需要安全運(yùn)營中心(SOC)的公司企業(yè)未必負(fù)擔(dān)得起相應(yīng)的設(shè)備和人員開支。很多提供商都推出了安全運(yùn)營中心即服務(wù)(SOCaaS)業(yè)務(wù)，該怎么衡量和選擇呢?

[[264960]]

如果你目前還沒有自己的安全運(yùn)營中心，那你可能正在考慮怎么樣才能不自己動(dòng)手就擁有相同的功能。打造公司自己的SOC可能花費(fèi)不菲，如果考慮進(jìn)24小時(shí)運(yùn)營的員工成本，那開銷就更大了。

過去幾年里，托管安全服務(wù)提供商(MSSP)提出了云SOC概念，可用于監(jiān)視客戶的網(wǎng)絡(luò)和計(jì)算基礎(chǔ)設(shè)施，并提供漏洞修復(fù)和惡意軟件緩解等一系列服務(wù)。我們不妨來考察一下這種SOC即服務(wù)(SOCaaS)行業(yè)的成長歷程，看看他們所提供的功能，考慮如何選擇適合自己特定需求的提供商。

何謂SOCaaS?

SOCaaS的定義是動(dòng)態(tài)發(fā)展的，從提供基本的24小時(shí)網(wǎng)絡(luò)監(jiān)控，到全功能的威脅檢測(cè)與緩解，都包含在內(nèi)。這意味著每家供應(yīng)商都有自己可以被標(biāo)注為SOCaaS或傳統(tǒng)MSSP的服務(wù)集。糾結(jié)于是SOCaaS還是MSSP會(huì)耗去很多不必要的時(shí)間。有時(shí)候這不過是每個(gè)首字母縮略詞的定義不同，有時(shí)候這只是個(gè)理解問題，有時(shí)候要?dú)w結(jié)到具體的產(chǎn)品和服務(wù)上，還有時(shí)候跟供應(yīng)商的出身有關(guān)。

SOCaaS的定義問題部分源于供應(yīng)商來自于專注不同安全領(lǐng)域的行業(yè)。有些是從托管安全事件承包商(AlertLogic)起家，有些則是托管檢測(cè)承包商(Network Technology Partners)或托管終端安全供應(yīng)商(賽門鐵克和Trustwave)。有些開發(fā)了自己的SOC類控制端以管理自身產(chǎn)品，然后將其改為更加通用的工具，可以連接更多的應(yīng)用。有些則脫胎自大型計(jì)算機(jī)制造商(IBM、戴爾和惠普)的服務(wù)部門。

還有的從運(yùn)營自己的托管網(wǎng)絡(luò)運(yùn)營中心(NOC)開始，然后拓展至安全領(lǐng)域。托管NOC和托管SOC之間有何區(qū)別?前者更關(guān)注保障數(shù)據(jù)包在網(wǎng)絡(luò)管線中順暢流通。后者則幾乎只關(guān)心你是否在用正確的管線和正確的數(shù)據(jù)包。二者所用的工具集也完全不一樣：網(wǎng)絡(luò)延遲 vs. 吞掉CPU的處理過程。關(guān)鍵點(diǎn)就在于他們提供的到底是什么服務(wù)?他們監(jiān)視的是什么?他們的東西如何與你現(xiàn)有的服務(wù)器和網(wǎng)絡(luò)基礎(chǔ)設(shè)施相互操作?

采用SOCaaS的目標(biāo)是要擁有能夠警示數(shù)據(jù)泄露或其他安全事件的設(shè)備，讓你不用構(gòu)建自己的SOC，也不用雇傭高端技術(shù)人才來運(yùn)營防護(hù)性安全設(shè)備。理想狀況下，供應(yīng)商應(yīng)該能夠及時(shí) (及時(shí)程度與其服務(wù)水平協(xié)議有關(guān)) 發(fā)現(xiàn)事件，并做出必要的修正以緩解威脅。

Gartner在2018年2月發(fā)布的托管安全服務(wù)報(bào)告包含了SOCaaS類事務(wù)，比如安全事件監(jiān)視、網(wǎng)絡(luò)層威脅監(jiān)視與檢測(cè)、日志分析、漏洞掃描及事件響應(yīng)——所有這些的交付形式都是來自中央SOC類實(shí)體的托管服務(wù)。這還只是此類事務(wù)中最基礎(chǔ)的部分，然而需要管理的工具集已然很龐大了。該報(bào)告列出了17家全球提供商，包括AT&T/AlienVault、英國電信(BT)、Century Link 和NTT，全都是電信公司，也就是最了解如何保障全球大型網(wǎng)絡(luò)基礎(chǔ)設(shè)施隨時(shí)在線的那些供應(yīng)商。

如果你的公司員工和服務(wù)器遍布多個(gè)大洲，那上述大型電信公司理應(yīng)耳熟能詳。如果你的公司規(guī)模較小，那你可能想要采用專精于SOCaaS的幾十家供應(yīng)商中的一家，比如說ArcticWolf、RadarServices或DigitalHands。

怎樣評(píng)估SOCaaS?

SOCaaS評(píng)估中最令人沮喪的部分或許是算出自己到底該付出什么或者多少錢 。考慮到云服務(wù)的本質(zhì)，定價(jià)模型從一開始就很復(fù)雜，而且在這個(gè)市場板塊中會(huì)變的更加晦澀難懂。

AlertLogic是為數(shù)不多的幾家有著明確定價(jià)頁面的供應(yīng)商之一，有每月花費(fèi)從550美元到4,500美元不等的三個(gè)定價(jià)層次。但其他供應(yīng)商就沒那么樂于提供定價(jià)信息了。

目前來看，Network Technology Partners和AccountabilIT的起步價(jià)都很低，最基礎(chǔ)的服務(wù)定價(jià)分別為每月1,500美元和每月1,600美元，且價(jià)格隨客戶添加的需監(jiān)視資產(chǎn)數(shù)量及網(wǎng)絡(luò)流量規(guī)模的增加而升高。絕大多數(shù)情況下，其他供應(yīng)商要么對(duì)自己的定價(jià)含糊其辭，要么對(duì)定價(jià)問題特別敏感。很多供應(yīng)商只向愿意簽署保密協(xié)議的潛在客戶提供定價(jià)信息。很明顯SOCaaS的價(jià)格需要更加透明。

還有個(gè)問題是你可能不清楚自己有多少服務(wù)器、終端和應(yīng)用是需要保護(hù)、監(jiān)視，或者說放到SOCaaS供應(yīng)商手下的。很多公司會(huì)從概念驗(yàn)證開始，先把少數(shù)終端交托SOCaaS以觀察其運(yùn)作機(jī)制和SOC捕獲的流量內(nèi)容，然后再擴(kuò)展至較大范圍的部署。

接下來。公司SOC的地理位置分布有多重要呢?有些供應(yīng)商專注于一個(gè)中心SOC。 其他供應(yīng)商則在不同大洲都有部署，實(shí)現(xiàn)全天候全時(shí)段運(yùn)作或充分利用互聯(lián)網(wǎng)連接的便利。Network Technology Partners 在距離其圣路易斯總部幾小時(shí)遠(yuǎn)的地方部署有第二個(gè)SOC，因?yàn)樗麄兛梢栽谀抢锔奖愕卣衅傅剿璧募夹g(shù)人才。Bolton Labs 專注亞洲市場，所以其3個(gè)SOC全都部署在亞洲。

供應(yīng)商的秘訣都是什么呢?了解每家供應(yīng)商的不同出身背景，有助于理解他們?cè)谀阍馐苠礄C(jī)或數(shù)據(jù)泄露時(shí)用于監(jiān)視、修復(fù)和向你報(bào)警的技術(shù)。有些供應(yīng)商聚合了一系列開源工具，但撰寫了自己的專利控制面板，供用戶查看這些工具的性能和安全狀況。有些供應(yīng)商則開發(fā)了自己用于威脅追捕或其他任務(wù)的工具包。AccountabillIT是AlienVault的技術(shù)轉(zhuǎn)包商，這就又是另一種模式了。

向SOCaaS提供商提問

編輯征求意見書(RFP)或調(diào)查問卷的時(shí)候，下面幾個(gè)問題可供參考。

1. 所提供的功能與純監(jiān)視服務(wù)方法有何不同?

這個(gè)問題的答案有助于你辨別各家供應(yīng)商的細(xì)微差別，優(yōu)中選優(yōu)。AlertLogic從SIEM開始，然后逐步添加基于其自有全球遙測(cè)和威脅監(jiān)視項(xiàng)目的其他防護(hù)性技術(shù)。你可能想從純MSSP開始，看看自己的體驗(yàn)情況，然后再?zèng)Q定是否轉(zhuǎn)向完全的SOCaaS。

2. 支持多少遺留SIEM及服務(wù)桌面系統(tǒng)?

有些供應(yīng)商希望你轉(zhuǎn)向他們的現(xiàn)場解決方案。其他供應(yīng)商(比如DigitalHands.com)為你的遺留系統(tǒng)提供更廣泛的支持，而有些(比如 Network Technology Partners )有自己的API集供客戶或自己編寫程序用。

3. 客戶需要在自家公司安裝什么代理和服務(wù)器?

絕大多數(shù)供應(yīng)商需要兩樣?xùn)|西來監(jiān)視你的基礎(chǔ)設(shè)施：代理和定制服務(wù)器——收集流量并運(yùn)行供應(yīng)商的專利應(yīng)用。有些供應(yīng)商還要求安裝多個(gè)代理用以處理不同任務(wù)，比如一個(gè)專門負(fù)責(zé)監(jiān)視，而另一個(gè)專門負(fù)責(zé)修復(fù)。

4. 供應(yīng)商重新評(píng)估/掃描你基礎(chǔ)設(shè)施的頻率是多少?

監(jiān)視有可能是持續(xù)性的，也有可能每個(gè)季度才掃描一次，云和現(xiàn)場設(shè)備的評(píng)估頻率可能有很大差異。

5. 怎樣產(chǎn)生合規(guī)審計(jì)?

有些供應(yīng)商的定價(jià)中已包含了審計(jì)，有些則要額外收費(fèi)。有些供應(yīng)商會(huì)將你推薦到第三方進(jìn)行審計(jì)以獲得完全獨(dú)立的評(píng)估。還有些供應(yīng)商，比如 Bolton Labs，就完全不提供任何合規(guī)服務(wù)。每種方法都有其值得采納的理由，你只要知道自己支付的費(fèi)用能獲得什么服務(wù)就可以了。

6. 供應(yīng)商有沒有分銷或直銷模式?

有些供應(yīng)商的合作伙伴網(wǎng)絡(luò)已經(jīng)非常成熟。有些選擇使用 Ingram Micro 之類大型經(jīng)銷商擴(kuò)展業(yè)務(wù)。還有些希望直接與客戶打交道。有些SOCaaS提供商還向其他MSSP轉(zhuǎn)售他們的服務(wù)——一個(gè)很有趣的商業(yè)模式。無論采取哪種方法，要確保自己很適應(yīng)這種模式。

7. 供應(yīng)商的目標(biāo)客戶規(guī)模有多大?

有些供應(yīng)商更注重中型市場甚至小企業(yè)。有些則適應(yīng)橫跨多個(gè)大洲的超大型網(wǎng)絡(luò)。所以，有必要清楚自身成長區(qū)間，以及弄清供應(yīng)商最擅長處理的區(qū)間。

8. 供應(yīng)商的SOC員工來自哪里?

你應(yīng)該會(huì)想知道照看你網(wǎng)絡(luò)的人接受了什么樣的培訓(xùn)?擁有什么證書?具備其他哪些技能?很多情況下，人比設(shè)備重要。畢竟，你聘用SOCaaS的原因就是：無需再擁有自己的SOC員工。

• 2018年2月Gartner托管安全服務(wù)報(bào)告：https://www.gartner.com/reviews/market/managed-security-services-worldwide
• AlertLogic定價(jià)頁面：https://www.alertlogic.com/solutions/product-overview-and-pricing/

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文