較早幾年,把一些重要網(wǎng)絡和系統(tǒng)服務資產(chǎn)進行外包安全管理幾乎不敢想像,但現(xiàn)在,面對每天頻繁多變的網(wǎng)絡攻擊,很多公司認為,這種方式更能有效減少安全風險。這種把安全控制權完全交由第三方來管理的手段可不可行?我們隨著Freebuf來聽聽各位專家的觀點。
對于公司采用安全外包管理的前提,很多廠商企業(yè)表示這取決于公司的人員配備水平。如果公司內(nèi)部缺乏相應的專業(yè)技能,或是因成立安全管理團隊而缺乏預算資金的中小企業(yè),可以采用這種方式。因此,在面對數(shù)據(jù)竊取和BYOD(員工攜帶自己設備辦公)的風險擔憂時,與安全管理服務提供商(安全外包服務商,MSSP)的合作成為使然。
各路專家觀點:企業(yè)內(nèi)部安全團隊 VS 安全外包服務商(MSSP)如何選擇?
Alertsec公司CEO Ebba Blitz表示,安全管理服務商MSSP由各類IT安全專家組成,必須具備快速響應和解決復雜問題的技術能力要求。人力資源充足的大公司可能會成立自己的安全團隊,但對一些中小型企業(yè)來說,選擇與安全管理服務商合作可能是其最好的選擇。
選擇MSSP服務商不是甩包袱
Optiv戰(zhàn)略架構(gòu)副總裁Pat Patterson認為,企業(yè)在選擇安全管理服務商進行外包服務時,不應該簡單粗魯?shù)卣J為這樣就可以把安全責任完全甩給MSSP。企業(yè)安全負責人應該明白,選擇安全外包服務不是簡單地把安全監(jiān)控和事件響應交給第三方運維,并寄希望于此。事實上,安全外包服務很容易凸顯出企業(yè)自身信息安全機制存在的不足和缺點,但最終不會修復一個存在問題的信息安全機制。
OneLogin首席安全官Alvaro Hoyos:說到安全外包服務時,企業(yè)自身與第三方外包商的關系,就像軟件即服務(SaaS)與本地部署APP,或最近談及較多的基礎設施及服務(IaaS)與自建數(shù)據(jù)中心的問題,它們之間都存在著一些類似的爭議,但就大多數(shù)企業(yè)目前的選擇趨勢來看,還是比較傾向于第三方云服務提供商,當然,安全服務也會朝著第三方外包的方向發(fā)展。
安全外包服務是未來的發(fā)展趨勢
Trustwave連續(xù)兩年對大量企業(yè)進行了調(diào)查采訪,其最近的一份報告顯示,企業(yè)安全完全由自身安全團隊和IT部門進行建設運維的比例較前一年有所下降,為67%;26%的受訪企業(yè)建立了內(nèi)部安全團隊和第三方安全外包商的合作服務關系,5%的企業(yè)則完全把安全問題委托授權給第三方安全外包商進行管理;2%的企業(yè)采取其它方式進行安全管理。
Trustwave報告還指出,正計劃與安全外包商合作的比例從去年的39%上升到43%。在美國,企業(yè)選擇與安全外包商進行合作的趨勢較為明顯,美國本土受訪企業(yè)中大約有53%已經(jīng)采用安全外包服務,這一比例較上一年有14%的增長。另外,總體來說,有40%的美國企業(yè)計劃在未來會選擇與MSSP合作,而有17%的企業(yè)表示不會選擇安全外包服務。
綜合考慮企業(yè)內(nèi)部安全團隊與安全外包服務商MSSP的各種因素
Verint System網(wǎng)絡產(chǎn)品管理和業(yè)務發(fā)展的副總裁Yitzhak Vager:
安全外包服務與內(nèi)部安全運維之間的關系,是企業(yè)具體安全操作實施之前的一種戰(zhàn)略問題。企業(yè)管理層需要明白,對內(nèi)部安全運維團隊的人力和工具進行投資,將會進一步充實企業(yè)安全,并能確保安全管理機制可控,而把這些相同的成本投資于一個完全只關注安全的第三方公司身上之后,這種安全模式可能會造成對企業(yè)自身商業(yè)關系的考量不足。當企業(yè)選擇與MSSP合作時,MSSP必須清楚受保護企業(yè)特定資產(chǎn)與其商業(yè)風險之間的關系,以便能提供更好的安全服務。
容器應用安全公司Aqua Security CTO Amir Jerbi:
MSSP服務商都具有一定的成熟度水平,其能力應該不亞于或高于企業(yè)內(nèi)部安全團隊。企業(yè)選擇將部分或全部安全業(yè)務外包給MSSP服務商時,應該基于幾方面因素的考慮:企業(yè)內(nèi)部安全團隊技術水平是否能夠保持在一個足夠高的層次、系統(tǒng)和數(shù)據(jù)的靈敏度和合規(guī)性需求、戰(zhàn)略性安全對企業(yè)的意義(如是否把其考慮為一種長期的核心競爭力)、經(jīng)濟成本。
“從經(jīng)驗上來看,一些監(jiān)管性質(zhì)較強的行業(yè)大型企業(yè)都具備優(yōu)秀的技能和內(nèi)部安全團隊,他們更傾向于自行管理控制企業(yè)安全。而在中端市場和中小型企業(yè)領域,使用MSSP服務商來滿足部分或所有安全需求是很合理的方式。只不過,在選擇MSSP服務商時應該明確一個觀點:MSSP的技能應該集中在一些共同或成熟的領域,同時,并能掌握或擁有某些新興技術能為客戶所使用”。
Bluelock安全公司工程總監(jiān)Derek Brost:
對很多企業(yè)來說,在采購、開發(fā)、集成、部署、操作和運維安全控制方面的投資成本遠遠不會超過其資產(chǎn)的總風險狀況。對于這類型公司,盡管投資風險管理是一項必需持續(xù)的支出,但采用MSSP服務更具成本效益;對于那些青睞于內(nèi)部安全管理的機構(gòu),它們可能具備一些穩(wěn)健的風險管理機制,并能有效預測潛在風險以證明內(nèi)部安全管理的價值意義,這些公司機構(gòu)在內(nèi)部資源管理方面甚至達到或超過MSSP服務商的定位和水平。
在思科(Cisco)的年度安全報告中,2014年有21%的受訪企業(yè)表示他們不會選擇任何安全外包服務,而在2015年,這一比例下降到12%。53%的受訪企業(yè)認為安全外包服務是一件具備成本效益,值得投資的事,而49%的企業(yè)表示,選擇外包服務是為了在安全方面獲得來自第三方更多客觀的管理。
Sungard Availability公司安全經(jīng)理Asher DeMetz:
盡管一個公司非常希望管控自身信息安全,但像724小時全天候安全運營中心(SOC)、安全事件管理系統(tǒng)(SEIM)或IDS/IPS等昂貴的必需架構(gòu)不是每個公司都能承擔得起的。關鍵是,具有一定規(guī)模和風險狀況的企業(yè)選用了這些服務之后,將會具備724小時的全天候攻擊監(jiān)測。你可以想像,如果晚上9點發(fā)生的入侵攻擊,到第二天早上上班9點還沒被識別發(fā)現(xiàn),當公司人員正常辦公之后這將會是一個災難性事件。當然,具備深厚功底和經(jīng)驗的MSSP服務商必須能清楚地判斷“真實攻擊”和“誤報攻擊”。
安全服務商Radware副總Carl Herberger:
隨著威脅環(huán)境態(tài)勢的快速發(fā)展,中小型企業(yè)已經(jīng)成為當今頻繁攻擊的首要目標,有43%的攻擊把目標指向中小型企業(yè),對企業(yè)內(nèi)部安全團隊來說這就是一種挑戰(zhàn)。例如,面對日益顯現(xiàn)的攻擊,一些零售電子商務企業(yè)沒有能力投資組建一個穩(wěn)健優(yōu)秀的安全團隊,那么,MSSP服務商可以彌補這種缺口,使企業(yè)更能專心發(fā)展自身的核心競爭力。
Viewpost公司首席安全官Chris Pierson:
在選擇第三方的MSSP服務時,應該綜合考慮信息技術環(huán)境的復雜性、設備控制類型、數(shù)據(jù)中心的位置和類型、地理范圍跨度、全球指紋數(shù)據(jù)、成本和技術資源,以及每周/每年的安全需求等。
值得注意的是,公司內(nèi)部最了解數(shù)據(jù)流布局和操作的人,往往是那些創(chuàng)建體系結(jié)構(gòu)(不管網(wǎng)絡還是安全)并熟悉商業(yè)流程和產(chǎn)品的人。而這些人員模式的成功形成,是公司內(nèi)部至少有一個核心團隊的長期發(fā)展結(jié)果。目前,僅就一些關注威脅指標(IoC)和行為取證的專業(yè)設備來說,安全管理已經(jīng)成為其產(chǎn)品特色的一部份,而對企業(yè)來說,發(fā)展安全管理也是一種明智的投資和運營舉措。
幾個選擇標衡量準
Coalfire公司總裁和創(chuàng)始人Kennet Westby:
外包服務在諸如主機托管、云服務和應用服務等方面比較常見。提供安全外包服務的第三方更了解網(wǎng)絡安全的不同范疇,作為企業(yè)來說,其最有價值的資產(chǎn)可能將不再由自身雇員以網(wǎng)絡管理方式,單純地駐留在公司防火墻之后。
Westby認為,面對企業(yè)信息安全運維,在內(nèi)部安全團隊和第三方MSSP服務商之間進行選擇時,應該充分考慮以下幾個重要標準:
能力/成本–就像組織內(nèi)部的大多數(shù)職能標準一樣,相比于內(nèi)部實現(xiàn)來說,該服務是否能以較低成本形成較高的能力水平;
組織兼容性–確保你選擇的合作伙伴能與你的IT、安全和管理團隊并肩工作,而不僅僅是躲在“安全服務”的圍墻后向你提供或推送一些廠商服務;
信任–這是任何第三方處理敏感事務的重要考慮,對于MSSP服務商來說尤為關鍵,企業(yè)需要確保安全控制的運行標準高于內(nèi)部控制要求,并能做到完全信賴第三方員工。
Absolute全球安全戰(zhàn)略專家Richard Henderson:
信任絕對是一個大問題,需要很多的信任和說服力才能進入安全外包模式,我們在MSSP領域看到的一些成功案例和不可思議的化學反應,一般都是在使用基礎上慢慢發(fā)展起來的。任何中小型企業(yè)內(nèi)的安全團隊組織都應該評估與MSSP整合的可能性。
在現(xiàn)實中,安全人才很難發(fā)現(xiàn),而且很難實現(xiàn)雙方滿意的長期合作。很多安全職位是吃力不討好的工作,然而一旦出事,這些員工承受的壓力又是巨大的。所以二三線城市的小公司,很難招聘到頂尖的技術人才。
2017年思科安全能力基準調(diào)研報告顯示,有20%的企業(yè)機構(gòu)采用第三方外包商提供的信息安全服務,這些依賴利用外在資源進行管理的企業(yè),在未來還可能會繼續(xù)擴大其外包服務范疇。
另外一些中肯的專家建議
CrowdStrike產(chǎn)品管理副總裁Rod Murchison:
企業(yè)組織必須應對越來越頻繁和復雜的網(wǎng)絡威脅,與MSSP服務商進行部分或全部的安全合作都是一件有意義的事。一些MSSP服務商能夠通過API與安全解決方案提供商合作,創(chuàng)造出真正獨特的解決方案,為最終用戶降低復雜性,實現(xiàn)真正的安全服務價值。這種復雜度和集成度的協(xié)同合作關系,將為MSSP服務商客戶提供特定網(wǎng)絡資產(chǎn)保護能力,最終實現(xiàn)技術保護和方案解決的完美結(jié)合。
FireEye產(chǎn)品營銷總監(jiān)Trish Tobin:
在一些初創(chuàng)企業(yè)或處于掙扎階段的公司,MSSP服務商可以協(xié)助企業(yè)安全領導進行整體方案設計、建設SOC、培訓員工或提供事件響應建議等。之后,隨著企業(yè)安全方案的演化完善,將逐步向威脅檢測和事件響應能力方面發(fā)展。更多時候,這些企業(yè)由于缺乏過硬的安全專業(yè)知識和對新型攻擊技術的了解掌握,而陷入被動發(fā)展的局限。
AppRiver網(wǎng)絡安全管理員Scottie Cole:
在安全外包服務和一個訓練有素的內(nèi)部安全團隊之間,我更傾向于后者。因為內(nèi)部安全團隊更了解企業(yè)安全需求和企業(yè)實現(xiàn)目標。對很多企業(yè)來說,運行內(nèi)部安全團隊的缺點就是長期的維護成本,一些有能力的優(yōu)秀人才可以通過高薪聘用,而且,安全團隊也需要持續(xù)教育成本,這些成本投入將體現(xiàn)在培訓、研討會或技能證書的重新認證等方面。
如果不考慮成本問題的話,安全外包服務算是一種不錯的方案。很多外包公司提供訓練有素的專業(yè)人才為客戶現(xiàn)場解決安全問題,此外,使用安全外包服務的另一個好處是,客戶公司可以有一個相對大的人才庫進行備選使用,而外包公司可以根據(jù)客戶要求或監(jiān)管需求,提供相應的專家或團隊技術支持。
Komodo公司安全顧問Boaz Shunami:
MSSP服務商還可以在模擬攻擊的紅隊演練中凸顯優(yōu)勢,這些演練包括紅藍雙方的對抗、滲透滲透、威脅情報中心服務、應急響應以及調(diào)查取證技術支持等。這種模擬攻擊如果完全換作內(nèi)部員工來進行的話,效果將不會太好,畢竟這需要較長時間學習曲線,時間和價值成本不成正比。
CounterTack公司營銷副總裁Tom Bain:
大多數(shù)企業(yè)都希望對服務和產(chǎn)品進行“精簡拆分”,企業(yè)實際希望后臺真正可用的代理和服務商不要太多,達到少而精的供應商和平臺服務。技術托管外包方式將給那些能幫助客戶企業(yè)實現(xiàn)技術減負的MSSP服務商足夠的發(fā)展空間,MSSP服務商可以通過攻擊事件監(jiān)測和威脅情報響應等具體方式為客戶進行托管服務。
不能操之過急的選擇安全外包服務模式(MSSP)
從以上采訪可以看出大部分專家都比較支持MSSP服務方式,但也有專家表示,如果盲目放棄安全控制權將會出現(xiàn)問題。
Coalfire公司總裁和創(chuàng)始人Kennet Westby:
市面上有很多可以提供和實施安全服務的外包公司,在外包服務商選擇方面,應該花時間去了解這些外包商所提供的服務是否能真正有效適合自身企業(yè)。另外, 針對安全領導機制或流程/供應商實行內(nèi)部監(jiān)督也非常重要。
AlienVault安全顧問Javvad Malik:
企業(yè)的總體要求和需求非常重要,比如,如果一個公司需要針對很多定制化應用程序需要進行特定監(jiān)控需求,那么內(nèi)部安全團隊可能比外部的MSSP服務商更適合。其它考慮因素可能還包括專門人員或條例的偏好傾向,以及安全服務數(shù)據(jù)是否需要本地存儲化等。
如果一個公司希望選擇MSSP服務模式時,應該對MSSP服務商的有效性和執(zhí)行能力進行評估。當然,選擇一個能與企業(yè)自身文化相適應的MSSP服務商,和選擇具有合適技術能力的MSSP服務商同樣重要。
關于對內(nèi)部安全團隊和安全外包服務商的選擇,沒有簡單或正確的答案,兩種方案都有各自的優(yōu)缺點,但最好根據(jù)企業(yè)自身的成本預算、專業(yè)知識和期望結(jié)果做出明智的決定。
Bitglass公司產(chǎn)品經(jīng)理Salim Hafid:
對很多有安全意識的行業(yè)和組織來說,內(nèi)部安全團隊是必須的。一個具備合規(guī)性專業(yè)知識能力的內(nèi)部安全團隊,可以有效評估多種安全解決方案以滿足企業(yè)要求。
OneLogin首席安全官Alvaro Hoyos:
內(nèi)部安全團隊可以建立屬于自身企業(yè)的專業(yè)知識儲備,這些都是不能轉(zhuǎn)移到任何第三方的企業(yè)資產(chǎn)。內(nèi)部團隊更能清楚地了解企業(yè)自身所面對的風險,包括來自內(nèi)部人員的威脅,這些都不是MSSP服務商輕易就能掌握的,必須經(jīng)過一番腳踏實地的工作才能獲得。
Alvaro Hoyos認為,可以采取內(nèi)部安全團隊和MSSP服務商的混合模式,MSSP服務商負責基本的安全服務,內(nèi)部安全團隊可以負責一些復雜有差別或MSSP不了解的任務。這種模式一方面能減少失誤,另外還能有機地增強安全流程,對內(nèi)部安全團隊來說也是一種挑戰(zhàn)鍛煉。
如果公司與其它服務供應商簽有合適的合同,或是具備清楚知曉內(nèi)外安全環(huán)境的安全團隊,那么可能不會使用MSSP服務模式。MSSP模式可以說是一刀切的服務, 在計劃初期必須考慮很多服務的遷移,同時還需認識到,企業(yè)所有數(shù)據(jù)將會通過MSSP,所以一些涉及保密協(xié)議的數(shù)據(jù)、專利和用戶數(shù)據(jù)需要慎重考慮。
Barracuda業(yè)務發(fā)展高級總監(jiān)Neal Bradbury也認為,作為一種服務模式“as-a-service”,企業(yè)應該盡管選擇適合自己發(fā)展的服務模式。
KnowBe4總裁Stu Sjouwerman:
決定使用內(nèi)部團隊時需要考慮的因素是企業(yè)環(huán)境的復雜性,對MSSP服務商來說,一些非常復雜的環(huán)境和因素無疑是一種挑戰(zhàn),特別是當MSSP服務商具有很高的離職率時。了解復雜環(huán)境需要時間,所以要盡量減少重復學習曲線。
另一個重要因素是公司自身的地理位置。當?shù)厥欠裼袑iT的安全人才庫,或是處于供不應求狀態(tài)?如果你的企業(yè)薪水、福利和津貼都位于低水平位置,那么雇用外包商人才也將是個問題。
內(nèi)部安全團隊的優(yōu)點是,企業(yè)具有一個深入到日常,比MSSP服務商知曉企業(yè)具體環(huán)境的專門資源庫。對于不想外部組織參與的項目或建議,可以任意利用這種內(nèi)部資源。
最終,企業(yè)還需對任何形式的MSSP服務和雇用模式進行調(diào)研,以便作出進一步?jīng)Q策。需要清楚的是,選用的安全服務商將是企業(yè)信息資源的守護者,但同時,他們還能獲取很多企業(yè)顧客數(shù)據(jù)的訪問權限,因此,選擇那些擁有良好記錄和可信賴的公司或個人至關重要。
*參考來源:NetworkWorld,freebuf小編clouds編譯,轉(zhuǎn)載請注明來自FreeBuf.COM。