一直以來,企業(yè)網(wǎng)絡安全能力在需求和建設兩端都存在較大差距,隨著企業(yè)數(shù)字化轉型的不斷深入,這種差距正在變得更加明顯。企業(yè)既需要應對不斷增長的安全威脅,同時又必須面對專業(yè)人才匱乏、防護經(jīng)驗缺失、安全預算有限的現(xiàn)實。
安全建設的困惑與挑戰(zhàn)
在安全牛近期開展的行業(yè)調研中,有多位企業(yè)CSO都表達了同樣的困惑:企業(yè)對網(wǎng)絡安全建設的重視度不斷提升,安全投入也逐步增長,采購并建設了態(tài)勢感知系統(tǒng)、SOC平臺、威脅檢測系統(tǒng)等新一代安全管控平臺,但新技術的應用卻帶來了更多問題,讓安全管理團隊陷入了日志分析、事件響應和問題處置等大量事務性工作中,疲于應對,實際效果難以達到建設預期。
網(wǎng)絡安全產品碎片化嚴重,企業(yè)在構建自身安全能力時,需要通過工程化方法將多種基礎安全能力進行科學組合,才能形成有效的整體防護能力。當企業(yè)應用和服務云化后,多云業(yè)務、泛終端應用場景越來越普遍,企業(yè)業(yè)務的安全暴露面越來越大。企業(yè)從系統(tǒng)防護、數(shù)據(jù)防護再到云應用的防護,安全能力建設的壓力越來越重,僅依靠企業(yè)自身能力積累,實在難以滿足目前的安全防護需求。
在最新發(fā)布的《企業(yè)高級威脅防護能力構建指南》報告中,安全牛也對目前我國企業(yè)安全建設的主要挑戰(zhàn)進行了調研梳理,主要表現(xiàn)為:
43%的調研者認為其面對的高級威脅攻擊已經(jīng)常態(tài)化。對企業(yè)用戶而言,高級威脅的應對嚴重依賴外部情報的更新和防護檢測手段的先進性,如多源情報分析、行為學習建模等;
面對高級威脅檢測會有較高誤報率,需要有力的運營團隊來維護安全策略、管理安全告警、響應處置風險事件并定期評估風險,以保證安全能力建設與暴露面增長帶來的風險可以抗衡;
安全的長效運營對企業(yè)是一場持久戰(zhàn),這使得安全設備、人員的投入與企業(yè)利潤的追求也總是令企業(yè)管理者難以權衡。
從產品思維到服務思維
當安全防護模式從事件性處理演進到常態(tài)化運營階段時,對安全運營者專業(yè)知識的依賴度更高、問題分析能力需求更強、處置響應要求更快。如何在縱深的網(wǎng)絡安全防護中使人、技術和操作保持高效協(xié)同,將更多的安全能力釋放出來,減輕企業(yè)整體安全防控壓力是現(xiàn)代企業(yè)必須面對的挑戰(zhàn)。
Gartner自2011年開始持續(xù)關注并提出了MSS(Managed Security Service,托管安全服務)的理念,目前在北美等地區(qū)已經(jīng)有較成熟的落地,以SecureWorks、Trustwave、Symantec、Verizon、IBM等國際廠商為代表,通過全球化的安全運營中心,為企業(yè)提供安全托管服務,有效解決了企業(yè)自身安全能力不足的難題。MSS主要覆蓋的安全能力包括:
安全技術管理與編排
安全事件響應服務(遠程和現(xiàn)場)
漏洞評估和托管漏洞管理服務(例如掃描、分析和建議/補救)
全球化的威脅情報服務(例如機器可讀的威脅情報源、客戶指定的暗網(wǎng)和社交媒體監(jiān)控)
面對未知威脅的檢測和響應(MDR)服務
在我國,托管式安全運營理念也開始受到行業(yè)更多關注。一方面是因為用戶安全需求的驅動,另一方面也歸功于云計算等新興技術的成熟,為MSS這種遠程服務取代駐場運維奠定了技術基礎。MSS的核心是提供7*24小時的針對威脅檢測的安全事件監(jiān)控和響應,對威脅響應時間、處置效率、建設成本以及安全系統(tǒng)可用性等指標項,都提出了更高的要求。
對比傳統(tǒng)的安全建設與運營模式,托管安全服務對于需要多少成本、多少人力、多少時間資源是可以清晰評估并量化的,能夠實現(xiàn)安全服務商和企業(yè)用戶在安全資源和成本投入方面的優(yōu)化,給企業(yè)的安全建設減負,讓企業(yè)可以把重心和思考放在業(yè)務發(fā)展上。
回歸對安全最本質的訴求
從2018年開始,我國主流國內安全廠商開始基于其優(yōu)勢單點產品能力,嘗試為用戶提供遠程安全托管服務,如MDR、FWaaS等,推動傳統(tǒng)安全建設方式的轉型。隨著云計算技術的應用發(fā)展,越來越多的安全防護能力被整合到MSS服務體系中,形成了更具特色的安全托管服務。
以國內較早發(fā)布MSS服務的深信服科技為例,其在不久前舉辦的“深信服智安全創(chuàng)新峰會”上,正式推出了成熟度更高、可用性更廣的MSS 2.0方案,嘗試構建隨需可得的托管安全運營能力,為用戶提供日常安全運營、實戰(zhàn)攻防運營、等保合規(guī)運營、勒索專項運營等綜合安全服務。
深信服科技CEO何朝曦表示:“在云計算時代,要用云化的安全來保護企業(yè)云化的業(yè)務。我們希望幫助企業(yè)回到對安全最本質的訴求,在更加復雜、變化更加快速環(huán)境下,讓安全更加的簡單有效,讓用戶更省心,讓業(yè)務更可靠。”
據(jù)安全牛了解,在深信服MSS 2.0版中,其核心能力包括資產管理、漏洞管理、威脅監(jiān)測與響應、事件預防與響應,涵蓋了資產、脆弱性和威脅三個傳統(tǒng)安全要素。此外,還結合國內實踐化運營的特色需求,在常態(tài)化安全運營的基礎上挖掘了實戰(zhàn)攻防運營、等保合規(guī)運營、勒索專項運營等特殊場景的運營服務。其中,事件預防與響應通過大量安全實戰(zhàn)經(jīng)驗總結后的知識沉淀,經(jīng)過專業(yè)團隊的研究分析后形成預防模型、知識庫以及處置預案,為用戶后續(xù)的安全防護能力建設提供指導。
圖1 深信服MSS 2.0 能力架構圖
我國企業(yè)安全的能力建設已經(jīng)經(jīng)歷了從人工防護到產品技術防護,從產品技術防護再到系統(tǒng)化持續(xù)運營防護三個階段。先進的安全產品和技術只有被充分運營起來,各種安全威脅才能被盡早發(fā)現(xiàn),并得到及時處置。某種意義上說,安全托管服務的發(fā)展代表著企業(yè)安全能力建設正在步入一個新的階段。
圖2 2021 Gartner安全運營成熟度曲線
在Gartner發(fā)布的《Hype Cycle for Security Operations, 2021》中,對多項安全運營服務涉及到的技術進行了成熟度評價,我們可以看到:漏洞評估、安全信息和事件管理(SIEM)、CASB、EDR 已進入成熟和準成熟階段;托管檢測和響應 (MDR) 、網(wǎng)絡威脅檢測及響應NDR 、SOAR的技術泡沫也正在逐漸消退。隨著這些基礎性安全技術的成熟,安全托管服務廣泛應用的時代或將很快到來。
