagis aktyviai tikrina langus jūsų gatvėje.

Sinergija: kodėl verta integruoti CTI su jūsų pažeidžiamumų valdymu?

Kai sujungiate „kas“ iš pažeidžiamumų duomenų bazių su „kas, kodėl ir kaip“ iš CTI, jūs pasiekiate naują saugumo brandos lygį. Nauda yra didelė ir juntama iš karto.

Nuo reaktyvaus pataisymų diegimo iki proaktyvios gynybos

Tradicinis ciklas yra lėtas: atrandamas pažeidžiamumas, priskiriamas CVE, skeneriai jį aptinka ir jis patenka į darbų sąrašą pataisymui. Grėsmių veikėjai veikia šio laiko tarpo spragose. CTI integracija apverčia scenarijų.

Tradicinis (reaktyvus): „Mūsų savaitinis nuskaitymas rado CVE-2023-5555 bibliotekoje „data-formatter“. Jos CVSS balas yra 8,1. Prašome įtraukti ją į kitą sprintą pataisymui.“
Integruotas (proaktyvus): „CTI kanalas praneša, kad grėsmių veikėjas „FIN-GHOST“ aktyviai išnaudoja naują nuotolinio kodo vykdymo spragą bibliotekoje „data-formatter“, siekdamas diegti išpirkos reikalaujančią programinę įrangą finansinių paslaugų įmonėse. Mes naudojame šią biblioteką mokėjimų apdorojimo API. Tai yra kritinis incidentas, reikalaujantis neatidėliotino švelninimo, net jei CVE dar neegzistuoja.“

Kontekstualizuotas rizikos prioritetizavimas: išsivadavimas iš CVSS balo tironijos

CVSS balai yra naudingas atspirties taškas, tačiau jiems trūksta konteksto. CVSS 9,8 pažeidžiamumas vidinėje, nekritinėje programoje gali būti daug mažiau rizikingas nei CVSS 6,5 pažeidžiamumas jūsų viešai prieinamoje autentifikavimo paslaugoje, kuri yra aktyviai išnaudojama.

CTI suteikia lemiamą kontekstą, reikalingą protingam prioritetų nustatymui:

Išnaudojamumas: Ar yra viešai prieinamas koncepcijos įrodymo (PoC) išnaudojimo kodas? Ar grėsmių veikėjai jį aktyviai naudoja?
Grėsmių veikėjų dėmesys: Ar grupės, išnaudojančios šį pažeidžiamumą, yra žinomos dėl to, kad taikosi į jūsų pramonės šaką, technologijų rinkinį ar geografinį regioną?
Sąsajos su kenkėjiškomis programomis: Ar šis pažeidžiamumas yra žinomas vektorius konkrečioms kenkėjiškų programų ar išpirkos reikalaujančių programų šeimoms?
Aptarimo lygis: Ar didėja diskusijos apie šį pažeidžiamumą tamsiojo interneto forumuose ar saugumo tyrėjų kanaluose?

Praturtindami pažeidžiamumų duomenis šiais CTI žymenimis, galite sutelkti savo ribotus programuotojų ir saugumo išteklius į problemas, kurios kelia didžiausią ir apčiuopiamiausią riziką jūsų verslui.

Ankstyvasis perspėjimas ir gynyba nuo nulinės dienos atakų

Grėsmių žvalgyba dažnai suteikia ankstyviausius įspėjimus apie naujas atakų technikas ar pažeidžiamumus, kurie išnaudojami anksčiau, nei jie tampa plačiai žinomi ar dokumentuoti. Tai gali apimti kenkėjiškų npm paketų aptikimą, naujų atakų modelių, tokių kaip prototipo tarša, identifikavimą arba gandų apie naują nulinės dienos pažeidžiamumą, kurį parduoda ar naudoja sudėtingi veikėjai, išgirdimą. Šios žvalgybos integravimas leidžia jums įdiegti laikinas apsaugos priemones, tokias kaip žiniatinklio programų ugniasienės (WAF) taisyklės ar sustiprintas stebėjimas, kol laukiate oficialaus pataisymo, taip žymiai sumažinant jūsų pažeidžiamumo langą.

Integracijos planas: architektūra ir strategija

CTI integravimas – tai ne vieno produkto pirkimas; tai duomenimis pagrįstos ekosistemos kūrimas. Štai praktinis architektūrinis planas pasaulinėms organizacijoms.

1 žingsnis: duomenų priėmimo ir agregavimo lygmuo

Jūsų pirmoji užduotis yra surinkti visus atitinkamus duomenis į centralizuotą vietą. Tai apima duomenų gavimą iš dviejų pagrindinių tipų šaltinių.

Pažeidžiamumų duomenų šaltiniai:
- SCA įrankiai: Pasinaudokite savo pagrindinių SCA įrankių (pvz., Snyk, Sonatype Nexus Lifecycle, Mend) API. Tai dažnai yra jūsų turtingiausias priklausomybių informacijos šaltinis.
- Kodo saugyklos: Integruokitės su „GitHub Dependabot“ įspėjimais ir saugumo patarimais ar panašiomis funkcijomis „GitLab“ ar „Bitbucket“.
- Viešosios duomenų bazės: Periodiškai gaukite duomenis iš NVD ir kitų atvirų šaltinių, kad papildytumėte savo komercinius kanalus.
Grėsmių žvalgybos šaltiniai:
- Atvirojo kodo (OSINT): Platformos, tokios kaip „AlienVault OTX“ ir „MISP Project“, teikia vertingus, nemokamus grėsmių duomenų kanalus.
- Komercinės CTI platformos: Tiekėjai, tokie kaip „Recorded Future“, „Mandiant“, „CrowdStrike“ ir „IntSights“, siūlo aukščiausios kokybės, kruopščiai kuruojamus žvalgybos kanalus su turtingomis API integracijai.
- ISAC (Informacijos mainų ir analizės centrai): Konkrečioms pramonės šakoms (pvz., Finansinių paslaugų ISAC), jie teikia labai aktualią, sektoriui būdingą grėsmių žvalgybą.

2 žingsnis: koreliacijos variklis

Tai yra jūsų integracijos strategijos pagrindas. Koreliacijos variklis yra logika, kuri suderina grėsmių žvalgybą su jūsų pažeidžiamumų inventoriumi. Tai nėra tik CVE ID atitikimas.

Atitikimo vektoriai:

Tiesioginis CVE atitikimas: Paprasčiausia sąsaja. CTI ataskaitoje aiškiai minimas CVE-2023-1234.
Paketo ir versijos atitikimas: CTI ataskaitoje aprašoma ataka prieš `express-fileupload@1.4.0`, kol CVE dar nėra viešas.
Pažeidžiamumo klasės (CWE) atitikimas: Žvalgybos ataskaitoje įspėjama apie naują techniką, skirtą išnaudoti tarpvietinę scenarijų (XSS) ataką „React“ komponentuose. Jūsų variklis gali pažymėti visus atvirus XSS pažeidžiamumus jūsų „React“ programose pakartotiniam vertinimui.
TTP atitikimas: Ataskaitoje išsamiai aprašoma, kaip grėsmių veikėjas naudoja priklausomybių painiavą (MITRE ATT&CK T1574.008) taikydamasis į organizacijas. Jūsų variklis gali tai palyginti su jūsų vidiniais paketais, kad nustatytų galimus pavadinimų konfliktus.

Šio variklio rezultatas yra Praturtintas pažeidžiamumo įrašas. Pažiūrėkime skirtumą:

Prieš integraciją:

            {
  "cve_id": "CVE-2023-4567",
  "package_name": "image-processor-lib",
  "vulnerable_version": "2.1.0",
  "cvss_score": 7.8,
  "status": "Backlog"
}

Po integracijos:

            {
  "cve_id": "CVE-2023-4567",
  "package_name": "image-processor-lib",
  "vulnerable_version": "2.1.0",
  "cvss_score": 7.8,
  "status": "CRITICAL - IMMEDIATE ACTION",
  "threat_intel_context": {
    "actively_exploited_in_wild": true,
    "exploit_availability": "Public PoC available",
    "threat_actor_attribution": ["Magecart Group 12"],
    "target_industries": ["e-commerce", "retail"],
    "malware_association": "ChameleonSkimmer.js",
    "exploit_chatter_level": "high"
  }
}

Skubos ir veiksmingumo skirtumas yra kaip diena ir naktis.

3 žingsnis: veiksmų ir organizavimo lygmuo

Praturtinti duomenys yra nenaudingi be veiksmų. Šis lygmuo integruoja susietą žvalgybą į jūsų esamas darbo eigas ir saugumo įrankius.

Automatizuotas bilietų kūrimas ir eskalavimas: Automatiškai kurkite aukšto prioriteto bilietus sistemose, tokiose kaip „Jira“ ar „ServiceNow“, bet kuriam pažeidžiamumui, turinčiam teigiamą CTI atitikimą, rodantį aktyvų išnaudojimą. Tiesiogiai iškvieskite budinčią saugumo komandą.
Dinaminiai CI/CD konvejerio valdikliai: Pereikite nuo paprastų, CVSS pagrįstų vartų. Sukonfigūruokite savo CI/CD konvejerį taip, kad jis nutrauktų kūrimą, jei naujai įdiegta priklausomybė turi pažeidžiamumą, kuris, nors ir turi vidutinį CVSS balą, yra aktyviai išnaudojamas jūsų sektoriuje.
SOAR (saugumo organizavimo, automatizavimo ir atsako) integracija: Suaktyvinkite automatizuotas veiksmų sekas (playbooks). Pavyzdžiui, jei veikiančiame konteineryje aptinkamas kritinis pažeidžiamumas, SOAR veiksmų seka galėtų automatiškai pritaikyti virtualų pataisymą per WAF, pranešti turto savininkui ir pašalinti pažeidžiamą atvaizdą iš registro, kad būtų išvengta naujų diegimų.
Vadovų ir programuotojų prietaisų skydeliai: Sukurkite vizualizacijas, kurios rodo tikrąją riziką. Vietoj „Pažeidžiamumų skaičiaus“ diagramos, parodykite „10 aktyviausiai išnaudojamų rizikų“ prietaisų skydelį. Tai perteikia riziką verslo terminais ir suteikia programuotojams kontekstą, reikalingą suprasti, kodėl konkretus pataisymas yra toks svarbus.

Pasauliniai atvejo tyrimai: integracija veiksme

Panagrinėkime keletą išgalvotų, bet realistiškų scenarijų, kad iliustruotume šio požiūrio galią pasauliniame kontekste.

1 atvejo tyrimas: Brazilijos el. prekybos įmonė sužlugdo duomenų nuskaitymo ataką

Scenarijus: Didelė internetinė mažmenininkė, įsikūrusi San Paule, naudoja dešimtis trečiųjų šalių „JavaScript“ bibliotekų savo atsiskaitymo puslapiuose analitikai, klientų aptarnavimo pokalbiams ir mokėjimų apdorojimui.
Grėsmė: CTI kanalas praneša, kad „Magecart“ stiliaus grupė aktyviai įterpia kredito kortelių duomenis nuskaitantį kodą į populiarią, bet šiek tiek pasenusią, analitikos biblioteką. Ataka konkrečiai nukreipta į Lotynų Amerikos el. prekybos platformas. CVE dar nėra išduotas.
Integruotas atsakas: Įmonės koreliacijos variklis pažymi biblioteką, nes CTI ataskaita atitinka ir paketo pavadinimą, ir tikslinę pramonės šaką/regioną. Sugeneruojamas automatinis, kritinis įspėjimas. Saugumo komanda nedelsdama pašalina pažeidžiamą scenarijų iš savo gamybinės aplinkos, gerokai anksčiau, nei galėjo būti pažeisti bet kokie klientų duomenys. Tradicinis, CVE pagrįstas skeneris būtų tylėjęs.

2 atvejo tyrimas: Vokietijos automobilių gamintojas apsaugo savo tiekimo grandinę

Scenarijus: Pirmaujantis automobilių gamintojas Vokietijoje naudoja „Node.js“ savo prijungtų automobilių serverio paslaugoms, tvarkančioms telematikos duomenis.
Grėsmė: Pagrindinėje „Node.js“ priklausomybėje randamas pažeidžiamumas (CVE-2023-9876) su vidutiniu CVSS balu 6,5. Įprastame darbų sąraše tai būtų vidutinio prioriteto užduotis.
Integruotas atsakas: Aukščiausios kokybės CTI teikėjas išleidžia privatų biuletenį savo automobilių pramonės klientams. Biuletenyje atskleidžiama, kad valstybės remiamas veikėjas sukūrė patikimą, privatų CVE-2023-9876 išnaudojimo būdą ir naudoja jį pramoniniam šnipinėjimui prieš Vokietijos inžinerijos įmones. Praturtintas pažeidžiamumo įrašas nedelsiant pakelia riziką iki „Kritinės“. Pataisymas įdiegiamas per avarinę techninę priežiūrą, užkertant kelią potencialiai katastrofiškam intelektinės nuosavybės pažeidimui.

3 atvejo tyrimas: Japonijos SaaS teikėjas išvengia plataus masto sutrikimo

Scenarijus: Tokijuje įsikūrusi B2B SaaS įmonė naudoja populiarią atvirojo kodo „JavaScript“ biblioteką savo mikropaslaugų organizavimui.
Grėsmė: Saugumo tyrėjas „GitHub“ išleidžia koncepcijos įrodymą (PoC) paslaugos trikdymo (DoS) pažeidžiamumui organizavimo bibliotekoje.
Integruotas atsakas: Koreliacijos variklis pastebi viešą PoC. Nors CVSS balas yra tik 7,5 (aukštas, bet ne kritinis), CTI kontekstas – lengvai prieinamas ir paprastas naudoti išnaudojimo būdas – padidina jo prioritetą. Sistemos SOAR veiksmų seka automatiškai pritaiko užklausų ribojimo taisyklę API šliuze kaip laikiną švelninimo priemonę. Programuotojų komanda yra įspėjama ir per 24 valandas išleidžia pataisytą versiją, užkertant kelią konkurentams ar kenkėjiškiems veikėjams sukelti paslaugas trikdantį sutrikimą.

Iššūkiai ir gerosios praktikos pasauliniam diegimui

Tokios sistemos įgyvendinimas yra didelis uždavinys. Štai pagrindiniai iššūkiai, kuriuos reikia numatyti, ir gerosios praktikos, kurių reikia laikytis.

Iššūkis: Duomenų perteklius ir įspėjimų nuovargis.
- Geroji praktika: Neaprėpkite visko iš karto. Pradėkite integruodami vieną ar du aukštos kokybės CTI kanalus. Patobulinkite savo koreliacijos taisykles, kad sutelktumėte dėmesį į žvalgybą, kuri yra tiesiogiai susijusi su jūsų technologijų rinkiniu, pramone ir geografija. Naudokite patikimumo balus, kad filtruotumėte mažo patikimumo žvalgybą.
Iššūkis: Įrankių ir tiekėjų pasirinkimas.
- Geroji praktika: Atlikite išsamų patikrinimą. Vertindami CTI teikėjus, atsižvelkite į jų žvalgybos šaltinius, pasaulinę aprėptį, API kokybę ir reputaciją. Vidiniams įrankiams apsvarstykite galimybę pradėti nuo atvirojo kodo platformų, tokių kaip MISP, kad įgytumėte patirties prieš investuodami į didelę komercinę platformą. Jūsų pasirinkimas turi atitikti jūsų organizacijos specifinį rizikos profilį.
Iššūkis: Tarpfunkcinių įgūdžių trūkumas.
- Geroji praktika: Tai yra „DevSecOps“ iniciatyva iš esmės. Ji reikalauja bendradarbiavimo tarp programuotojų, saugumo operacijų (SOC) ir programų saugumo komandų. Investuokite į kryžminius mokymus. Padėkite savo saugumo analitikams suprasti programinės įrangos kūrimo gyvavimo ciklą, o programuotojams – suprasti grėsmių aplinką. Bendras supratimas yra raktas į duomenų pavertimą veiksmais.
Iššūkis: Pasaulinis duomenų privatumas ir suverenitetas.
- Geroji praktika: Grėsmių žvalgyba kartais gali turėti jautrių duomenų. Veikdami keliose jurisdikcijose (pvz., ES, Šiaurės Amerikoje, APAC), atsižvelkite į reglamentus, tokius kaip GDPR, CCPA ir kt. Glaudžiai bendradarbiaukite su savo teisininkų ir atitikties komandomis, kad užtikrintumėte, jog jūsų duomenų tvarkymo, saugojimo ir dalijimosi praktika atitinka reikalavimus. Rinkitės CTI partnerius, kurie demonstruoja tvirtą įsipareigojimą pasauliniams duomenų apsaugos standartams.

Ateitis: link nuspėjamojo ir nurodomojo saugumo modelio

Ši integracija yra pagrindas dar pažangesnei saugumo ateičiai. Taikydamos mašininį mokymąsi ir dirbtinį intelektą didžiuliam sujungtų pažeidžiamumų ir grėsmių žvalgybos duomenų rinkiniui, organizacijos gali judėti link:

Nuspėjamosios analizės: Nustatyti „JavaScript“ bibliotekų charakteristikas, kurios greičiausiai taps grėsmių veikėjų taikiniu ateityje, leidžiant atlikti proaktyvius architektūrinius pakeitimus ir bibliotekų pasirinkimus.
Nurodomųjų gairių: Pereiti nuo paprasto pažeidžiamumo pažymėjimo prie protingų pataisymo patarimų teikimo. Pavyzdžiui, ne tik „pataisykite šią biblioteką“, bet „apsvarstykite galimybę visiškai pakeisti šią biblioteką, nes visa jos funkcijų klasė yra dažnai puolama, o štai trys saugesnės alternatyvos.“
Pažeidžiamumo išnaudojamumo mainai (VEX): Jūsų generuojami CTI praturtinti duomenys yra puikus šaltinis kuriant VEX dokumentus. VEX yra besiformuojantis standartas, teikiantis mašininio skaitymo tvirtinimą, ar produktas yra paveiktas pažeidžiamumo. Jūsų sistema gali automatiškai generuoti VEX pareiškimus, tokius kaip: „Mūsų produktas naudoja pažeidžiamą biblioteką X, bet mes nesame paveikti, nes pažeidžiama funkcija nėra iškviečiama.“ Tai dramatiškai sumažina triukšmą jūsų klientams ir vidaus komandoms.

Išvada: atsparios, grėsmėmis pagrįstos gynybos kūrimas

Pasyvaus, atitiktimi pagrįsto pažeidžiamumų valdymo amžius baigėsi. Organizacijoms, kurių verslas priklauso nuo plačios „JavaScript“ ekosistemos, statinis rizikos vaizdas yra atsakomybė. Šiuolaikinis skaitmeninis kraštovaizdis reikalauja dinamiškos, kontekstą suprantančios ir proaktyvios gynybos.

Integruodami realaus laiko kibernetinių grėsmių žvalgybą su savo pagrindine pažeidžiamumų valdymo programa, jūs transformuojate savo saugumo strategiją. Jūs suteikiate savo komandoms galią nustatyti prioritetus tam, kas iš tikrųjų svarbu, veikti greičiau nei priešininkas ir priimti saugumo sprendimus, pagrįstus ne abstrakčiais balais, o apčiuopiama, realaus pasaulio rizika. Tai nebėra ateities prabanga; tai yra operacinė būtinybė kuriant atsparią ir saugią organizaciją 21-ajame amžiuje.