怎樣評估安全運營中心即服務(SOCaaS)?
需要安全運營中心(SOC)的公司企業未必負擔得起相應的設備和人員開支。很多提供商都推出了安全運營中心即服務(SOCaaS)業務,該怎么衡量和選擇呢?
如果你目前還沒有自己的安全運營中心,那你可能正在考慮怎么樣才能不自己動手就擁有相同的功能。打造公司自己的SOC可能花費不菲,如果考慮進24小時運營的員工成本,那開銷就更大了。
過去幾年里,托管安全服務提供商(MSSP)提出了云SOC概念,可用于監視客戶的網絡和計算基礎設施,并提供漏洞修復和惡意軟件緩解等一系列服務。我們不妨來考察一下這種SOC即服務(SOCaaS)行業的成長歷程,看看他們所提供的功能,考慮如何選擇適合自己特定需求的提供商。
何謂SOCaaS?
SOCaaS的定義是動態發展的,從提供基本的24小時網絡監控,到全功能的威脅檢測與緩解,都包含在內。這意味著每家供應商都有自己可以被標注為SOCaaS或傳統MSSP的服務集。糾結于是SOCaaS還是MSSP會耗去很多不必要的時間。有時候這不過是每個首字母縮略詞的定義不同,有時候這只是個理解問題,有時候要歸結到具體的產品和服務上,還有時候跟供應商的出身有關。
SOCaaS的定義問題部分源于供應商來自于專注不同安全領域的行業。有些是從托管安全事件承包商(AlertLogic)起家,有些則是托管檢測承包商(Network Technology Partners)或托管終端安全供應商(賽門鐵克和Trustwave)。有些開發了自己的SOC類控制端以管理自身產品,然后將其改為更加通用的工具,可以連接更多的應用。有些則脫胎自大型計算機制造商(IBM、戴爾和惠普)的服務部門。
還有的從運營自己的托管網絡運營中心(NOC)開始,然后拓展至安全領域。托管NOC和托管SOC之間有何區別?前者更關注保障數據包在網絡管線中順暢流通。后者則幾乎只關心你是否在用正確的管線和正確的數據包。二者所用的工具集也完全不一樣:網絡延遲 vs. 吞掉CPU的處理過程。關鍵點就在于他們提供的到底是什么服務?他們監視的是什么?他們的東西如何與你現有的服務器和網絡基礎設施相互操作?
采用SOCaaS的目標是要擁有能夠警示數據泄露或其他安全事件的設備,讓你不用構建自己的SOC,也不用雇傭高端技術人才來運營防護性安全設備。理想狀況下,供應商應該能夠及時 (及時程度與其服務水平協議有關) 發現事件,并做出必要的修正以緩解威脅。
Gartner在2018年2月發布的托管安全服務報告包含了SOCaaS類事務,比如安全事件監視、網絡層威脅監視與檢測、日志分析、漏洞掃描及事件響應——所有這些的交付形式都是來自中央SOC類實體的托管服務。這還只是此類事務中最基礎的部分,然而需要管理的工具集已然很龐大了。該報告列出了17家全球提供商,包括AT&T/AlienVault、英國電信(BT)、Century Link 和NTT,全都是電信公司,也就是最了解如何保障全球大型網絡基礎設施隨時在線的那些供應商。
如果你的公司員工和服務器遍布多個大洲,那上述大型電信公司理應耳熟能詳。如果你的公司規模較小,那你可能想要采用專精于SOCaaS的幾十家供應商中的一家,比如說ArcticWolf、RadarServices或DigitalHands。
怎樣評估SOCaaS?
SOCaaS評估中最令人沮喪的部分或許是算出自己到底該付出什么或者多少錢 。考慮到云服務的本質,定價模型從一開始就很復雜,而且在這個市場板塊中會變的更加晦澀難懂。
AlertLogic是為數不多的幾家有著明確定價頁面的供應商之一,有每月花費從550美元到4,500美元不等的三個定價層次。但其他供應商就沒那么樂于提供定價信息了。
目前來看,Network Technology Partners和AccountabilIT的起步價都很低,最基礎的服務定價分別為每月1,500美元和每月1,600美元,且價格隨客戶添加的需監視資產數量及網絡流量規模的增加而升高。絕大多數情況下,其他供應商要么對自己的定價含糊其辭,要么對定價問題特別敏感。很多供應商只向愿意簽署保密協議的潛在客戶提供定價信息。很明顯SOCaaS的價格需要更加透明。
還有個問題是你可能不清楚自己有多少服務器、終端和應用是需要保護、監視,或者說放到SOCaaS供應商手下的。很多公司會從概念驗證開始,先把少數終端交托SOCaaS以觀察其運作機制和SOC捕獲的流量內容,然后再擴展至較大范圍的部署。
接下來。公司SOC的地理位置分布有多重要呢?有些供應商專注于一個中心SOC。 其他供應商則在不同大洲都有部署,實現全天候全時段運作或充分利用互聯網連接的便利。Network Technology Partners 在距離其圣路易斯總部幾小時遠的地方部署有第二個SOC,因為他們可以在那里更方便地招聘到所需的技術人才。Bolton Labs 專注亞洲市場,所以其3個SOC全都部署在亞洲。
供應商的秘訣都是什么呢?了解每家供應商的不同出身背景,有助于理解他們在你遭受宕機或數據泄露時用于監視、修復和向你報警的技術。有些供應商聚合了一系列開源工具,但撰寫了自己的專利控制面板,供用戶查看這些工具的性能和安全狀況。有些供應商則開發了自己用于威脅追捕或其他任務的工具包。AccountabillIT是AlienVault的技術轉包商,這就又是另一種模式了。
向SOCaaS提供商提問
編輯征求意見書(RFP)或調查問卷的時候,下面幾個問題可供參考。
1. 所提供的功能與純監視服務方法有何不同?
這個問題的答案有助于你辨別各家供應商的細微差別,優中選優。AlertLogic從SIEM開始,然后逐步添加基于其自有全球遙測和威脅監視項目的其他防護性技術。你可能想從純MSSP開始,看看自己的體驗情況,然后再決定是否轉向完全的SOCaaS。
2. 支持多少遺留SIEM及服務桌面系統?
有些供應商希望你轉向他們的現場解決方案。其他供應商(比如DigitalHands.com)為你的遺留系統提供更廣泛的支持,而有些(比如 Network Technology Partners )有自己的API集供客戶或自己編寫程序用。
3. 客戶需要在自家公司安裝什么代理和服務器?
絕大多數供應商需要兩樣東西來監視你的基礎設施:代理和定制服務器——收集流量并運行供應商的專利應用。有些供應商還要求安裝多個代理用以處理不同任務,比如一個專門負責監視,而另一個專門負責修復。
4. 供應商重新評估/掃描你基礎設施的頻率是多少?
監視有可能是持續性的,也有可能每個季度才掃描一次,云和現場設備的評估頻率可能有很大差異。
5. 怎樣產生合規審計?
有些供應商的定價中已包含了審計,有些則要額外收費。有些供應商會將你推薦到第三方進行審計以獲得完全獨立的評估。還有些供應商,比如 Bolton Labs,就完全不提供任何合規服務。每種方法都有其值得采納的理由,你只要知道自己支付的費用能獲得什么服務就可以了。
6. 供應商有沒有分銷或直銷模式?
有些供應商的合作伙伴網絡已經非常成熟。有些選擇使用 Ingram Micro 之類大型經銷商擴展業務。還有些希望直接與客戶打交道。有些SOCaaS提供商還向其他MSSP轉售他們的服務——一個很有趣的商業模式。無論采取哪種方法,要確保自己很適應這種模式。
7. 供應商的目標客戶規模有多大?
有些供應商更注重中型市場甚至小企業。有些則適應橫跨多個大洲的超大型網絡。所以,有必要清楚自身成長區間,以及弄清供應商最擅長處理的區間。
8. 供應商的SOC員工來自哪里?
你應該會想知道照看你網絡的人接受了什么樣的培訓?擁有什么證書?具備其他哪些技能?很多情況下,人比設備重要。畢竟,你聘用SOCaaS的原因就是:無需再擁有自己的SOC員工。
- 2018年2月Gartner托管安全服務報告:https://www.gartner.com/reviews/market/managed-security-services-worldwide
- AlertLogic定價頁面:https://www.alertlogic.com/solutions/product-overview-and-pricing/
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
