态势感知，让军事策略师和士兵们又爱又恨的事物，飞行员们也是同样。此外，优秀的股票经纪人与交易员与需要仰仗它来应对自己日常工作当中的各种任务。

对于这类职业，态势感知是一种确切存在的东西。在他们眼中，态势感知就如同是网络安全专家们需要面对的边界保护、根源分析乃至深度防御。

不过在如今这个商业化时代之下，几乎没有几家企业或者是其网络安全团队能够自上而下贯彻简单而有效的网络态势感知机制。而与此同时，动态程度极高且持续存在的网络犯罪活动却在威胁着每一家企业的正常运作。

事实上，网络威胁正在成为安全保护者们的头号天敌。

其实我们都认为切实有效的态势感知机制能够显著简化网络防御或者网络风险管理方案，同时提升其中各个组成部分的性价比。而相关实践所需要的数据就摆在大多数企业面前，能够轻松加以收集与使用。但这就让目前的状况变得更加令人费解。

网络态势感知的作用在于了解用户自身任意时间段内的周遭所发生的一切，这样我们就能够了解到如何以最理想的方式应对状态变化。态势感知可以是一种由个别团队成员及企业员工使用的既定流程，也可以是由企业整体构建并经过严格测试的、具备广泛适用性的实践方法——从军方到飞行学校皆可涵盖在内。对我个人来讲，态势感知是我在军队当中接触到的第一种深度培训规程。更重要的是，当态势感知与其最佳拍档“运营安全”（简称OPSEC）相匹配之后，实际结果真的极具可行性——我敢保证。

听起来确实没什么难度，然而态势感知总是被人们所忽略，这直接导致最终解决方案变得更加复杂且效率更为低下。我们很少听说哪个项目会自上而下贯彻态势感知机制，并将其应用于实际业务当中。

就目前的情况看，人们似乎单纯是认为这种经过时间考验的概念不够时髦、不够新鲜或者说实施成本太低而根本不值得重视。

那么我们该怎样引导企业在态势感知领域投入时间、精力与资金？

在过去两年在这方面进行的数据收集与分析整理之后，我提出了以下四项意见：

1.“那是别人的问题（简称SEP）”这种负面思维方式随处可见

在《银河系漫游指南》系列丛书当中，著名作家Douglas Adams诙谐地勾勒出了一款简单的工具，其只需一块手电电池即可运行并能够创造出一种力场，被其照射到的事物会在人们面前直接隐形。好吧，说“隐形”并不确切，只不过照射对象将不会引起人们的注意。被完全忽视与隐形似乎也没什么区别。

这种极具讽刺意味的虚构SEP力场源自人们在本性当中对某些事物的忽视，换言之，他们对于“别人的问题”通常不感兴趣。

而说回到态势感知方面，它对于大多数管理与网络运维团队而言就像是身处于SEP力场之内。对于网络防御组织而言，他们往往很难认同“某种事物易于实现但却有能力显著改善安全水平”这种观点。

可悲的是，正是这种局限性极为明显的思维左右着当下各企业内网络安全策略的制定与部署。人们普遍认定有效的解决方案一定华丽夺目、新颖独特、难于实现、价格高得离谱而且需要由大量技术水平级高的专业人士加以配合，同时要求有大量相关人员在几十种场景及会议当中加以考量及探讨——否则，那就是“别人的问题”。荒谬，简直荒谬至极！

2.视野狭窄、钻牛角尖、纸上谈兵外加一条路走到黑综合症

由于家人及朋友在从业医疗方面的工作，因此我得以了解到不少医学专家会把大量时间浪费在寻找显微镜镜片或者摆弄一大堆小卡片上。当然，具体情况包括但不限于此。

在大多数企业的网络运维工作当中，其情报着眼点往往被放在SIEM、TIP或者以下各类单一角度身上：

• 关注内部低级别数据源（例如日志记录）。

• 收集大量来自多种不同来源的同质化数据（例如工作站日志记录）。

• 高度依赖于指标与警报信息（例如Snort或者补丁管理机制）。

• 过分关注单纯与“警告及搜索”或者临时性实时使用情况相关的趋势信息。

• 忽略收集与挖掘到的历史数据。

• 无视高级别综合性威胁指标。

• 未能捕捉到特定且具备背景信息关联属性的相关业务特性或者风险概况。

那么这一切会造成哪些后果？下面一起来看：

• 仅从安全运维角度加以审视将影响数据价值。

• 无法将企业风险区域同潜在威胁相关联，进而失去缓解与应对能力。

• 妨碍信息共享与准确报告。

• 几乎无法据此制定出长期而动态的安全保障战略。

• 抑制所在企业及相关部门当中的信息共享能力与敏捷性。

• 极大降低了对“未来可能发生”问题的认知水平。

• 导致完全依赖于反应性机制，而非预判性机制。

• 失去对“宏观图景”的把握能力。

• 造成自欺欺人的安全心态。

最糟糕的是，在缺乏态势感知的辅助之下，人们往往会产生一种盲目的安全感与乐观情绪。

3.对态势感知概念的错误理解

我的主要工作内容就是实现网络风险情报解决方案以支持态势感知，其与客户之间的对话往往会以下面两种方式开始：

• 我们已经实现了态势感知。我们拥有大量工具提供警示信息，帮我们在需要给予关注时了解到相关情况。这就是自动化的态势感知方案啊，对吧？

• 如果我们不能用态势感知来实现网络防御，那它就没什么作用。我们只会把钱花在那些能够切实带来保护效果的机制身上。

在这两种情况下，他们都对态势感知有着严重的误解。

先看第一条，对方描述的事物根本就不是态势感知。事实上，我宁愿将其称为“运营感知”，或者说它的本质就是以同样的方式不断重复大家每天都在进行的运营工作。举例来讲，这就像是人们宣称自己的住宅非常安全，因为他们在前门那儿装了个运动感应摄像头。

再看第二条，态势感知并不能直接防御我们的网络体系，这也不符合它的作用定位。

但是如果无法从网络内部与外加获取到处于不同层级与不同角度的数据，再配合理想的方案对威胁及风险加以评估，那么无论大家选择什么样的工具，业务安全都无法得到保证。

如果没有态势感知作为支持，诊断、优先排序以及应对措施都将受到严重限制。而这一切所谓能够直接保护网络的工具也将无法提供应有的效果。

4.误认为态势感知并非“必选项”，而是“可选项”

我个人非常喜欢解决将态势感知机制纳入网络情报诊断与保护战略时所出现的各类实际挑战。

态势感知技术其实属于一种基础性机制，但令人意外的是，大多数人都仅仅将其视为可选项目。

对我来说，将不同技术加以结合能够帮助客户对问题进行持续分析，从而了解企业整体当中哪些状况属于正常现象、哪些属于异常现象，而哪些变更可能会对业务环境下网络内外的数据造成威胁与风险。掌握了这一切，我们就能够更好地理解如何实施变更并解决由此带来的问题。这似乎本应成为相当基础的一种设计思路，然而事实并非如此。

在大多数情况下，企业会急于购置大量昂贵的工具，其具体作用与指向皆有不同，并将其视为“必选项”。

这就像是购置一架外观漂亮而且价格惊人的私人飞机，然后找来一位执照还没拿到手的准飞行员进行驾驶，并告诉他们“除了速度与高度之外，其它可选项都是按照指导手册严格进行的。如果出了问题，拉高就行。”

很明显，如果没有坚实的数据指导及准确的自我认知作为基础，我们根本无法了解周遭发生的一切。这时大家所做的仅仅是安全保障工作中的一小部分。正如在军队当中生活方式、体能训练与胜利之间存在着密不可分的关系，态势感知也同样属于“必选项”而非“可选项”。

分享即是关怀……

转载请注明来源 “E安全”

欢迎大家访问E安全门户站点www.easyaq.com

请关注 E安全 微信公众号

点击“查看原文”获取本文的相关链接