如果組織當(dāng)前沒有自己的安全運營中心(SOC),那么可能需要考慮如何在不從頭開始構(gòu)建的情況下獲得安全運營中心(SOC)。自己構(gòu)建安全運營中心(SOC)的費用可能會非常昂貴,考慮到工作人員全天候運營的配置成本,就更是如此。在過去幾年中,托管安全服務(wù)提供商(MSSP)推出了基于云計算的安全運營中心(SOC),用于監(jiān)控網(wǎng)絡(luò)和計算基礎(chǔ)設(shè)施,并提供廣泛的服務(wù)。以下了解一下安全運營中心即服務(wù)(SOCaaS)行業(yè)如何成長,它們提供什么,以及如何根據(jù)用戶的特定需求選擇合適的供應(yīng)商。
什么是安全運營中心即服務(wù)(SOCaaS)?
安全運營中心即服務(wù)(SOCaaS)的定義是不斷變化的,可能是供應(yīng)商提供的全天候網(wǎng)絡(luò)監(jiān)控服務(wù),也可能是全面的威脅檢測和緩解服務(wù)。這意味著每個供應(yīng)商都有自己的服務(wù)集合,可以將其標(biāo)記為安全運營中心即服務(wù)(SOCaaS)或傳統(tǒng)的托管安全服務(wù)提供商(MSSP)。但深入研究將會耗費大量時間。其中一些只是每個首字母縮略詞的定義不一致,有些是感知問題,有些是產(chǎn)品和服務(wù)產(chǎn)品,有些與提供商的來源有關(guān)。
一些問題在于,安全運營中心即服務(wù)(SOCaaS)供應(yīng)商由于其專注于不同安全領(lǐng)域而創(chuàng)建的不同業(yè)務(wù)而有所不同。一些最初是托管安全事件提供商(例如AlertLogic),另一些是托管檢測供應(yīng)商(例如Network Technology Partners)或托管端點安全供應(yīng)商(例如Symantec和Trustwave)。有些公司開發(fā)了自己的安全運營中心(SOC)控制臺來管理他們自己的產(chǎn)品,然后使它們成為更通用的工具,可以連接到更廣泛的工具。一些來自大型計算機制造商(IBM、戴爾、惠普)的服務(wù)部門。
其他公司開始運行他們自己的托管網(wǎng)絡(luò)運營中心(NOC),然后分支到安全領(lǐng)域(例如AccountabilIT)。托管網(wǎng)絡(luò)運營中心(NOC)和托管安全運營中心(SOC)之間有什么區(qū)別?前者主要關(guān)注保持流過管道的流量包。后者主要是關(guān)于確保使用正確的數(shù)據(jù)包和正確的管道。其工具集也完全不同:網(wǎng)絡(luò)延遲與占用CPU的進程。關(guān)鍵點在于它們提供的實際服務(wù),它們監(jiān)控的內(nèi)容以及它們與現(xiàn)有服務(wù)器和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的交互方式。
這里的目標(biāo)是配備安全設(shè)備,當(dāng)組織的數(shù)據(jù)遭受破壞或數(shù)據(jù)泄露或其他安全事件時,這些安全設(shè)備會提醒,這樣組織就不必構(gòu)建自己的安全運營中心(SOC),也不必雇傭經(jīng)驗豐富的員工來運行保護性安全設(shè)備。在理想情況下,供應(yīng)商應(yīng)能夠及時識別事件(根據(jù)其服務(wù)級別協(xié)議),并進行必要的糾正以消除威脅。
調(diào)研機構(gòu)Gartner公司2018年2月發(fā)布了關(guān)于托管安全服務(wù)的調(diào)查報告,其中包括安全運營中心即服務(wù)(SOCaaS),如安全事件監(jiān)控、網(wǎng)絡(luò)層威脅監(jiān)控和檢測、日志分析、漏洞掃描和事件響應(yīng)等,所有這些都是作為托管服務(wù)從中央安全運營中心即服務(wù)(SOCaaS)類型實體提供的,它已經(jīng)是一個需要處理的大量工具。該報告列出了17家全球供應(yīng)商,其中包括AT&T/Alienvault、BT、Century Link和NTT等。所有這些都是電信廠商,而這些廠商最了解如何保持全球最大的網(wǎng)絡(luò)基礎(chǔ)設(shè)施全天候運行。
如果組織在全球各地都有分支機構(gòu)和服務(wù)器開展全球業(yè)務(wù),那么可能已經(jīng)了解了這些廠商。如果是業(yè)務(wù)并不廣泛的小型企業(yè),可能需要考慮與專門從事安全運營中心即服務(wù)(SOCaaS)的十幾家供應(yīng)商中的一家開展合作,其中包括ArcticWolf、RadarServices或DigitalHands。
如何評估安全運營中心即服務(wù)(SOCaaS)?
安全運營中心即服務(wù)(SOCaaS)評估中最令人沮喪的部分可能是弄清楚最終會支付多少費用。鑒于云計算服務(wù)的性質(zhì),定價模型一開始就很復(fù)雜,但在這個市場領(lǐng)域卻變得很模糊。
AlertLogic公司是少數(shù)幾家實際擁有有意義的公共定價頁面的供應(yīng)商之一,它提供了三種不同的定價等級,每月從550美元到4,500美元不等。而其他廠商并沒有公布這些價格信息。
Network Technology Partners和Accountabli公司都從低端開始(最基本的服務(wù)價格分別為每月1,500美元和每月1,600美元),并添加更多受監(jiān)控資產(chǎn),并且隨著網(wǎng)絡(luò)流量增加而增加。在大多數(shù)情況下,其他供應(yīng)商的報價在這兩家提供的價格之間。一些廠商表示,其公司的定價是一個非常敏感的問題,許多廠商只會向愿意簽署不披露協(xié)議的潛在客戶提供價格。顯然這需要更多的透明度。
其部分問題在于,用戶可能不知道將要保護、監(jiān)控或以其他方式置于安全運營中心即服務(wù)(SOCaaS)供應(yīng)商范圍內(nèi)的服務(wù)器、端點或應(yīng)用程序數(shù)量。許多公司從具有少量端點的概念驗證開始,以便在擴展到更廣泛的部署之前,查看程序如何工作,以及安全運營中心(SOC)捕獲的流量。
另外,地理分布對于組織的安全運營中心(SOC)實際位置有多重要?一些供應(yīng)商只有單一的安全運營中心(SOC)。還有其他公司把它們放在不同的地區(qū),或利用更好的互聯(lián)網(wǎng)連接。Network Technology Partners公司擁有的第二個安全運營中心(SOC),距離其位于圣路易斯的公司總部只有幾個小時的路程,因為他們可以在該地點更容易地招聘具備所需技能的員工。Bolton實驗室專注于亞洲市場,這就是其三個安全運營中心(SOC)中的兩個位于亞洲市場的原因。
供應(yīng)商的秘訣是什么?鑒于每個供應(yīng)商的各種起源故事,有助于了解他們在遭遇中斷或違規(guī)時使用哪些專有技術(shù)來監(jiān)控、修復(fù)和提醒。有些供應(yīng)將一系列開源工具結(jié)合在一起,但編寫了一個專有的儀表板,用戶可以使用它來查看其性能和安全狀況。也有一些供應(yīng)商已經(jīng)編寫了自己的工具包,用于搜尋威脅或其他任務(wù)。AccountabillIT公司是AlienVault公司的經(jīng)銷商,這是另一種模式。
向安全運營中心即服務(wù)(SOCaaS)服務(wù)提供商提出的問題
當(dāng)組織整理需球建議書(RFP)或問卷時,需要詢問一些相關(guān)的問題。
1.提供的內(nèi)容與純粹監(jiān)控的服務(wù)方法有何不同?其答案應(yīng)該可以幫助組織了解供應(yīng)商的細微差別以及它如何與眾不同。AlertLogic公司從安全信息和事件管理(SIEM)開始,然后根據(jù)自己的全球遙測和威脅監(jiān)控程序添加了其他保護技術(shù)。組織可能希望從純粹的托管安全服務(wù)提供商(MSSP)開始,在決定是否全力投入安全運營中心即服務(wù)(SOCaaS)之前,先了解自己的體驗。
2.支持多少傳統(tǒng)安全信息和事件管理(SIEM)和服務(wù)臺系統(tǒng)?一些供應(yīng)商希望用戶切換到他們自己的內(nèi)部解決方案。其他供應(yīng)商(如DigitalHands.com)為這兩種技術(shù)的遺留系統(tǒng)提供更廣泛的支持,而有些(如Network Technology Partners)擁有自己的API集,用戶必須編寫程序才能利用。
3.客戶需要在其場所安裝哪些代理和服務(wù)器?大多數(shù)供應(yīng)商都有兩個項目來監(jiān)控組織的基礎(chǔ)設(shè)施:代理和收集流量,并運行供應(yīng)商專有應(yīng)用程序的自定義服務(wù)器。有些需要多個代理來完成特定任務(wù),例如一個用于監(jiān)控,另一個用于修復(fù)。
4.供應(yīng)商多久重新評估/掃描一次基礎(chǔ)設(shè)施?監(jiān)控在連續(xù)到每季度的掃描中有所不同,而且對于云計算設(shè)備和內(nèi)部部署設(shè)備來說,其監(jiān)控方式也可能有所不同。
5.組織將如何進行合規(guī)性審計?一些供應(yīng)商將審計作為其收費項目的一部分,一些供應(yīng)商額外收費,一些供應(yīng)商推薦第三方,以便組織可以完全獨立地了解他們正在做什么。像Bolton實驗室這樣的公司根本不提供任何合規(guī)服務(wù)。每種方法都有充分的理由,只要確保組織知道要付出什么。
6.供應(yīng)商是否有經(jīng)銷商或直銷模式?有些供應(yīng)商擁有完善的合作伙伴網(wǎng)絡(luò)。其他人使用像Ingram Micro這樣的大型經(jīng)銷商來銷售他們的產(chǎn)品,而有些供應(yīng)商則想直接與用戶打交道。一些安全運營中心即服務(wù)(SOCaaS)提供商還將其服務(wù)轉(zhuǎn)售給其他托管安全服務(wù)提供商(MSSP),這是一種有趣的商業(yè)模式。確保組織對使用的任何方法感到滿意。
7.客戶的目標(biāo)規(guī)模是多少?一些供應(yīng)商更加關(guān)注中小企業(yè)。其他人可以在許多市場上成長,并擴展到非常大的網(wǎng)絡(luò)。其次尋找他們的最佳位置,并知道什么時候可能會擴張。
8.誰在為他們的安全運營中心(SOC)配備人員?組織需要了解網(wǎng)絡(luò)人員的培訓(xùn)、認證和其他技能水平等情況。員工往往比安全設(shè)備更重要。畢竟,這就是為什么組織需要采用安全運營中心即服務(wù)(SOCaaS)的原因,而不必自己構(gòu)建或運營。
京公網(wǎng)安備 11010502049343號