傳統的網絡態勢感知建設時需要注意哪些誤區

傳統的網絡態勢感知建設時需要注意以下誤區：

• 重管理而輕運營：部分傳統態勢感知在建設過程中往往聚焦于政企機構的安全管理及支撐流程建設，例如人員管理、流程管理、制度管理，甚至是考核管理。或者從對人的管理下沉為對產品的管理，例如各類安全設備的集中管理。這些管理類功能雖然能在協同工作、信息共享方面發揮作用，但因為其沒有從安全的本質需求入手，導致它們往往并不能直接產生安全價值，無法有效地發現安全問題，無法幫助安全管理人員有效地解決問題。

• 有數據而無分析：傳統態勢感知一直都在建議采集各類安全數據用于支撐分析和溯源，但在實際的使用過程中，數據是否能夠被有效分析是一個不得不額外關注的問題。大量態勢感知體系建設的失敗案例中，往往都具有一個共同的特征，那就是數據存儲消耗了大量資源，但并沒有通過安全分析得到安全問題的線索。實際上數據的采集范圍和分析能力是相輔相成的，一個好的態勢感知體系不僅需要各類安全數據，也需要強大的覆蓋關聯分析、機器學習、威脅情報等各類技術的威脅分析能力。

• 重功能而輕效率：傳統態勢感知往往具有形形色色的功能，這本身無可厚非，但對政企機構來說，需要有效甄別這些功能是否能夠有效地支撐安全工作，是否所有功能都能夠幫助政企機構有效提升效率，此時功能的多少遠遠沒有“功能適合”更為重要。比如當一個政企機構的IT資產管理能力尚不完善時，即使其態勢感知中包含主機資產、Web資產、服務資產等各類資產管理能力，對該政企機構來說可能未必有價值，而只是意味著更高的使用和維護成本。

• 重建設而輕驗證：近年來，態勢感知經歷了快速發展，不少政企機構已經建設完畢或正在建設當中。伴隨著態勢感知的建設，很多政企機構內部的安全體系建設也在進行調整。但在這些調整中，我們很少看到對各類系統建設成效的驗證和確認，這導致各類系統建設可能無法伴隨攻防形式的變化而進行快速調整。這直接導致整個政企機構的安全建設落后于攻擊者的攻擊手法半年到一年以上，因此我們需要在實戰化態勢感知體系的建設中給予足夠的重視。

回答所涉及的環境：聯想天逸510S、Windows 10。