【51CTO.com快譯】引言：下列清單可幫助您鑒別安全即服務(wù)類(security-as-a-service，即SECaaS)提供商的專業(yè)技術(shù),并且評估出哪個提供商能夠最好的滿足您的需求。

安全即服務(wù)(security-as-a-service)的概念已逐漸根植于許多人的思想中。其實這也不難理解。越來越多的組織已經(jīng)意識到：除了需要經(jīng)常性滿足傳統(tǒng)的合規(guī)以外，安全運(yùn)營和持續(xù)事件響應(yīng)同樣不容忽視。與此同時,如今許多組織也進(jìn)一步意識到構(gòu)建出成熟的且具備應(yīng)對各種現(xiàn)代威脅的安全能力并非是簡單的一蹴而就之事。它實際上是一個復(fù)雜的且持續(xù)的努力過程，而且需要相當(dāng)?shù)母冻龊蛯τ陲L(fēng)險及威脅發(fā)展與變化的持續(xù)關(guān)注。

[[173855]]

大家對安全的概念已經(jīng)是今非昔比了?，F(xiàn)在許多審計人員想知道的是一個組織是否有事件響應(yīng)計劃,以及它是否行之有效。隨著各個組織將其業(yè)務(wù)和基礎(chǔ)設(shè)施等部件轉(zhuǎn)移到了云計算模式，他們已經(jīng)在尋找與云計算相配套的安全解決方案了。不過貌似這一切還并不夠，客戶們現(xiàn)在也開始定期詳查其云服務(wù)提供商、以及其他各類提供商們對其數(shù)據(jù)保管工作的踐行情況。正所謂“道高一尺、魔高一丈”，攻擊者同樣越來越善于在不使用任何惡意軟件的條件下盜取各類證書，并偽裝成合法用戶去訪問數(shù)據(jù)。

考慮到上述這些因素，毫無疑問，組織需要利用“安全即服務(wù)”提供商所提供的專業(yè)技術(shù)，來幫助他們在很短的時間內(nèi)滿足各種各樣的安全需求。正所謂：哪一塊市場有方案需求，魚龍混雜式的炒作就會跟風(fēng)而至。那么各個組織如何才能看穿這些“炒作”與“雜音”，從而了解到“安全即服務(wù)”提供商的真正能力，并且評估出哪個提供商能夠最好的滿足他們的需求呢?

在讓提供商“進(jìn)場”之前，就讓我們用20道問答游戲的方式來對他們的能力進(jìn)行一番探索吧。正如之前提到的，這可能并非一個詳盡的問題清單，但卻是一個很好的開始。

1. 提供商的整體理念和愿景是什么?

注：潛在客戶要求“安全即服務(wù)”提供商用一、兩句話來闡述其奮斗的技術(shù)目標(biāo)和內(nèi)驅(qū)力。在我看來，這是非常合理的開啟詢問的方式。畢竟明確目標(biāo)決定著后續(xù)的發(fā)展方向。

2. 除了基本的合規(guī)之外，你們還能提供什么?

注：誠然按照各種既定的規(guī)范去收集到用戶的數(shù)據(jù)是比較容易的事情，但是對這些數(shù)據(jù)實施合理且有價值的管控卻完全是另外一回事了。

3. 哪些是他們進(jìn)行內(nèi)容開發(fā)處理和日常操作流程等問題的驅(qū)動力?

注：實際上圓滿的回答應(yīng)該是：通過對我們組織所面臨的風(fēng)險和威脅深入理解，并進(jìn)行了優(yōu)先級排序后,尋找控制措施來幫助我們降低風(fēng)險與威脅，才是其工作的驅(qū)動力。

4. 各類報警是如何制定、實現(xiàn)和維護(hù)的?

注：系統(tǒng)監(jiān)控到了安全事件一般都會觸發(fā)各類報警。但是如果你想監(jiān)控到我們的組織運(yùn)營，我理應(yīng)清楚的知道你們是如何及時的產(chǎn)生出可行的、不失真的、而且是“低噪音”的報警的。而且該報警不會在本組織已經(jīng)處于人手資源有限的情況下，產(chǎn)生誤報或者反而增添更多的工作量。

5. 你將如何解析我們的網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)流?

注：畢竟，即使是使用了最好的內(nèi)容開發(fā)流程和報警邏輯，也需要搜集和獲得足夠的網(wǎng)絡(luò)數(shù)據(jù)來進(jìn)行識別等后繼操作。因此能夠長邏輯上解析清楚我們的網(wǎng)絡(luò)環(huán)境及數(shù)據(jù)流就顯得非常重要了。

6. 你將如何解析我的各種終端呢?

注：這其中也包括了如臺式機(jī)和筆記本電腦之類的傳統(tǒng)終端，以及如智能手機(jī)、平板電腦、瘦客戶機(jī)等那些新型的終端。因此具有跨各種設(shè)備的“可視”能力，對我們來說是非常重要的。

7. 你能幫我監(jiān)視到Web應(yīng)用和服務(wù)器嗎?

注：總在黑暗處窺視我們的那些攻擊者是不會僅限于攻擊終端的。如果Web應(yīng)用程序或服務(wù)器本身是脆弱的，那他們肯定會施以攻擊。如果發(fā)生此類情況，我想盡快第一時間知道。當(dāng)然，更理想的狀態(tài)是：在我碰到該問題之前，你是否能提供一種服務(wù)，以幫助我去主動的識別出那些易受到攻擊的資產(chǎn)呢?

8. 你將如何提供針對我的云基礎(chǔ)設(shè)施的可視性呢?而且能達(dá)到我以前傳統(tǒng)企業(yè)模式下的那樣監(jiān)控程度嗎?

9. 你能提供給我那些已外包出去的軟件即服務(wù)(SaaS)應(yīng)用的可視性嗎?

注：對于來自外部的針對數(shù)據(jù)犯罪、欺詐、竊取等活動，或是來自內(nèi)部安全威脅等問題，我需要是全面的可視性，而不要有任何的盲區(qū)。

10. 你能有一個集中管理的門戶入口來方便我及時高效的存取自己的數(shù)據(jù)嗎?

注：這樣可以幫助我便捷的查看并了解到的本組織內(nèi)部的當(dāng)前安全狀態(tài)。

11. 你的門戶入口支持什么類型的數(shù)據(jù)壓縮、聚合和可視化的標(biāo)準(zhǔn)?

注：如果需要的話，你會允許我來自定義數(shù)據(jù)的識別模式和深入挖掘模型嗎?

12. 你提供什么工具來允許我創(chuàng)建自己的報警?

注：我可以按自己所需來定義數(shù)據(jù)采集和安全事件等方面的深入調(diào)查嗎?

13. 除了檢測和響應(yīng)，你還能提供什么樣的幫助來避免我的組織受到安全侵犯呢?

14. 我怎么能夠確定：你可以根據(jù)我所提供的數(shù)據(jù)的總量和復(fù)雜程度，來迅速檢測出我的組織是否受到安全侵犯呢?

15. 你如何分析和調(diào)查所產(chǎn)生的警報?

注：我希望你憑借的是專業(yè)知識，并且使用的是企業(yè)級的技術(shù)與方法。

16. 針對不同類型的事件，你是否有不同的文檔化處理流程?

注：我是希望在不同的事件場景發(fā)生時，你都能有所準(zhǔn)備且處理得當(dāng)。

17. 如果檢測到一個安全侵犯，你將如何去控制并糾正該侵犯呢?

注：響應(yīng)流程固然重要，但是除此之外，必要的綜合技術(shù)支撐使得響應(yīng)操作能順利實施也是至關(guān)重要的。

18. 你能提供什么樣的報告呢?

注：我需要將你的服務(wù)報告和績效指標(biāo)呈報給我的管理層。包括：你開具的服務(wù)單數(shù)量和過濾出了多少防病毒報警等。如有更多，則對我更有幫助。

19. 你如何提供事后教訓(xùn)總結(jié)來幫助我從過往的錯誤中進(jìn)行學(xué)習(xí)，從而不斷提高和保持本組織的安全狀態(tài)?

20. 作為一個“安全即服務(wù)”的提供商，你是如何不斷進(jìn)行迭代、改進(jìn)并成熟和完善自己的能力，以確保我所獲得的“安全即服務(wù)”能跟上并能應(yīng)對不斷變化的威脅態(tài)勢。

實際上，市場上是沒有所謂的“安全即服務(wù)”提供商緊缺之說的。只要哪里有業(yè)務(wù)需求的出現(xiàn)，市場和營銷就會跟進(jìn)到哪里。各個組織的業(yè)務(wù)和安全領(lǐng)導(dǎo)層需要運(yùn)用鮮明且有效的方法去篩掉“炒作”與“雜音”因素，并最終能做出理性且明智的決定。如您所見，我就是這么一個愛用“20道問答游戲”來厘清問題的“粉絲”。

原文標(biāo)題：20 questions to explore with security as a service providers          作者：Joshua Goldfarb

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】