需要安全运营中心(SOC)的公司可能无力承担相应的设备和人员费用。许多提供商都提供安全运营中心即服务(SOCaaS),那么您如何衡量和选择呢?如果您目前没有自己的SOCaaS,您可能会考虑如何在不构建自己的情况下拥有相同的功能。构建公司自己的SOC可能成本很高,如果考虑到24小时运营的员工成本,成本甚至更高。在过去几年中,托管安全服务提供商(MSSP)提出了云SOC概念,可用于监控客户的网络和计算基础设施,并提供一系列服务,例如漏洞修复和恶意软件缓解。我们不妨审视一下这个SOC即服务(SOCaaS)行业的成长过程,看看它们提供的功能,考虑如何选择适合自己特定需求的供应商。什么是SOCaaS?SOCaaS的定义是动态发展的,从提供基本的24小时网络监控到功能齐全的威胁检测和缓解。这意味着每个提供商都有自己的一组服务,可以标记为SOCaaS或传统的MSSP。争论到底是SOCaaS还是MSSP,会消耗很多不必要的时间。有时只是每个首字母缩略词如何定义的问题,有时是理解的问题,有时归结为特定的产品和服务,有时还与供应商的来源有关。定义SOCaaS的问题部分源于这样一个事实,即供应商来自专门从事不同安全领域的行业。一些开始时作为托管安全事件承包商(AlertLogic),另一些作为托管检测承包商(NetworkTechnologyPartners)或托管端点安全供应商(Symantec和Trustwave)。有的开发了自己的类似SOC的控制终端来管理自己的产品,然后把它变成一个更通用的工具,可以连接更多的应用程序。有些是从大型计算机制造商(IBM、戴尔和惠普)的服务部门发展而来的。其他人则首先运行自己的托管网络运营中心(NOC),然后扩展到安全领域。托管NOC和托管SOC之间有什么区别?前者更关心的是保证数据包在网络管道中的畅通。后者几乎与您是否使用正确的管道和正确的数据包有关。使用的工具集完全不同:网络延迟与CPU占用处理。关键是他们提供什么服务?他们监控什么?他们的东西如何与您现有的服务器和网络基础设施互操作?采用SOCaaS的目标是具备对数据泄露或其他安全事件发出警报的能力,因此您无需构建自己的SOC,也无需聘请高端技术人员来操作防护安全设备。理想情况下,提供商应该能够及时(根据其服务级别协议及时)检测事件并采取必要的补救措施来减轻威胁。Gartner2018年2月的托管安全服务报告包括类似SOCaaS的事务,例如安全事件监控、网络层威胁监控和检测、日志分析、漏洞扫描和事件响应——所有这些都是从类实体的中央SOC托管服务交付的。这只是这类事情中最基本的部分,但要管理的工具集已经很庞大了。该报告列出了17家全球供应商,包括AT&T/AlienVault、英国电信(BT)、CenturyLink和NTT,这些都是电信公司,它们最了解如何让世界上最大的网络基础设施始终在线。如果您的公司的员工和服务器分布在多个大洲,那么上面提到的大型电信公司应该很熟悉。如果您的公司规模较小,您可能希望使用专门从事SOCaaS的数十家供应商之一,例如ArcticWolf、RadarServices或DigitalHands。如何评价SOCaaS?也许SOCaaS评估中最令人沮丧的部分是弄清楚你应该支付什么或支付多少。鉴于云服务的性质,定价模型从一开始就很复杂,并且在这个细分市场中可能变得更加模糊。AlertLogic是为数不多的具有清晰定价页面的供应商之一,其三个定价等级从每月550美元到4,500美元不等。但其他供应商在提供定价信息方面不太乐意。目前,NetworkTechnologyPartners和AccountabilIT的起始价格非常低。最基本的服务价格为每月1500美元和1600美元,价格随着要监控的资产数量和客户增加的网络流量规模而增加。上调。绝大多数情况下,其他供应商要么对自己的定价含糊不清,要么对定价问题特别敏感。许多供应商只向愿意签署保密协议的潜在客户提供定价信息。很显然,SOCaaS的价格需要更加透明。另一个问题是,您可能不知道自己有多少服务器、终端和应用程序需要保护、监控或交由SOCaaS提供商处理。很多公司会从概念验证开始,将少量终端委托给SOCaaS,观察其运行机制和SOC抓取的流量内容,然后扩展到更大的部署。下一个。公司SOC的地理分布有多重要?一些供应商专注于一种中央SOC。其他人则在不同的大陆进行部署,以24/7全天候运营或充分利用互联网连接。NetworkTechnologyPartners在距其圣路易斯总部几个小时车程的地方设有第二个SOC,因为他们可以更轻松地在那里招募所需的技术人才。BoltonLabs专注于亚洲市场,因此其三款SOC均部署在亚洲。供应商的秘诀是什么?了解每个供应商的不同背景可以帮助您了解他们在遇到中断或数据泄露时用于监控、修复和提醒您的技术。一些供应商聚合了一系列开源工具,但编写了自己的专有仪表板,允许用户查看这些工具的性能和安全状况。一些供应商已经开发了自己的工具包来执行威胁搜寻或其他任务。AccountabillIT是AlienVault的技术分包商,这是另一种模式。在向SOCaaS提供商询问编辑性征求建议书(RFP)或调查问卷时,需要考虑以下几个问题。1.提供的功能与纯监控服务方法有何不同?这个问题的答案将帮助您识别每个供应商的细微差别并选择最好的。AlertLogic从一个SIEM开始,并根据自己的全球遥测和威胁监控项目逐渐添加其他保护技术。在决定是否转向完整的SOCaaS之前,您可能希望从纯MSSP开始,看看您的体验如何。2.支持多少遗留SIEM和服务桌面系统?一些供应商希望您迁移到他们的本地解决方案。其他供应商(如DigitalHands.com)为您的遗留系统提供更广泛的支持,而一些供应商(如网络技术合作伙伴)拥有自己的一组API供客户或编写自己的程序。3、客户需要在公司安装什么代理和服务器?大多数供应商需要两件东西来监控您的基础设施:代理和收集流量并运行供应商专有应用程序的自定义服务器。一些供应商还需要为不同的任务安装多个代理,例如一个专门用于监控,另一个专门用于修复。4.供应商多久重新评估/扫描一次您的基础设施?监控可以是连续的或每季度一次,并且对云和本地设备的评估频率可能相差很大。5.合规审计是如何进行的?一些供应商在他们的定价中包括审计,而其他供应商则收取额外费用。一些供应商会将您转介给第三方审核以进行完全独立的评估。其他公司,如BoltonLabs,根本不提供合规服务。每种方法都有其自身的优点,只要您知道付出的代价会得到什么。6.供应商是否有分销或直销模式?一些供应商拥有非常成熟的合作伙伴网络。有些人选择与IngramMicro等更大的经销商扩展业务。还有一些人希望直接与客户打交道。一些SOCaaS提供商还将他们的服务转售给其他MSSP——这是一种有趣的商业模式。无论您采用哪种方法,请确保您对模式感到满意。7.供应商的目标客户群有多大?一些供应商更专注于中端市场甚至小型企业。有些适应跨越多个大陆的非常大的网络。因此,需要了解自身的增长范围,找出供应商最擅长处理的范围。8.供应商的SOC人员来自哪里?您应该想知道维护您的网络的人员接受了什么样的培训?他们有什么认证?他们还有哪些技能?很多时候,人比设备更重要。毕竟,这就是您雇用SOCaaS的原因:您不再需要拥有自己的SOC员工。2018年2月Gartner托管安全服务报告:https://www.gartner.com/reviews/market/managed-security-services-worldwideAlertLogic定价页面:https://www.alertlogic.com/solutions/product-overview-and-pricing/【本文为专栏作家“李少鹏”原创文章,转载请通过平安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
