企業為什么要把安全工作外包?
將安全策略和日常運營交給托管安全服務提供商可以解放IT資源
Phenix Energy Group,一家原油管道運營和建設公司,正準備在數月間將其IT基礎設施從無到有建設起來。為啟動其醞釀數年之久的管道工程,該公司計劃將其相對較小的辦公室環境,擴建成具備75臺服務器,250TB存儲能力的數據中心。因此,以前從未列入高優先級列表的安全問題,瞬間就凸顯了出來。
鑒于其高風險性——系統宕機會導致每小時100萬美元的損失,該公司CIO兼COO布魯斯·佩林花了5年時間研究各種方案。雖然想要作為內部數據中心的一部分自己運營安全管理,但佩林開始有點傾向于外包該功能了,因為他沒時間在管道上線前的區區幾個月里,配齊一個專門的信息安全部門。
評估IT安全增值轉銷商和安全托管服務提供商(MSSP)時,佩林說:“項目巨大。沒人能在90天里搞定這種IT部署。除了外包我別無選擇——我得引入能提供所需安全級別并幫助我們部署IT的人,最終目標是將所有東西都納入掌控。”
為什么外包安全有意義
鑒于如今越來越多的數據泄露和對風險的愈趨重視,就像 Phenix Energy Group,很多中小企業都傾向于安全和日常運營的外包模式。近期,一份針對287名美國IT和業務人員進行的調查顯示,56%的受訪者稱自己的公司招募外部顧問幫助設立信息安全策略,40%稱公司正轉向MSSP。
外包服務
根據調查,最常被外包的職能包括:滲透測試/威脅評估(稱轉向顧問和MSSP的190位受訪者中有70%提到此條),垃圾郵件過濾(46%提到),威脅情報(40%),日志監視(34%),反DDoS/Web應用防火墻防護(27%),業務連續性與災難恢復(26%),意識培訓(22%)。
哪些安全服務會選擇外包
專家認為,外包安全職能之所以對中小公司特別有吸引力,是因為他們的資源通常已經被瓜分得十分稀薄,大多缺乏足以履行安全職能的足夠帶寬。較小的公司也不太可能有人具備專門的安全技能,專注于在不斷更新的安全態勢中保持領先。
其他迫使公司企業轉向外包安全的發展因素包括:惡意黑客的增加,以及企業安全產品的大量出現。兩種趨勢都讓小公司難以管理安全。
不可避免的結論就是:因為沒有帶寬,因為跟不上,公司企業將越來越依靠MSSP來管理安全。省下的時間就是外包的主要益處,遠比成本節省在優勢列表上的排名要高。
外包:不是非此即彼的命題
多家中型企業里履行過CIO職能的布蘭登·奧馬利稱,外包或托管服務模型行之有效——因為通常除了CIO就沒別人專職安全了,這讓公司面臨風險。只要切分給幾個人,安全就能被搞定;但中小企業里因為除了CIO就沒別人負責,要取得進展非常困難,想掌握安全態勢也十分不易。絕對需要取得一定程度上的外部支援。
誰要為數據泄露負責
對黑鷹社區信用合作社而言,從MSSP之類外部提供商獲得援手,不僅僅能卸下一些安全重擔,同時還意味著該公司擁有了全天候的專業安全保障。黑鷹IT副總裁就稱,其手下8人團隊不可能提供此類服務,因為他們必須處理超過150名用戶的全部IT問題,包括安全。
不過,該合作社并沒有全權交給MSSP,而是采取三管齊下的方法:自己制定安全策略,招募顧問履行特定職能(如定期防火墻審查),依靠其MSSP( Dell SecureWorks )擔負主要安全運營——比如管理防火墻和入侵防護系統之類。
黑鷹IT副總裁稱:“他們可以基于所有客戶及其反饋看清全球趨勢,這給我增加了信心,讓我不用整夜擔心網絡。如果他們看到什么異常,他們會通知我。”
警報過程,就是外包會給小公司帶來麻煩的地方,潛在的復雜性也會削弱采用MSSP的價值。雖然外包日志監視和防火墻管理給第三方,能引入對潛在問題的可見性,但因為第三方缺乏對公司內部運作及其典型用戶行為的理解,外包商也可能會難以區分真正的安全問題和單純的噪音。
外包商需要幫助
為抽取外包安全服務的最大價值,公司企業需要設置好流程和信道,以便能夠向MSSP提供輸入,讓他們掌握正確的警報評估上下文。此外,與服務提供商合作的公司企業,還應準備好發現并解決更多的事件,因為在檢測可疑活動方面,MSSP通常會比內部員工表現良好。
MSSP從客戶間獲取的可見性很多,并能使之各自相關,但他們所不知道的,是特定公司的特殊事務——微觀宏觀問題,或者說,那個業務部門最敏感的問題。公司內部需要有人來充當聯絡官的角色。
謹慎選擇
但聯絡官的工作可能相當耗時間。可以問問維斯·法里斯。他是哈里斯精神健康與碘缺乏病中心信息安全官兼MSSP聯絡官。他案頭的工作太多了,以致他只能花有限的時間與MSSP合作微調日志監視和警報,以反映其用戶和公司的工作習慣。
“為從此項服務中獲得更多價值,我們應該主動調整,但我卻沒有時間。這是個全職工作。中心負擔不起另外雇傭全職員工專心聯絡員工作。”
就像與任何供應商的關系一樣,管理你的MSSP,讓它履職盡責,是非常重要的。最好選擇在你的特定行業具備專門知識的合作伙伴。鑒于IT安全的重要性,以及即便適應不良也很難更換提供商的現實,做好盡職審查以選對服務提供商就顯得特別關鍵了。
一旦簽訂托管服務合同來監視成百上千的設備,剝離更換服務提供商就沒那么簡單了。你得確保那就是你想用的公司,他們的工具集豐富多樣,他們的員工值得信賴。
