传统态势感知建设问题有什么
传统态势感知建设问题有:
重管理而轻运营:部分传统态势感知在建设过程中往往聚焦于政企机构的安全管理及支撑流程建设,例如人员管理、流程管理、制度管理,甚至是考核管理。或者从对人的管理下沉为对产品的管理,例如各类安全设备的集中管理。这些管理类功能虽然能在协同工作、信息共享方面发挥作用,但因为其没有从安全的本质需求入手,导致它们往往并不能直接产生安全价值,无法有效地发现安全问题,无法帮助安全管理人员有效地解决问题。
有数据而无分析:传统态势感知一直都在建议采集各类安全数据用于支撑分析和溯源,但在实际的使用过程中,数据是否能够被有效分析是一个不得不额外关注的问题。大量态势感知体系建设的失败案例中,往往都具有一个共同的特征,那就是数据存储消耗了大量资源,但并没有通过安全分析得到安全问题的线索。实际上数据的采集范围和分析能力是相辅相成的,一个好的态势感知体系不仅需要各类安全数据,也需要强大的覆盖关联分析、机器学习、威胁情报等各类技术的威胁分析能力。
重功能而轻效率:传统态势感知往往具有形形色色的功能,这本身无可厚非,但对政企机构来说,需要有效甄别这些功能是否能够有效地支撑安全工作,是否所有功能都能够帮助政企机构有效提升效率,此时功能的多少远远没有“功能适合”更为重要。比如当一个政企机构的IT资产管理能力尚不完善时,即使其态势感知中包含主机资产、Web资产、服务资产等各类资产管理能力,对该政企机构来说可能未必有价值,而只是意味着更高的使用和维护成本。
重建设而轻验:证近年来,态势感知经历了快速发展,不少政企机构已经建设完毕或正在建设当中。伴随着态势感知的建设,很多政企机构内部的安全体系建设也在进行调整。但在这些调整中,我们很少看到对各类系统建设成效的验证和确认,这导致各类系统建设可能无法伴随攻防形式的变化而进行快速调整。这直接导致整个政企机构的安全建设落后于攻击者的攻击手法半年到一年以上,因此我们需要在实战化态势感知体系的建设中给予足够的重视。
态势感知建设与应用的建议如下:
运营对态势感知平台的价值发挥来讲尤为重要,后期应充分发挥厂商远程支持和驻场服务的作用。
数据采集探针数量不足,数据采集探针的部署位置不准确,将会导致很多网络流量采集不到,需要在前期规划时给予足够重视。
态势感知平台的机器学习和大数据分析能力非常有价值,专业的安全分析师难得但是非常必要。
前期应投入足够的资源进行模型规则的梳理整合,磨刀不误砍柴工。
要做好日志规范,做好日志数据及相应的授权规则;消除日志误报干扰,呈现的大屏数据才是准确有效的。