隨著企業(yè)越來(lái)越多地接受安全托管服務(wù)，這些安全服務(wù)的收益和風(fēng)險(xiǎn)對(duì)當(dāng)前的客戶和潛在客戶也都越來(lái)越明顯。一項(xiàng)由Forrester對(duì)140名MSSP客戶進(jìn)行的調(diào)研發(fā)現(xiàn)：有一部分的客戶非常成功地使用了第三方安全服務(wù)供應(yīng)商，而剩下許多其他人卻很難從他們的合作關(guān)系中獲益。

Forrester發(fā)現(xiàn)，幾乎所有的CISO們都試圖向非安全的領(lǐng)導(dǎo)層證明他們?cè)贛SSP上的開銷，原因就在于相對(duì)于其他開支，安全服務(wù)缺乏合適的衡量指標(biāo)，同時(shí)技術(shù)復(fù)雜性又相對(duì)更高。與此同時(shí)，安全服務(wù)供應(yīng)商自己也在努力將他們的服務(wù)緊貼對(duì)企業(yè)真正重要的事情上——如何對(duì)他們的客戶和利益相關(guān)方產(chǎn)生價(jià)值，以及他們?nèi)绾文軌蛑С謽I(yè)務(wù)需求。

[[434997]]

MSSP不是一項(xiàng)外包工作

“組織犯的第一個(gè)錯(cuò)誤，就是認(rèn)為MSSP是一種外包。”Forrester的分析師兼報(bào)告的作者之一的Jeff Pollard表示。現(xiàn)實(shí)是，大部分公司在使用MSSP后依然持續(xù)地在安全上花費(fèi)更多時(shí)間，而不是更少。通常，組織會(huì)在一些比較有價(jià)值的事情上花費(fèi)時(shí)間，比如追蹤嚴(yán)重的威脅和事件、或者脆弱性修復(fù)活動(dòng)。“如果企業(yè)期望花更少的時(shí)間，動(dòng)用更少的資源，這種情況極少。”Pollard說(shuō)道。

不同規(guī)模的公司都在開始嘗試MSSP，但是大型組織背后的動(dòng)機(jī)和中小微企業(yè)有所不同。451 Research的分析師Daniel Kennedy表示，大約三成員工數(shù)在1,000人以下的公司，以及四成有超過1,000名員工的組織已經(jīng)啟用了安全托管服務(wù)。

451 Research的數(shù)據(jù)顯示，有相對(duì)豐富信息安全資源的大型企業(yè)傾向于使用入侵管理和SIEM這類安全運(yùn)維功能。許多大型企業(yè)同樣會(huì)使用MSSP實(shí)現(xiàn)像MDR的事件響應(yīng)服務(wù)。

而小型組織，一般會(huì)用MSSP賦予一些基礎(chǔ)設(shè)施相關(guān)的能力，比如端點(diǎn)安全;還有的時(shí)候，供應(yīng)商相比提供安全聚合能力，更多的是提供一種替代IT服務(wù)的能力。中小型企業(yè)的動(dòng)機(jī)更多是降低安全成本，同時(shí)確保覆蓋基礎(chǔ)的安全需求。

Forrester發(fā)現(xiàn)，當(dāng)使用方式恰當(dāng)?shù)臅r(shí)候，一個(gè)有能力的MSSP可以幫助組織提升整體的防護(hù)質(zhì)量，并且?guī)椭蛻艟酆媳镜氐哪芰图夹g(shù)——尤其是在一些深度技能缺乏的領(lǐng)域。“在中小型企業(yè)，MSSP的ROI經(jīng)常是來(lái)自于在成本無(wú)法完全覆蓋招聘、雇傭和維持一個(gè)24/7的SOC團(tuán)隊(duì)的時(shí)候，能夠獲得的安全回報(bào)。”AT&T的網(wǎng)絡(luò)空間安全銷售VP，Marcus Bragg認(rèn)為，“而在大型組織，MSSP的使用能夠讓現(xiàn)有的企業(yè)安全人員專注于更有戰(zhàn)略性的、有影響力的安全工作。”

但是得到這樣的ROI會(huì)讓那些不清楚自己到底能得到什么的組織無(wú)法滿意。Forrester的調(diào)研顯示，當(dāng)CISO們對(duì)他們自身的能力和項(xiàng)目有清楚的認(rèn)知，并且對(duì)供應(yīng)商有特別的要求的時(shí)候，才能有最好的MSSP結(jié)果。在這樣的合作關(guān)系中，正確的期望會(huì)被提前表明，然后逐漸去實(shí)現(xiàn)。

MSP VS. MSSP

MSP(managed service provider，管理服務(wù)供應(yīng)商)一般提供主要的IT托管服務(wù)。但是，根據(jù)Datto的全球MSP報(bào)告顯示，隨著勒索軟件和其他威脅的出現(xiàn)，幾乎所有(99%)的MSP都會(huì)提供一些安全服務(wù)。

不過，在考慮MSP的時(shí)候需要多一個(gè)心眼，因?yàn)樗麄兊陌踩芰赡芎苡邢蕖atto的報(bào)告顯示，雖然大部分的MSP都會(huì)提供像端點(diǎn)服務(wù)那樣的基礎(chǔ)防護(hù)，但是只有66%的MSP會(huì)提供基礎(chǔ)的防火墻能力，68%的MSP會(huì)提供雙因子認(rèn)證能力。遠(yuǎn)程準(zhǔn)入技術(shù)和移動(dòng)設(shè)備管理提供率甚至都在63%以下。

同樣需要思考一下MSP如何獲得他們的安全能力的：大部分都是外包的。Datto的調(diào)研顯示，67%的MSP使用合作管理的安全工具，61%的MSP和MSSP合作，只有51%的MSP有自己內(nèi)部的安全人才。

MSSP最大的六個(gè)風(fēng)險(xiǎn)

如果希望MSSP得到成功，還需要考慮以下六個(gè)潛在的威脅：

1. 沒有評(píng)估自身的安全強(qiáng)項(xiàng)與弱點(diǎn)

“和MSSP合作的最大問題，出在選擇了一個(gè)無(wú)法和自己能力形成互補(bǔ)，或者聚合的供應(yīng)商。”Pollard表示。組織需要先知道自己的能力，然后才能選擇真正能幫助企業(yè)彌補(bǔ)缺口的MSSP。同樣，他們也需要評(píng)估MSSP本身的強(qiáng)項(xiàng)與弱點(diǎn)，來(lái)確保能否滿足自己的需求。

Pollard認(rèn)為，當(dāng)真正需要的是事件響應(yīng)與溯源取證能力的時(shí)候，選擇一個(gè)在設(shè)備和技術(shù)管理上能力很強(qiáng)的MSSP毫無(wú)用處。

2. 預(yù)設(shè)供應(yīng)商知道自己的內(nèi)部系統(tǒng)如何運(yùn)作的

IDC的分析師Pete Lindstrom認(rèn)為，有時(shí)候，企業(yè)會(huì)犯過于依賴MSSP能夠理解自己內(nèi)部IT環(huán)境以及運(yùn)作原理的錯(cuò)誤。這包括了辦公室文化，以及理解各種系統(tǒng)面臨的風(fēng)險(xiǎn)。“如果企業(yè)不管理好流程、進(jìn)行風(fēng)險(xiǎn)評(píng)估、以及主動(dòng)檢查已完成的工作，就有可能會(huì)把事情搞砸。”

舉例而言，MSSP很可能并不了解一些用于支持IT項(xiàng)目的新系統(tǒng)或者架構(gòu)。“這就需要安全人員完全告訴他們(MSSP)，并且在合同中集成任何監(jiān)測(cè)要求。”Lindstrom說(shuō)到。

Bragg額外表示，在引入MSSP的時(shí)候不包括IT團(tuán)隊(duì)，同樣是一個(gè)錯(cuò)誤。常見的一個(gè)問題，在于MSSP缺乏關(guān)鍵系統(tǒng)或者個(gè)人的準(zhǔn)入權(quán)限與信息，導(dǎo)致MSSP無(wú)法快速響應(yīng)，降低了在MSSP在服務(wù)周期中的可視化能力。

3. 對(duì)信息不對(duì)稱毫無(wú)準(zhǔn)備

企業(yè)通常使用MSSP來(lái)做一些他們自己本身技能缺乏的任務(wù)。但是從451 Research的Kennedy看來(lái)，這反而意味著企業(yè)沒有能力確定他們購(gòu)買的服務(wù)是否履行了合同中的要求。他指出，有一次一個(gè)客戶花錢購(gòu)買了安全監(jiān)測(cè)服務(wù)，但實(shí)際上MSSP完全沒有進(jìn)行監(jiān)測(cè)。

那個(gè)客戶感覺到一些不對(duì)勁的地方，但是卻無(wú)法靠自身發(fā)現(xiàn)到底發(fā)生了什么或者發(fā)生到什么地步了。“當(dāng)企業(yè)和專家進(jìn)行簽訂協(xié)議的時(shí)候，會(huì)有信息不對(duì)稱的情況。某些MSP就會(huì)因此鉆空子。”Kennedy說(shuō)道。

4. 不理解自己簽了些什么

Bragg表示，有時(shí)候MSSP的服務(wù)架構(gòu)會(huì)讓人很難理解自己真正得到的服務(wù)體驗(yàn)會(huì)如何，以及如何收費(fèi)。“他們會(huì)如何監(jiān)測(cè)你AWS或者Azure云服務(wù)的使用，或者監(jiān)測(cè)像GSuite或者Office 365那樣的SaaS?”他問道。

他們的服務(wù)方式在過去的幾年中如何演化了?他們近期的發(fā)展路線會(huì)如何增加可視性，或者提供他們正在研發(fā)的新能力?

Bragg表示，如果企業(yè)現(xiàn)在有，或者即將有合規(guī)要求，那就需要讓合規(guī)團(tuán)隊(duì)加入對(duì)MSSP的評(píng)估中，從而能問出一些正確的問題。

5. 有限的集成和分析

Forrester的調(diào)研顯示，MSSP經(jīng)常不愿意和合同外的技術(shù)合作，導(dǎo)致和組織可能有的其他安全工具的集成非常有限。Forrester的報(bào)告中提到：“當(dāng)需要修復(fù)安全問題的時(shí)候，大部分客戶都提及了需要微管理他們的MSSP，從而和生態(tài)中的其他IT供應(yīng)商進(jìn)行交互。”

除此以外，許多MSSP的告警缺乏關(guān)聯(lián)性以及嚴(yán)重性，迫使組織不得不花額外的時(shí)間再次確認(rèn)他們收到的每一個(gè)告警。“誤報(bào)會(huì)進(jìn)一步加大無(wú)法集成導(dǎo)致的挫折感。”Forrester提到。

6. 不驗(yàn)證MSSP的安全實(shí)踐

最近，攻擊者已經(jīng)開始針對(duì)MSSP的系統(tǒng)和網(wǎng)絡(luò)攻擊，作為跳板接入其客戶的系統(tǒng)中。在數(shù)個(gè)相關(guān)事件中，威脅份子利用了MSSP用的遠(yuǎn)程管理工具中的漏洞，從而接入其客戶的系統(tǒng)當(dāng)中。最知名的例子，是APT10組織針對(duì)全球數(shù)百個(gè)MSP的攻擊態(tài)勢(shì)。

來(lái)自一個(gè)有安全服務(wù)能力的MSP公司Continuum的安全管理產(chǎn)品VP，Brian Downey表示，攻擊者知道，只要能夠攻陷一個(gè)MSP，就能接入大量客戶的網(wǎng)絡(luò)。“MSP是攻擊者的進(jìn)入點(diǎn)，需要以最高的安全標(biāo)準(zhǔn)進(jìn)行把守。”他說(shuō)到。

組織需要確保，任何和他們簽訂合作的MSP都能夠完整說(shuō)明他們?nèi)绾文軌蚪档惋L(fēng)險(xiǎn)。“我會(huì)試著理解他們產(chǎn)品資料中的選項(xiàng)：他們?nèi)绾芜\(yùn)用現(xiàn)有的專業(yè)能力、他們?nèi)绾尉o跟最新風(fēng)險(xiǎn)、以及他們?nèi)绾渭皶r(shí)提供響應(yīng)。”Downey說(shuō)到，“MSP需要就安全有一套策略。”

許多這類風(fēng)險(xiǎn)可以在供應(yīng)商的評(píng)估階段就被發(fā)現(xiàn)。但是如果要恰當(dāng)?shù)赝瓿桑M織需要知道哪些是應(yīng)該關(guān)注的。一些最有效的問題包括圍繞供應(yīng)商使用的工具和流程、供應(yīng)商雇傭人員的資質(zhì)能力。廠商的不透明性在這里并不是件好事，包括不顯示他們的證書和案例。

Bragg表示，企業(yè)應(yīng)該深入了解供應(yīng)商的服務(wù)模型，弄清他們的部署和工作流程是如何生效的，以及他們會(huì)如何和企業(yè)自身的團(tuán)隊(duì)每天、每周、每月溝通聯(lián)系。

企業(yè)需要確保自己了解MSSP的技術(shù)平臺(tái)，以及他們對(duì)事件響應(yīng)的控制能力。“在評(píng)估周期早期，企業(yè)應(yīng)該知道哪些服務(wù)是作為分開的模組或者服務(wù)包出售的，然后根據(jù)這些符合他們的安全需求。”Bragg說(shuō)到。

點(diǎn)評(píng)

安全服務(wù)必然是一個(gè)未來(lái)的趨勢(shì)，但是需要注意的是安全托管服務(wù)并非是“安全脫手不管服務(wù)”。企業(yè)選擇MSSP的原因，是應(yīng)該綜合了安全能力以及安全成本的前提下，找到最適合自己的安全能力補(bǔ)足方式。因此，安全托管服務(wù)本質(zhì)上，應(yīng)該依然是企業(yè)整體安全能力的一環(huán)，依然需要企業(yè)像對(duì)待自己其他安全產(chǎn)品一樣進(jìn)行管理。