组 织 除 了 可 以 选 择 以 公 司 战 略 为 中 心 成 立 安 全 运 营 中 心之外,还可以选择两种最常见的安全运营服务模式,包括托管 式安全服务和托管式检测与响应服务。
企业基于合规和等保做基础安全体系化建设,同时依靠安全运营中心(Security Operation Center,SOC) 构建预防、检测、发现、响应等可视化的安全运营体系,并辅以红蓝对抗等主动攻击性防御措施,实现持续提升企 业的安全能力。SOC 作为发现、调查和响应网络威胁的安全团队的指挥基地,可以收集涵盖组织安全基础设施 的遥测数据,实现对网络、端点、操作系统、服务器、数据库和应用程序的持续主动监控。
简单来说,SOC是当今企业整体网络安全运营战略中不可或缺的一部分,由三个缺一不可的关键领域组成: 安全人员、技术和流程。构建 SOC 就好像组装三脚架,每条腿都必须独立而坚固,同时也需要依靠其他两条腿的 支撑才能保持稳定直立。同理,构建强大的 SOC 也一样,从设计安全运营中心架构开始就需要紧紧围绕三个关 键领域展开,每个领域都需要有独立的战略和管理要求。SOC 最常见的模型可以分为以下 3 类,组织可以根据 实际的需求和预算采用合适的模型。大多数安全运营策略采用以下技术的某些组合实现。
内部 SOC:内部 SOC 是指企业自行建立和管理的安全运营中心,组织负责招聘安全专家,购买和维护安 全设备和工具,实时监控和响应企业的安全事件。内部 SOC 可以完全控制和定制企业的安全策略和流程,但需 要企业承担更多的人力和物力成本。 安全运营中心 模型 内部SOC 混合SOC 托管SOC 内部 SOC 通常适用于大型组织和对安全
混合 SOC:混合 SOC 是指组织自行建立部分安全运营能力,并与外部托管安全服务提供商合作,共同应 对网络安全威胁。混合 SOC 兼具内部 SOC 和托管 SOC 的优点。组织可以利用内部安全团队的专业知识和对业 务的了解,同时借助外部服务提供商的资源和技术来弥补安全能力的不足。
托管 SOC:托管 SOC 是指预算不足和安全专业知识有限的组织将安全需求完全外包的模型,企业可以将 安全监控和响应的任务委托给托管 SOC 服务提供商,以节省成本和减轻内部安全团队的工作负担。托管 SOC 通常会提供完整的安全运营服务,包括实时监控、事件响应、威胁狩猎等功能。
总体来说,内部 SOC、混合 SOC 和托管 SOC 在组织结构、资源投入和服务模式上存在一定的差异。组织需 要根据自身的安全需求、资源状况和风险承受能力,选择适合自己的模型,以确保能够有效地保护企业的信息和 资产。
SOC 可以帮组织实现主动监控和管理其威胁态势,组织无论使用哪种模型的 SOC 都可以通过其强大的功 能实现网络安全运营闭环管理,保护业务信息免受网络攻击的持续威胁。
安全运营最主要的特点是对专业度的要求,包括对安全攻击的防御以及分析等技术的积累,安全威胁新动 态的跟踪以及拥有高端安全人才队伍等。以上各方面对当前的用户侧来说,实现比较困难,并且实现的性价比不 高,而网络安全公司天然具备以上各方面的优势,可以通过传统的产品化形式,以及安全咨询、安全服务或托管 / 混合安全运营中心等多种形式实现安全运营能力的传输,帮助用户实现整体安全运营。
2.1 托管式安全服务
网络安全是个高度专业化的领域,很少有组织具备了解组织的全部需求和当前威胁形势所需要的人才。因 此,在内部专业人员和知识有限的情况下促使许多组织开始选择托管式安全服务(Managed Security Service ,MSS)。根据 Marketsand Markets 的报告,全球托管安全服务(MSS)市场规模预计将从 2020 年的 316 亿美元增长到 2025 年的 464 亿美元,预测期内的复合年增长率 (CAGR) 为 8.0%。
托管安全服务提供商(MSSP)是提供安全系统和设备外包监控和管理以及安全服务的第三方公司。MSSP 为企业提供了一种高效且具有成本效益的方式,以确保跨不同的网络和设备处理其安全性和合规性需求。近年 来,随着市场竞争日益激烈和愈发严重的网络攻击增加了组织对网络安全服务的需求,越来越多的企业开始选 择 MSSP 来增加安全性。
MSSP 除了提供 7X24X365 全天候安全监控与报警之外还提供网络安全监控和管理服务,包括安全信息 和事件管理、托管防火墙、入侵检测和防御、虚拟专用网、漏洞扫描、设备管理等。同时,随着越来越多的员工实现远程办公,企业业务将基础架构迁移到云端,MSSP 通过实施安全控制、用户管理、备份、配置和云迁移的其他必 要支持来保护云环境。现阶段 MSSP 主要可以提供两种服务模式:完全托管和共同管理。
完全托管:完全托管的模式非常适合尚未拥有安全设备也没有深入的基础架构的组织或者是预算有限 不想单独购买网络安全设备的小型企业,MSSP 可以提供集成工具以及 24X7X365 全天候监控和管理 组织,保障企业 IT 基础设施稳定运行。
共同管理:共同管理模式适合已经拥有安全设备或拥有重要基础设施的组织,MSSP 既能利用组织现有 的安全工具提供 24X7X365 的管理和监控,并将工具配置为最佳设置。这有助于减轻组织维护和操作基 础架构的耗时任务,并且即使在非业务时间段也能为组织提供持续的安全监控。
MSSP 可以帮助组织遵守安全合规性法规,并管理组织的安全基础设施,选择合适的 MSSP 合作可以为组 织带来一系列的价值:
获得专业安全知识:网络安全形势复杂且不断发展,在组织内部雇佣足够数量且经验丰富的安全专家仍 然是许多公司面临的重大挑战之一。通过与合适的 MSSP 合作可以帮助组织获得保持安全所需要的专 业安全人员和技能。
持续数据安全保护:一旦组织的安全监控功能失效,那么组织的数据就会在网络上“裸奔”。因此,MSSP 提供持续监控组织的系统,检测、警报和响应随时可能出现的攻击,为组织提供持续性的数据安全保护。
增强安全成熟度:创建有效的安全态势需要足够的时间和经验,但许多中小型企业往往不具备这些能力。 通过与成熟的 MSSP 合作可以帮助组织快速建立一套成熟的解决方案,打造网络安全第一道防线。
实现安全工具管理:随着安全需求的增加,许多组织通过投资越来越多的安全工具以满足安全需求。但 当多种安全工具同时运行警报时,往往会带来一定的负担。MSSP 通过将这些工具整合到一个平台中,实 现对安全工具进行集中管理,提高效率。
满足合规性要求:MSSP 帮助组织减轻合规负担,通过实施安全控制以满足监管要求以及收集数据和生 成审计合规报告。
MSSP 大多数适用于小型企业,但大型企业也与第三方 MSSP 合作提供某些安全服务。例如,当开发人员 发布安全补丁时,快速更新固件和软件非常重要。MSSP 将快速更新软件和固件,以确保企业不会受到已知安全 问题的影响。
2.2 托管检测与响应
近年来,随着网络攻击手段的不断升级,各种规模的组织均意识到需要采取主动的网络安全方法,托管检测 与响应(Managed Detection and Response,MDR)作为一种新兴的网络安全运营服务迅速普及。根据 IndustryARC 的报告称,到 2025 年托管检测和响应(MDR)市场预计将达到 22 亿美元,在 2020 到 2025 年 的预测期内复合年增长率为 16.7%。
Gartner 在托管检测和市场指南中将 MDR 描述为“MDR 服务提供远程交付的现代安全运营中心功能,专注于快速检测、调查和主动缓解事件。”MDR 可为客户提供 24/7 连续实时网络威胁监控以及专业的事件响应, 传统的安全解决方案侧重于识别和阻止已知威胁,而 MDR 提供商采取主动的安全方法,使用高级分析和机器 学习来识别和响应跨本地和云网络、端点和身份的已知和未知威胁。
MDR 提供商通过使用高级威胁检测技术查明威胁并分析整个环境中的活动,然后威胁情报将原始数据转 化为上下文信息,以显示早期检测并确定警报的优先级,最后对警报进行分类处理,对事件根本原因进行全面评 估。通过使用 MDR 服务,组织可以将检测时间从平均 280 天缩短到短短几分钟,从而大大降低事件的影响。
