随着企业越来越多地采用托管安全服务,这些安全服务的好处和风险对当前和潜在客户来说变得更加明显。Forrester对140家MSSP客户进行的一项调查发现,虽然一些客户与第三方安全服务提供商合作非常成功,但许多其他客户难以从他们的合作伙伴关系中获益。Forrester发现,几乎所有CISO都试图向非安全领导层证明他们在MSSP上的支出是合理的,因为安全服务缺乏适当的指标,而且相对于其他支出而言,技术复杂性相对较高。与此同时,安全服务提供商本身也在努力使他们的服务与对业务真正重要的事情保持一致——他们如何为客户和利益相关者创造价值,以及他们如何支持业务需求。MSSP不是外包工作“组织犯的第一个错误是认为MSSP是一种外包工作形式,”Forrester分析师兼该报告的共同作者JeffPollard说。现实情况是,大多数公司在采用MSSP后继续在安全上花费更多时间,而不是更少。通常,组织会将时间花在更有价值的事情上,例如追踪关键威胁和事件,或漏洞修复活动。Pollard说:“企业很少期望花费更少的时间和使用更少的资源。”各种规模的公司都开始尝试MSSP,但大型组织背后的动机与MSME不同。451Research的分析师丹尼尔·肯尼迪(DanielKennedy)表示,大约30%的员工少于1,000人的公司和40%的员工超过1,000人的组织实施了托管安全服务。451Research数据显示,信息安全资源相对丰富的大型企业更倾向于使用入侵管理、SIEM等安全运维功能。许多大型企业还使用MSSP来实施MDR等事件响应服务。对于小型组织,MSSP一般用于提供一些基础设施相关的能力,比如端点安全;有时,供应商提供的替代IT服务的能力多于提供安全聚合能力的能力。SMB的动机更多是降低安全成本,同时确保满足基本的安全需求。Forrester发现,如果以正确的方式使用,有能力的MSSP可以帮助组织提高整体保护质量,并帮助客户聚合本地能力和技术——尤其是在缺乏深厚技能的领域。“在SMB中,MSSPROI通常来自安全回报,当成本不能完全覆盖招聘、雇用和维护24/7SOC团队时可以获得。”AT&T网络安全销售副总裁MarcusBragg认为,“在较大的组织中,使用MSSP可以让现有的企业安全人员专注于更具战略性、影响更大的安全工作。”组织不满意。Forrester的研究表明,当CISO对自己的能力和项目有清晰的认识,并对供应商有特殊的要求时,才能达到最佳的MSSP效果。在这样的伙伴关系中,正确的期望是预先提出的,然后逐渐实现。MSPVS。MSSPMSP(managedserviceprovider,管理服务提供商)一般提供主要的IT托管服务。然而,根据Datto的全球MSP报告,随着勒索软件和其他威胁的出现,几乎所有(99%)MSP都提供一些安全服务。但是,在考虑MSP时需要小心,因为它们的安全功能可能有限。Datto的报告显示,尽管大多数MSP会像端点服务一样提供基本保护,但只有66%的MSP会提供基本的防火墙功能,68%的MSP会提供双因素身份验证功能。甚至远程访问技术和移动设备管理的报价率也低于63%。还值得考虑MSP如何获得其安全能力:其中大部分是外包的。Datto的调查显示,67%的MSP使用合作管理的安全工具,61%的MSP与MSSP合作,只有51%的MSP拥有自己的内部安全人员。MSSP的六大风险想要MSSP成功,需要考虑以下六大潜在威胁:1.未能评估自身的安全优势和劣势“与MSSP合作最大的问题是,你选择的公司是无法匹配您自己的能力。互补或融合的供应商,”Pollard说。组织需要先了解自己的能力,然后才能选择真正可以帮助企业填补空白的MSSP。同样,他们还需要评估MSSP自身的优势和劣势,以确保其满足他们的需求。Pollard认为,当真正需要的是事件响应和可追溯性以及取证能力时,选择设备和技术管理能力强的MSSP是没有用的。2.IDC分析师PeteLindstrom假设供应商知道他们的内部系统是如何工作的,他认为有时公司会错误地过度依赖MSSP来了解他们的内部IT环境和操作原则。这包括办公文化和了解各种系统的风险。“如果你不管理你的流程,不进行风险评估,不主动审查你所做的工作,你就有把事情搞砸的风险。”例如,MSSP可能不知道用于支持IT项目或架构的新系统。“这需要安全人员准确地告诉他们(MSSP)并将任何监控要求整合到合同中,”Lindstrom说。Bragg补充说,在引入MSSP时不包括IT团队也是一个错误。一个普遍的问题是MSSP缺乏关键系统或个人的访问权限和信息,导致MSSP无法快速响应,降低了MSSP在服务周期中的可见性能力。3.对信息不对称毫无准备公司经常使用MSSP来完成他们自己缺乏技能的任务。但在451Research的肯尼迪看来,这反而意味着企业没有能力确定他们购买的服务是否满足合同的要求。他指出,在一个例子中,一位客户支付了MSSP根本没有实际监控的安全监控服务。那个客户感觉到有些不对劲,但无法弄清楚发生了什么或自己发生了多远。“当公司和专家签署协议时,会出现信息不对称。一些MSP会利用这一点,”肯尼迪说。4.我不明白我签的是什么。Bragg表示,有时MSSP的服务结构让人们很难理解他们真正获得的服务体验是什么,以及如何收费。“他们将如何监控您对AWS或Azure云服务或GSuite或Office365等SaaS的使用情况?”他问。他们的服务方式在过去几年中发生了怎样的变化?他们的近期发展路径将如何提高知名度,或提供他们正在开发的新功能?Bragg表示,如果公司目前有或即将有合规要求,那么你需要让合规团队参与MSSP的评估,以便提出正确的问题。5.有限的集成和分析Forrester研究表明,MSSP通常不愿意使用合同外技术,导致与组织可能拥有的其他安全工具的集成非常有限。根据Forrester的报告:“在解决安全问题时,大多数客户提到需要对其MSSP进行微观管理,以便与生态系统中的其他IT供应商进行交互。”此外,许多MSSP的警报缺乏相关性和严重性,迫使组织花费额外的时间重新确认他们收到的每条警报。“误报增加了无法整合的挫败感,”Forrester说。6.不验证MSSP的安全实践最近,攻击者开始将MSSP的系统和网络作为跳板来访问其客户的系统。在几起相关事件中,威胁参与者利用MSSP使用的远程管理工具中的漏洞来访问其客户的系统。最著名的例子就是APT10组织对全球数百个MSP的攻击姿态。拥有安全服务能力的MSP公司Continuum的安全管理产品副总裁BrianDowney表示,攻击者知道只要能攻陷MSP,就可以访问大量客户的网络。“MSP是攻击者的切入点,需要以最高的安全标准加以保护,”他说。组织需要确保他们签约的任何MSP都有关于他们如何降低风险的完整描述。“我试图了解他们产品概况中的选项:他们如何利用现有的专业知识,他们如何跟上最新的风险,以及他们如何及时做出反应,”唐尼说。“MSP需要制定安全策略。”在供应商评估阶段可以识别其中的许多风险。但要正确地做到这一点,组织需要知道应该关注什么。一些最有效的问题包括有关供应商使用的工具和流程的问题,以及供应商雇用人员的资格和能力。供应商不透明在这里不是一件好事,包括不显示他们的证书和案例。Bragg说,公司应该深入研究供应商的服务模型,弄清楚他们的部署和工作流程是如何工作的,以及他们如何每天、每周和每月与自己的团队沟通。组织需要确保他们了解MSSP的技术平台及其对事件响应的控制。“在评估周期的早期,组织应该知道哪些服务作为单独的模块或捆绑销售,然后根据这些满足他们的安全需求,”Bragg说。评论安全服务势必是未来的趋势,但需要注意的是,安全托管服务并不是“无安全服务”。企业之所以选择MSSP,是希望在综合安全能力和安全成本的前提下,找到最合适的方式来补充自己的安全能力。因此,安全托管服务本质上仍应是企业整体安全能力的一部分,与其他安全产品一样,仍需由企业自行管理。
