网络安全滑动标尺是Dragos公司创始人Robert.M.Lee在2015年7月发表的一篇文章。网络安全滑动标尺更像是一种学习工具而非一种模型。它从左到右分为五个阶段：架构安全、被动防御、主动防御、威胁情报和反制。此处我们认为消费情报属于主动防御阶段，而生产情报数据威胁情报阶段。

消费情报最终是为了推动企业变革，威胁情报团队应该尽可能地推动企业的安全能力向标尺右侧滑行。每次企业遭受入侵，都应该从中总结经验教训，这些经验帮助企业更好地进行安全架构，从被动防御变为主动防御。

反制中的情报消费（Offense）

反制是威胁情报的下一个阶段，反制活动需要情报的支持，以保证反制过程目标的正确性。反制比人们想象的要难得多，我们不仅需要分析攻击者，还需要尝试出攻击者的密码，登录攻击者的服务器。大部分的反制成功都是利用漏洞完成的。与此同时我们在防护设备上更新攻击者的信息以防止恶意软件传播或远程控制活动。很少有组织会进行反制行为，因为反制的成本很高而回报率极低。

威胁情报中的情报消费（Intelligence）

在红蓝对抗或威胁狩猎的过程中都会消费情报，在红蓝对抗的过程中，红队会使用当前攻击组织最常见的攻击技战术来验证组织的检测能力；基于假设的威胁狩猎中既需要消费情报，也可能产生新的情报。

通过以上活动，可能会发现当前组织架构无法与现实攻击组织进行对抗，需要调整组织架构甚至重组安全团队。

主动防御中的情报消费（Active Defense）

在主动防御阶段中需要注意的是通过情报驱动防御，例如主动进行威胁狩猎活动时需要使用威胁情报。

被动防御中的情报消费（Passive Defense）

被动防御是传统防御工作中比重最大的部分，例如防病毒、EDR、IPS、SIEM等设备，在接入了威胁情报后，检测策略都变得更加灵活。尤其是当网络中只有静态工具（最典型的例子就是防火墙）时，通过接入威胁情报，也能具有一定的检测和防护能力。

架构安全中的情报消费（Architecture）

构建基础架构的各类资产都随时会被发现存在漏洞，在这个阶段我们需要掌握针对性的漏洞情报，帮助我们及时修复这些漏洞。