摘要:态势感知是一种安全能力建设,这种能力侧重于对威胁的检测、分析,恰好适应了单纯在防御上进行投入,已经无法有效应对当前威胁的现状.态势感知的基础是对报警和元数据的收集,为达到"全天候全方位"的目标,其需要在流量、内容、终端三个方面,利用实时数据和历史数据进行检测.但单纯报警的可视化展示并不是真正的"态",要呈现当前的"态",需要针对报警或者异常情况,对其进行误报甄别、定性分析(识别定向型攻击或是随机性攻击)、了解攻击的影响范围和危害、确定缓解或清除的方法及难度等.在这个前提下,它再对组织面临安全事件全面呈现才能称为"态".而"势"则是未来可能的安全事件或状态,这种预测可以从对已知攻击者的意图、技战术特点以及Killchain分析得出,如果能够获得相关行业或者组织的情报共享,无疑可以更全面地掌握"势".因此可以认为,态势感知在某种意义上是一个大数据安全分析的问题.威胁情报在国内还属于比较新的安全技术,但却是现阶段帮助组织快速提升检测、分析、预防预测能力的最佳选择,尤其是态势感知这种综合能力的建设必须考虑威胁情报。同时,依托不同类型的情报相关产品,让分析人员的能力逐步成长,提高分析效率,也是解决人才缺口行之有效的方法。