【51CTO.com快譯】引言：下列清單可幫助您鑒別安全即服務(wù)類(security-as-a-service，即SECaaS)提供商的專業(yè)技術(shù),并且評(píng)估出哪個(gè)提供商能夠最好的滿足您的需求。

安全即服務(wù)(security-as-a-service)的概念已逐漸根植于許多人的思想中。其實(shí)這也不難理解。越來(lái)越多的組織已經(jīng)意識(shí)到：除了需要經(jīng)常性滿足傳統(tǒng)的合規(guī)以外，安全運(yùn)營(yíng)和持續(xù)事件響應(yīng)同樣不容忽視。與此同時(shí),如今許多組織也進(jìn)一步意識(shí)到構(gòu)建出成熟的且具備應(yīng)對(duì)各種現(xiàn)代威脅的安全能力并非是簡(jiǎn)單的一蹴而就之事。它實(shí)際上是一個(gè)復(fù)雜的且持續(xù)的努力過(guò)程，而且需要相當(dāng)?shù)母冻龊蛯?duì)于風(fēng)險(xiǎn)及威脅發(fā)展與變化的持續(xù)關(guān)注。

[[173855]]

大家對(duì)安全的概念已經(jīng)是今非昔比了。現(xiàn)在許多審計(jì)人員想知道的是一個(gè)組織是否有事件響應(yīng)計(jì)劃,以及它是否行之有效。隨著各個(gè)組織將其業(yè)務(wù)和基礎(chǔ)設(shè)施等部件轉(zhuǎn)移到了云計(jì)算模式，他們已經(jīng)在尋找與云計(jì)算相配套的安全解決方案了。不過(guò)貌似這一切還并不夠，客戶們現(xiàn)在也開始定期詳查其云服務(wù)提供商、以及其他各類提供商們對(duì)其數(shù)據(jù)保管工作的踐行情況。正所謂“道高一尺、魔高一丈”，攻擊者同樣越來(lái)越善于在不使用任何惡意軟件的條件下盜取各類證書，并偽裝成合法用戶去訪問(wèn)數(shù)據(jù)。

考慮到上述這些因素，毫無(wú)疑問(wèn)，組織需要利用“安全即服務(wù)”提供商所提供的專業(yè)技術(shù)，來(lái)幫助他們?cè)诤芏痰臅r(shí)間內(nèi)滿足各種各樣的安全需求。正所謂：哪一塊市場(chǎng)有方案需求，魚龍混雜式的炒作就會(huì)跟風(fēng)而至。那么各個(gè)組織如何才能看穿這些“炒作”與“雜音”，從而了解到“安全即服務(wù)”提供商的真正能力，并且評(píng)估出哪個(gè)提供商能夠最好的滿足他們的需求呢?

在讓提供商“進(jìn)場(chǎng)”之前，就讓我們用20道問(wèn)答游戲的方式來(lái)對(duì)他們的能力進(jìn)行一番探索吧。正如之前提到的，這可能并非一個(gè)詳盡的問(wèn)題清單，但卻是一個(gè)很好的開始。

1. 提供商的整體理念和愿景是什么?

注：潛在客戶要求“安全即服務(wù)”提供商用一、兩句話來(lái)闡述其奮斗的技術(shù)目標(biāo)和內(nèi)驅(qū)力。在我看來(lái)，這是非常合理的開啟詢問(wèn)的方式。畢竟明確目標(biāo)決定著后續(xù)的發(fā)展方向。

2. 除了基本的合規(guī)之外，你們還能提供什么?

注：誠(chéng)然按照各種既定的規(guī)范去收集到用戶的數(shù)據(jù)是比較容易的事情，但是對(duì)這些數(shù)據(jù)實(shí)施合理且有價(jià)值的管控卻完全是另外一回事了。

3. 哪些是他們進(jìn)行內(nèi)容開發(fā)處理和日常操作流程等問(wèn)題的驅(qū)動(dòng)力?

注：實(shí)際上圓滿的回答應(yīng)該是：通過(guò)對(duì)我們組織所面臨的風(fēng)險(xiǎn)和威脅深入理解，并進(jìn)行了優(yōu)先級(jí)排序后,尋找控制措施來(lái)幫助我們降低風(fēng)險(xiǎn)與威脅，才是其工作的驅(qū)動(dòng)力。

4. 各類報(bào)警是如何制定、實(shí)現(xiàn)和維護(hù)的?

注：系統(tǒng)監(jiān)控到了安全事件一般都會(huì)觸發(fā)各類報(bào)警。但是如果你想監(jiān)控到我們的組織運(yùn)營(yíng)，我理應(yīng)清楚的知道你們是如何及時(shí)的產(chǎn)生出可行的、不失真的、而且是“低噪音”的報(bào)警的。而且該報(bào)警不會(huì)在本組織已經(jīng)處于人手資源有限的情況下，產(chǎn)生誤報(bào)或者反而增添更多的工作量。

5. 你將如何解析我們的網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)流?

注：畢竟，即使是使用了最好的內(nèi)容開發(fā)流程和報(bào)警邏輯，也需要搜集和獲得足夠的網(wǎng)絡(luò)數(shù)據(jù)來(lái)進(jìn)行識(shí)別等后繼操作。因此能夠長(zhǎng)邏輯上解析清楚我們的網(wǎng)絡(luò)環(huán)境及數(shù)據(jù)流就顯得非常重要了。

6. 你將如何解析我的各種終端呢?

注：這其中也包括了如臺(tái)式機(jī)和筆記本電腦之類的傳統(tǒng)終端，以及如智能手機(jī)、平板電腦、瘦客戶機(jī)等那些新型的終端。因此具有跨各種設(shè)備的“可視”能力，對(duì)我們來(lái)說(shuō)是非常重要的。

7. 你能幫我監(jiān)視到Web應(yīng)用和服務(wù)器嗎?

注：總在黑暗處窺視我們的那些攻擊者是不會(huì)僅限于攻擊終端的。如果Web應(yīng)用程序或服務(wù)器本身是脆弱的，那他們肯定會(huì)施以攻擊。如果發(fā)生此類情況，我想盡快第一時(shí)間知道。當(dāng)然，更理想的狀態(tài)是：在我碰到該問(wèn)題之前，你是否能提供一種服務(wù)，以幫助我去主動(dòng)的識(shí)別出那些易受到攻擊的資產(chǎn)呢?

8. 你將如何提供針對(duì)我的云基礎(chǔ)設(shè)施的可視性呢?而且能達(dá)到我以前傳統(tǒng)企業(yè)模式下的那樣監(jiān)控程度嗎?

9. 你能提供給我那些已外包出去的軟件即服務(wù)(SaaS)應(yīng)用的可視性嗎?

注：對(duì)于來(lái)自外部的針對(duì)數(shù)據(jù)犯罪、欺詐、竊取等活動(dòng)，或是來(lái)自內(nèi)部安全威脅等問(wèn)題，我需要是全面的可視性，而不要有任何的盲區(qū)。

10. 你能有一個(gè)集中管理的門戶入口來(lái)方便我及時(shí)高效的存取自己的數(shù)據(jù)嗎?

注：這樣可以幫助我便捷的查看并了解到的本組織內(nèi)部的當(dāng)前安全狀態(tài)。

11. 你的門戶入口支持什么類型的數(shù)據(jù)壓縮、聚合和可視化的標(biāo)準(zhǔn)?

注：如果需要的話，你會(huì)允許我來(lái)自定義數(shù)據(jù)的識(shí)別模式和深入挖掘模型嗎?

12. 你提供什么工具來(lái)允許我創(chuàng)建自己的報(bào)警?

注：我可以按自己所需來(lái)定義數(shù)據(jù)采集和安全事件等方面的深入調(diào)查嗎?

13. 除了檢測(cè)和響應(yīng)，你還能提供什么樣的幫助來(lái)避免我的組織受到安全侵犯呢?

14. 我怎么能夠確定：你可以根據(jù)我所提供的數(shù)據(jù)的總量和復(fù)雜程度，來(lái)迅速檢測(cè)出我的組織是否受到安全侵犯呢?

15. 你如何分析和調(diào)查所產(chǎn)生的警報(bào)?

注：我希望你憑借的是專業(yè)知識(shí)，并且使用的是企業(yè)級(jí)的技術(shù)與方法。

16. 針對(duì)不同類型的事件，你是否有不同的文檔化處理流程?

注：我是希望在不同的事件場(chǎng)景發(fā)生時(shí)，你都能有所準(zhǔn)備且處理得當(dāng)。

17. 如果檢測(cè)到一個(gè)安全侵犯，你將如何去控制并糾正該侵犯呢?

注：響應(yīng)流程固然重要，但是除此之外，必要的綜合技術(shù)支撐使得響應(yīng)操作能順利實(shí)施也是至關(guān)重要的。

18. 你能提供什么樣的報(bào)告呢?

注：我需要將你的服務(wù)報(bào)告和績(jī)效指標(biāo)呈報(bào)給我的管理層。包括：你開具的服務(wù)單數(shù)量和過(guò)濾出了多少防病毒報(bào)警等。如有更多，則對(duì)我更有幫助。

19. 你如何提供事后教訓(xùn)總結(jié)來(lái)幫助我從過(guò)往的錯(cuò)誤中進(jìn)行學(xué)習(xí)，從而不斷提高和保持本組織的安全狀態(tài)?

20. 作為一個(gè)“安全即服務(wù)”的提供商，你是如何不斷進(jìn)行迭代、改進(jìn)并成熟和完善自己的能力，以確保我所獲得的“安全即服務(wù)”能跟上并能應(yīng)對(duì)不斷變化的威脅態(tài)勢(shì)。

實(shí)際上，市場(chǎng)上是沒(méi)有所謂的“安全即服務(wù)”提供商緊缺之說(shuō)的。只要哪里有業(yè)務(wù)需求的出現(xiàn)，市場(chǎng)和營(yíng)銷就會(huì)跟進(jìn)到哪里。各個(gè)組織的業(yè)務(wù)和安全領(lǐng)導(dǎo)層需要運(yùn)用鮮明且有效的方法去篩掉“炒作”與“雜音”因素，并最終能做出理性且明智的決定。如您所見，我就是這么一個(gè)愛(ài)用“20道問(wèn)答游戲”來(lái)厘清問(wèn)題的“粉絲”。

原文標(biāo)題：20 questions to explore with security as a service providers          作者：Joshua Goldfarb

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】