隨著企業(yè)越來越多地接受安全托管服務(wù)，這些安全服務(wù)的收益和風(fēng)險對當(dāng)前的客戶和潛在客戶也都越來越明顯。一項由Forrester對140名MSSP客戶進(jìn)行的調(diào)研發(fā)現(xiàn)：有一部分的客戶非常成功地使用了第三方安全服務(wù)供應(yīng)商，而剩下許多其他人卻很難從他們的合作關(guān)系中獲益。

Forrester發(fā)現(xiàn)，幾乎所有的CISO們都試圖向非安全的領(lǐng)導(dǎo)層證明他們在MSSP上的開銷，原因就在于相對于其他開支，安全服務(wù)缺乏合適的衡量指標(biāo)，同時技術(shù)復(fù)雜性又相對更高。與此同時，安全服務(wù)供應(yīng)商自己也在努力將他們的服務(wù)緊貼對企業(yè)真正重要的事情上——如何對他們的客戶和利益相關(guān)方產(chǎn)生價值，以及他們?nèi)绾文軌蛑С謽I(yè)務(wù)需求。

[[434997]]

MSSP不是一項外包工作

“組織犯的第一個錯誤，就是認(rèn)為MSSP是一種外包。”Forrester的分析師兼報告的作者之一的Jeff Pollard表示。現(xiàn)實是，大部分公司在使用MSSP后依然持續(xù)地在安全上花費(fèi)更多時間，而不是更少。通常，組織會在一些比較有價值的事情上花費(fèi)時間，比如追蹤嚴(yán)重的威脅和事件、或者脆弱性修復(fù)活動。“如果企業(yè)期望花更少的時間，動用更少的資源，這種情況極少。”Pollard說道。

不同規(guī)模的公司都在開始嘗試MSSP，但是大型組織背后的動機(jī)和中小微企業(yè)有所不同。451 Research的分析師Daniel Kennedy表示，大約三成員工數(shù)在1,000人以下的公司，以及四成有超過1,000名員工的組織已經(jīng)啟用了安全托管服務(wù)。

451 Research的數(shù)據(jù)顯示，有相對豐富信息安全資源的大型企業(yè)傾向于使用入侵管理和SIEM這類安全運(yùn)維功能。許多大型企業(yè)同樣會使用MSSP實現(xiàn)像MDR的事件響應(yīng)服務(wù)。

而小型組織，一般會用MSSP賦予一些基礎(chǔ)設(shè)施相關(guān)的能力，比如端點(diǎn)安全;還有的時候，供應(yīng)商相比提供安全聚合能力，更多的是提供一種替代IT服務(wù)的能力。中小型企業(yè)的動機(jī)更多是降低安全成本，同時確保覆蓋基礎(chǔ)的安全需求。

Forrester發(fā)現(xiàn)，當(dāng)使用方式恰當(dāng)?shù)臅r候，一個有能力的MSSP可以幫助組織提升整體的防護(hù)質(zhì)量，并且?guī)椭蛻艟酆媳镜氐哪芰图夹g(shù)——尤其是在一些深度技能缺乏的領(lǐng)域。“在中小型企業(yè)，MSSP的ROI經(jīng)常是來自于在成本無法完全覆蓋招聘、雇傭和維持一個24/7的SOC團(tuán)隊的時候，能夠獲得的安全回報。”AT&T的網(wǎng)絡(luò)空間安全銷售VP，Marcus Bragg認(rèn)為，“而在大型組織，MSSP的使用能夠讓現(xiàn)有的企業(yè)安全人員專注于更有戰(zhàn)略性的、有影響力的安全工作。”

但是得到這樣的ROI會讓那些不清楚自己到底能得到什么的組織無法滿意。Forrester的調(diào)研顯示，當(dāng)CISO們對他們自身的能力和項目有清楚的認(rèn)知，并且對供應(yīng)商有特別的要求的時候，才能有最好的MSSP結(jié)果。在這樣的合作關(guān)系中，正確的期望會被提前表明，然后逐漸去實現(xiàn)。

MSP VS. MSSP

MSP(managed service provider，管理服務(wù)供應(yīng)商)一般提供主要的IT托管服務(wù)。但是，根據(jù)Datto的全球MSP報告顯示，隨著勒索軟件和其他威脅的出現(xiàn)，幾乎所有(99%)的MSP都會提供一些安全服務(wù)。

不過，在考慮MSP的時候需要多一個心眼，因為他們的安全能力可能很有限。Datto的報告顯示，雖然大部分的MSP都會提供像端點(diǎn)服務(wù)那樣的基礎(chǔ)防護(hù)，但是只有66%的MSP會提供基礎(chǔ)的防火墻能力，68%的MSP會提供雙因子認(rèn)證能力。遠(yuǎn)程準(zhǔn)入技術(shù)和移動設(shè)備管理提供率甚至都在63%以下。

同樣需要思考一下MSP如何獲得他們的安全能力的：大部分都是外包的。Datto的調(diào)研顯示，67%的MSP使用合作管理的安全工具，61%的MSP和MSSP合作，只有51%的MSP有自己內(nèi)部的安全人才。

MSSP最大的六個風(fēng)險

如果希望MSSP得到成功，還需要考慮以下六個潛在的威脅：

1. 沒有評估自身的安全強(qiáng)項與弱點(diǎn)

“和MSSP合作的最大問題，出在選擇了一個無法和自己能力形成互補(bǔ)，或者聚合的供應(yīng)商。”Pollard表示。組織需要先知道自己的能力，然后才能選擇真正能幫助企業(yè)彌補(bǔ)缺口的MSSP。同樣，他們也需要評估MSSP本身的強(qiáng)項與弱點(diǎn)，來確保能否滿足自己的需求。

Pollard認(rèn)為，當(dāng)真正需要的是事件響應(yīng)與溯源取證能力的時候，選擇一個在設(shè)備和技術(shù)管理上能力很強(qiáng)的MSSP毫無用處。

2. 預(yù)設(shè)供應(yīng)商知道自己的內(nèi)部系統(tǒng)如何運(yùn)作的

IDC的分析師Pete Lindstrom認(rèn)為，有時候，企業(yè)會犯過于依賴MSSP能夠理解自己內(nèi)部IT環(huán)境以及運(yùn)作原理的錯誤。這包括了辦公室文化，以及理解各種系統(tǒng)面臨的風(fēng)險。“如果企業(yè)不管理好流程、進(jìn)行風(fēng)險評估、以及主動檢查已完成的工作，就有可能會把事情搞砸。”

舉例而言，MSSP很可能并不了解一些用于支持IT項目的新系統(tǒng)或者架構(gòu)。“這就需要安全人員完全告訴他們(MSSP)，并且在合同中集成任何監(jiān)測要求。”Lindstrom說到。

Bragg額外表示，在引入MSSP的時候不包括IT團(tuán)隊，同樣是一個錯誤。常見的一個問題，在于MSSP缺乏關(guān)鍵系統(tǒng)或者個人的準(zhǔn)入權(quán)限與信息，導(dǎo)致MSSP無法快速響應(yīng)，降低了在MSSP在服務(wù)周期中的可視化能力。

3. 對信息不對稱毫無準(zhǔn)備

企業(yè)通常使用MSSP來做一些他們自己本身技能缺乏的任務(wù)。但是從451 Research的Kennedy看來，這反而意味著企業(yè)沒有能力確定他們購買的服務(wù)是否履行了合同中的要求。他指出，有一次一個客戶花錢購買了安全監(jiān)測服務(wù)，但實際上MSSP完全沒有進(jìn)行監(jiān)測。

那個客戶感覺到一些不對勁的地方，但是卻無法靠自身發(fā)現(xiàn)到底發(fā)生了什么或者發(fā)生到什么地步了。“當(dāng)企業(yè)和專家進(jìn)行簽訂協(xié)議的時候，會有信息不對稱的情況。某些MSP就會因此鉆空子。”Kennedy說道。

4. 不理解自己簽了些什么

Bragg表示，有時候MSSP的服務(wù)架構(gòu)會讓人很難理解自己真正得到的服務(wù)體驗會如何，以及如何收費(fèi)。“他們會如何監(jiān)測你AWS或者Azure云服務(wù)的使用，或者監(jiān)測像GSuite或者Office 365那樣的SaaS?”他問道。

他們的服務(wù)方式在過去的幾年中如何演化了?他們近期的發(fā)展路線會如何增加可視性，或者提供他們正在研發(fā)的新能力?

Bragg表示，如果企業(yè)現(xiàn)在有，或者即將有合規(guī)要求，那就需要讓合規(guī)團(tuán)隊加入對MSSP的評估中，從而能問出一些正確的問題。

5. 有限的集成和分析

Forrester的調(diào)研顯示，MSSP經(jīng)常不愿意和合同外的技術(shù)合作，導(dǎo)致和組織可能有的其他安全工具的集成非常有限。Forrester的報告中提到：“當(dāng)需要修復(fù)安全問題的時候，大部分客戶都提及了需要微管理他們的MSSP，從而和生態(tài)中的其他IT供應(yīng)商進(jìn)行交互。”

除此以外，許多MSSP的告警缺乏關(guān)聯(lián)性以及嚴(yán)重性，迫使組織不得不花額外的時間再次確認(rèn)他們收到的每一個告警。“誤報會進(jìn)一步加大無法集成導(dǎo)致的挫折感。”Forrester提到。

6. 不驗證MSSP的安全實踐

最近，攻擊者已經(jīng)開始針對MSSP的系統(tǒng)和網(wǎng)絡(luò)攻擊，作為跳板接入其客戶的系統(tǒng)中。在數(shù)個相關(guān)事件中，威脅份子利用了MSSP用的遠(yuǎn)程管理工具中的漏洞，從而接入其客戶的系統(tǒng)當(dāng)中。最知名的例子，是APT10組織針對全球數(shù)百個MSP的攻擊態(tài)勢。

來自一個有安全服務(wù)能力的MSP公司Continuum的安全管理產(chǎn)品VP，Brian Downey表示，攻擊者知道，只要能夠攻陷一個MSP，就能接入大量客戶的網(wǎng)絡(luò)。“MSP是攻擊者的進(jìn)入點(diǎn)，需要以最高的安全標(biāo)準(zhǔn)進(jìn)行把守。”他說到。

組織需要確保，任何和他們簽訂合作的MSP都能夠完整說明他們?nèi)绾文軌蚪档惋L(fēng)險。“我會試著理解他們產(chǎn)品資料中的選項：他們?nèi)绾芜\(yùn)用現(xiàn)有的專業(yè)能力、他們?nèi)绾尉o跟最新風(fēng)險、以及他們?nèi)绾渭皶r提供響應(yīng)。”Downey說到，“MSP需要就安全有一套策略。”

許多這類風(fēng)險可以在供應(yīng)商的評估階段就被發(fā)現(xiàn)。但是如果要恰當(dāng)?shù)赝瓿?，組織需要知道哪些是應(yīng)該關(guān)注的。一些最有效的問題包括圍繞供應(yīng)商使用的工具和流程、供應(yīng)商雇傭人員的資質(zhì)能力。廠商的不透明性在這里并不是件好事，包括不顯示他們的證書和案例。

Bragg表示，企業(yè)應(yīng)該深入了解供應(yīng)商的服務(wù)模型，弄清他們的部署和工作流程是如何生效的，以及他們會如何和企業(yè)自身的團(tuán)隊每天、每周、每月溝通聯(lián)系。

企業(yè)需要確保自己了解MSSP的技術(shù)平臺，以及他們對事件響應(yīng)的控制能力。“在評估周期早期，企業(yè)應(yīng)該知道哪些服務(wù)是作為分開的模組或者服務(wù)包出售的，然后根據(jù)這些符合他們的安全需求。”Bragg說到。

點(diǎn)評

安全服務(wù)必然是一個未來的趨勢，但是需要注意的是安全托管服務(wù)并非是“安全脫手不管服務(wù)”。企業(yè)選擇MSSP的原因，是應(yīng)該綜合了安全能力以及安全成本的前提下，找到最適合自己的安全能力補(bǔ)足方式。因此，安全托管服務(wù)本質(zhì)上，應(yīng)該依然是企業(yè)整體安全能力的一環(huán)，依然需要企業(yè)像對待自己其他安全產(chǎn)品一樣進(jìn)行管理。