隨著網絡信息技術的發展，不論是企業還是個人對網絡的依賴越來越大，信息安全已不再是一個技術問題，態勢感知應勢而生，作為目前網絡安全領域的熱點，卻不得不面對撲面而來的態勢感知熱潮以及良莠不齊的方案。那么，究竟什么是態勢感知?我們為什么需要它?

何為態勢感知?

實際上，態勢感知是一種基于環境的、動態的、整體的洞悉安全風險的能力，它以安全大數據為基礎，從全局視角提升對安全威脅的發現識別、理解分析及響應處置能力的一種方式，旨在大規模網絡環境中對能夠引起網絡態勢發生變化的安全要素進行獲取、理解、顯示以及最近發展趨勢的順延性預測，進而進行安全的相關決策與行動。

我們在理解態勢時，強調的是環境性、動態性和整體性。這里，環境性指的是態勢感知的應用環境是在一個較大的范圍內具有一定規模的網絡;動態性，則指的是態勢隨時間不斷變化，態勢信息既包括過去和當前的狀態，還包括對未來趨勢的預測;整體性，指的是態勢各實體間相互關系的體現，某些網絡實體狀態發生變化，會影響到其他網絡實體的狀態，而影響整個網絡的態勢。

為什么需要態勢感知?

一方面，如今我們面對的攻擊者，已形成專業的黑色產業鏈，他們不僅分工明確，其所采用的攻擊手段也更加先進，甚至利用上當下熱門的人工智能，以便發動更具針對性的惡意攻擊。攻擊的專業化和利益化，引發的直接后果就是，不是你會不會被黑，而是何時會被黑，甚至說被黑了你都不知道。

另一方面，從網絡安全建設來看，多年來我們一直偏重于架構安全(漏洞管理、系統加固、安全域劃分等)和被動防御能力(IPS、WAF、AV等)的建設，雖取得了一定的成果，卻也遇到發展瓶頸，需要進一步提升安全運營水平的同時積極的開展主動防御能力的建設。

顯然，面對越來越專業的惡意攻擊，我們已無法再用傳統的邊界隔離理念，日漸臃腫的攻擊特征庫，與對方多變的滲透技術，智能的HaaS服務，隱蔽的信道相抗衡了。因此，態勢感知成為未來網絡安全的關鍵。我們說，一次成功的滲透和攻擊，包含了信息搜集、攻擊嘗試、移動提權、信息回傳等多個過程，因此沒有萬無一失的籌謀，再聰明的攻擊者也會留下蛛絲馬跡，而我們要做的就是在“事前”發現它。

態勢感知能做什么?

本質上講，網絡安全就是發生在虛擬世界的攻防戰，速度為王，而態勢感知系統的作用就是分析安全環境信息、快速判斷當前及未來形勢，以作出正確響應。用“全天候全方位感知網絡安全態勢”來表述建設態勢感知的目標十分準確，這包括了時間和檢測內容兩個維度。

時間維度上，既需要利用已有實時或準實時的檢測技術，同時還需要通過更長時間數據來分析發現異常行為，特別是失陷情況;而內容維度上，則需要覆蓋網絡流量、終端行為、內容載荷三個方面，并完整提供以下5類檢測能力(或者說至少4類)，它們是基于流量特征的實時檢測(WAF、IPS、NGFW等)、基于流量日志的異常分析機制(流量傳感器、Hunting、UEBA)、針對內容的靜態、動態分析機制(沙箱)、基于終端行為特征的實時檢測(ESP)、基于終端行為日志的異常分析機制(EDR、Hunting、UEBA)。

建設態勢感知的核心要素

你知道嗎?建設態勢感知需要具備流量數據采集、威脅情報和安全分析師三大核心要素。目前，以一些大數據安全平臺為載體，實現態勢感知技術在網絡安全領域的應用。

以銳捷網絡的RG-BDS大數據安全平臺為例，作為態勢感知信息的來源基礎，銳捷從防火墻、IPS、WAF以及各種服務器、網絡設備等安全采集層，獲取大量的例如安全攻擊事件、用戶訪問記錄、業務異常信息等安全信息。

另外，RG-BDS還內置有數百個安全分析模型，并且能夠通過機器學習、威脅情報等自動生成相應分析模型，更支持云端持續的分析模型升級能力。從攻擊發現、APT深度分析、威脅預測、安全知識庫協助、工單跟蹤閉環等模塊構建全流程安全體系。

當然，隨著國家將網絡安全提升至國家戰略層面，加之各項利好政策的推動下，目前已有不少安全廠商投身于網絡安全態勢感知相關解決方案的研發當中，比如說360、綠盟、深信服等等，這里我們僅以銳捷網絡為大家進行舉例。

其實不難看出，如今我們已從單純的網絡安全邁向了涵蓋物聯網、車聯網、云計算、大數據、移動互聯等多領域的大安全時代，以往那些傳統的安全防護措施已不能很好的保護我們免受來自網絡的惡意攻擊。因此，安全技術才應與時俱進，利用人工智能、大數據等新興技術，建立適合當下安全環境的新型防御體系，而網絡安全態勢感知，無疑能讓用戶看清業務，預知威脅，了解風險所在。