將安全策略和日常運營交給托管安全服務提供商可以解放IT資源

[[173668]]

Phenix Energy Group，一家原油管道運營和建設公司，正準備在數(shù)月間將其IT基礎設施從無到有建設起來。為啟動其醞釀數(shù)年之久的管道工程，該公司計劃將其相對較小的辦公室環(huán)境，擴建成具備75臺服務器，250TB存儲能力的數(shù)據(jù)中心。因此，以前從未列入高優(yōu)先級列表的安全問題，瞬間就凸顯了出來。

鑒于其高風險性——系統(tǒng)宕機會導致每小時100萬美元的損失，該公司CIO兼COO布魯斯·佩林花了5年時間研究各種方案。雖然想要作為內(nèi)部數(shù)據(jù)中心的一部分自己運營安全管理，但佩林開始有點傾向于外包該功能了，因為他沒時間在管道上線前的區(qū)區(qū)幾個月里，配齊一個專門的信息安全部門。

評估IT安全增值轉(zhuǎn)銷商和安全托管服務提供商(MSSP)時，佩林說：“項目巨大。沒人能在90天里搞定這種IT部署。除了外包我別無選擇——我得引入能提供所需安全級別并幫助我們部署IT的人，最終目標是將所有東西都納入掌控。”

為什么外包安全有意義

鑒于如今越來越多的數(shù)據(jù)泄露和對風險的愈趨重視，就像 Phenix Energy Group，很多中小企業(yè)都傾向于安全和日常運營的外包模式。近期，一份針對287名美國IT和業(yè)務人員進行的調(diào)查顯示，56%的受訪者稱自己的公司招募外部顧問幫助設立信息安全策略，40%稱公司正轉(zhuǎn)向MSSP。

外包服務

根據(jù)調(diào)查，最常被外包的職能包括：滲透測試/威脅評估(稱轉(zhuǎn)向顧問和MSSP的190位受訪者中有70%提到此條)，垃圾郵件過濾(46%提到)，威脅情報(40%)，日志監(jiān)視(34%)，反DDoS/Web應用防火墻防護(27%)，業(yè)務連續(xù)性與災難恢復(26%)，意識培訓(22%)。

哪些安全服務會選擇外包

專家認為，外包安全職能之所以對中小公司特別有吸引力，是因為他們的資源通常已經(jīng)被瓜分得十分稀薄，大多缺乏足以履行安全職能的足夠帶寬。較小的公司也不太可能有人具備專門的安全技能，專注于在不斷更新的安全態(tài)勢中保持領先。

其他迫使公司企業(yè)轉(zhuǎn)向外包安全的發(fā)展因素包括：惡意黑客的增加，以及企業(yè)安全產(chǎn)品的大量出現(xiàn)。兩種趨勢都讓小公司難以管理安全。

不可避免的結(jié)論就是：因為沒有帶寬，因為跟不上，公司企業(yè)將越來越依靠MSSP來管理安全。省下的時間就是外包的主要益處，遠比成本節(jié)省在優(yōu)勢列表上的排名要高。

外包：不是非此即彼的命題

多家中型企業(yè)里履行過CIO職能的布蘭登·奧馬利稱，外包或托管服務模型行之有效——因為通常除了CIO就沒別人專職安全了，這讓公司面臨風險。只要切分給幾個人，安全就能被搞定;但中小企業(yè)里因為除了CIO就沒別人負責，要取得進展非常困難，想掌握安全態(tài)勢也十分不易。絕對需要取得一定程度上的外部支援。

誰要為數(shù)據(jù)泄露負責

對黑鷹社區(qū)信用合作社而言，從MSSP之類外部提供商獲得援手，不僅僅能卸下一些安全重擔，同時還意味著該公司擁有了全天候的專業(yè)安全保障。黑鷹IT副總裁就稱，其手下8人團隊不可能提供此類服務，因為他們必須處理超過150名用戶的全部IT問題，包括安全。

不過，該合作社并沒有全權(quán)交給MSSP，而是采取三管齊下的方法：自己制定安全策略，招募顧問履行特定職能(如定期防火墻審查)，依靠其MSSP( Dell SecureWorks )擔負主要安全運營——比如管理防火墻和入侵防護系統(tǒng)之類。

黑鷹IT副總裁稱：“他們可以基于所有客戶及其反饋看清全球趨勢，這給我增加了信心，讓我不用整夜擔心網(wǎng)絡。如果他們看到什么異常，他們會通知我。”

警報過程，就是外包會給小公司帶來麻煩的地方，潛在的復雜性也會削弱采用MSSP的價值。雖然外包日志監(jiān)視和防火墻管理給第三方，能引入對潛在問題的可見性，但因為第三方缺乏對公司內(nèi)部運作及其典型用戶行為的理解，外包商也可能會難以區(qū)分真正的安全問題和單純的噪音。

外包商需要幫助

為抽取外包安全服務的最大價值，公司企業(yè)需要設置好流程和信道，以便能夠向MSSP提供輸入，讓他們掌握正確的警報評估上下文。此外，與服務提供商合作的公司企業(yè)，還應準備好發(fā)現(xiàn)并解決更多的事件，因為在檢測可疑活動方面，MSSP通常會比內(nèi)部員工表現(xiàn)良好。

MSSP從客戶間獲取的可見性很多，并能使之各自相關(guān)，但他們所不知道的，是特定公司的特殊事務——微觀宏觀問題，或者說，那個業(yè)務部門最敏感的問題。公司內(nèi)部需要有人來充當聯(lián)絡官的角色。

謹慎選擇

但聯(lián)絡官的工作可能相當耗時間?？梢詥枂柧S斯·法里斯。他是哈里斯精神健康與碘缺乏病中心信息安全官兼MSSP聯(lián)絡官。他案頭的工作太多了，以致他只能花有限的時間與MSSP合作微調(diào)日志監(jiān)視和警報，以反映其用戶和公司的工作習慣。

“為從此項服務中獲得更多價值，我們應該主動調(diào)整，但我卻沒有時間。這是個全職工作。中心負擔不起另外雇傭全職員工專心聯(lián)絡員工作。”

就像與任何供應商的關(guān)系一樣，管理你的MSSP，讓它履職盡責，是非常重要的。最好選擇在你的特定行業(yè)具備專門知識的合作伙伴。鑒于IT安全的重要性，以及即便適應不良也很難更換提供商的現(xiàn)實，做好盡職審查以選對服務提供商就顯得特別關(guān)鍵了。

一旦簽訂托管服務合同來監(jiān)視成百上千的設備，剝離更換服務提供商就沒那么簡單了。你得確保那就是你想用的公司，他們的工具集豐富多樣，他們的員工值得信賴。