并非每个需要安全运营中心的组织都能负担得起安全设备和人员成本。许多提供商可以为其提供安全运营中心即服务(SOCaaS)。
如果组织当前没有自己的安全运营中心(SOC),那么可能需要考虑如何在不从头开始构建的情况下获得安全运营中心(SOC)。自己构建安全运营中心(SOC)的费用可能会非常昂贵,考虑到工作人员全天候运营的配置成本,就更是如此。在过去几年中,托管安全服务提供商(MSSP)推出了基于云计算的安全运营中心(SOC),用于监控网络和计算基础设施,并提供广泛的服务。以下了解一下安全运营中心即服务(SOCaaS)行业如何成长,它们提供什么,以及如何根据用户的特定需求选择合适的供应商。
什么是安全运营中心即服务(SOCaaS)?
安全运营中心即服务(SOCaaS)的定义是不断变化的,可能是供应商提供的全天候网络监控服务,也可能是全面的威胁检测和缓解服务。这意味着每个供应商都有自己的服务集合,可以将其标记为安全运营中心即服务(SOCaaS)或传统的托管安全服务提供商(MSSP)。但深入研究将会耗费大量时间。其中一些只是每个首字母缩略词的定义不一致,有些是感知问题,有些是产品和服务产品,有些与提供商的来源有关。
一些问题在于,安全运营中心即服务(SOCaaS)供应商由于其专注于不同安全领域而创建的不同业务而有所不同。一些最初是托管安全事件提供商(例如AlertLogic),另一些是托管检测供应商(例如NetworkTechnologyPartners)或托管端点安全供应商(例如Symantec和Trustwave)。有些公司开发了自己的安全运营中心(SOC)控制台来管理他们自己的产品,然后使它们成为更通用的工具,可以连接到更广泛的工具。一些来自大型计算机制造商(IBM、戴尔、惠普)的服务部门。
其他公司开始运行他们自己的托管网络运营中心(NOC),然后分支到安全领域(例如AccountabilIT)。托管网络运营中心(NOC)和托管安全运营中心(SOC)之间有什么区别?前者主要关注保持流过管道的流量包。后者主要是关于确保使用正确的数据包和正确的管道。其工具集也完全不同:网络延迟与占用CPU的进程。关键点在于它们提供的实际服务,它们监控的内容以及它们与现有服务器和网络基础设施的交互方式。
这里的目标是配备安全设备,当组织的数据遭受破坏或数据泄露或其他安全事件时,这些安全设备会提醒,这样组织就不必构建自己的安全运营中心(SOC),也不必雇佣经验丰富的员工来运行保护性安全设备。在理想情况下,供应商应能够及时识别事件(根据其服务级别协议),并进行必要的纠正以消除威胁。
调研机构Gartner公司2018年2月发布了关于托管安全服务的调查报告,其中包括安全运营中心即服务(SOCaaS),如安全事件监控、网络层威胁监控和检测、日志分析、漏洞扫描和事件响应等,所有这些都是作为托管服务从中央安全运营中心即服务(SOCaaS)类型实体提供的,它已经是一个需要处理的大量工具。该报告列出了17家全球供应商,其中包括AT&T/Alienvault、BT、CenturyLink和NTT等。所有这些都是电信厂商,而这些厂商最了解如何保持全球最大的网络基础设施全天候运行。
如果组织在全球各地都有分支机构和服务器开展全球业务,那么可能已经了解了这些厂商。如果是业务并不广泛的小型企业,可能需要考虑与专门从事安全运营中心即服务(SOCaaS)的十几家供应商中的一家开展合作,其中包括ArcticWolf、RadarServices或DigitalHands。
如何评估安全运营中心即服务(SOCaaS)?
安全运营中心即服务(SOCaaS)评估中最令人沮丧的部分可能是弄清楚最终会支付多少费用。鉴于云计算服务的性质,定价模型一开始就很复杂,但在这个市场领域却变得很模糊。
AlertLogic公司是少数几家实际拥有有意义的公共定价页面的供应商之一,它提供了三种不同的定价等级,每月从550美元到4,500美元不等。而其他厂商并没有公布这些价格信息。
NetworkTechnologyPartners和Accountabli公司都从低端开始(最基本的服务价格分别为每月1,500美元和每月1,600美元),并添加更多受监控资产,并且随着网络流量增加而增加。在大多数情况下,其他供应商的报价在这两家提供的价格之间。一些厂商表示,其公司的定价是一个非常敏感的问题,许多厂商只会向愿意签署不披露协议的潜在客户提供价格。显然这需要更多的透明度。
其部分问题在于,用户可能不知道将要保护、监控或以其他方式置于安全运营中心即服务(SOCaaS)供应商范围内的服务器、端点或应用程序数量。许多公司从具有少量端点的概念验证开始,以便在扩展到更广泛的部署之前,查看程序如何工作,以及安全运营中心(SOC)捕获的流量。
另外,地理分布对于组织的安全运营中心(SOC)实际位置有多重要?一些供应商只有单一的安全运营中心(SOC)。还有其他公司把它们放在不同的地区,或利用更好的互联网连接。NetworkTechnologyPartners公司拥有的第二个安全运营中心(SOC),距离其位于圣路易斯的公司总部只有几个小时的路程,因为他们可以在该地点更容易地招聘具备所需技能的员工。Bolton实验室专注于亚洲市场,这就是其三个安全运营中心(SOC)中的两个位于亚洲市场的原因。
供应商的秘诀是什么?鉴于每个供应商的各种起源故事,有助于了解他们在遭遇中断或违规时使用哪些专有技术来监控、修复和提醒。有些供应将一系列开源工具结合在一起,但编写了一个专有的仪表板,用户可以使用它来查看其性能和安全状况。也有一些供应商已经编写了自己的工具包,用于搜寻威胁或其他任务。AccountabillIT公司是AlienVault公司的经销商,这是另一种模式。
向安全运营中心即服务(SOCaaS)服务提供商提出的问题
当组织整理需球建议书(RFP)或问卷时,需要询问一些相关的问题。
1.提供的内容与纯粹监控的服务方法有何不同?其答案应该可以帮助组织了解供应商的细微差别以及它如何与众不同。AlertLogic公司从安全信息和事件管理(SIEM)开始,然后根据自己的全球遥测和威胁监控程序添加了其他保护技术。组织可能希望从纯粹的托管安全服务提供商(MSSP)开始,在决定是否全力投入安全运营中心即服务(SOCaaS)之前,先了解自己的体验。
2.支持多少传统安全信息和事件管理(SIEM)和服务台系统?一些供应商希望用户切换到他们自己的内部解决方案。其他供应商(如DigitalHands.com)为这两种技术的遗留系统提供更广泛的支持,而有些(如NetworkTechnologyPartners)拥有自己的API集,用户必须编写程序才能利用。
3.客户需要在其场所安装哪些代理和服务器?大多数供应商都有两个项目来监控组织的基础设施:代理和收集流量,并运行供应商专有应用程序的自定义服务器。有些需要多个代理来完成特定任务,例如一个用于监控,另一个用于修复。
4.供应商多久重新评估/扫描一次基础设施?监控在连续到每季度的扫描中有所不同,而且对于云计算设备和内部部署设备来说,其监控方式也可能有所不同。
5.组织将如何进行合规性审计?一些供应商将审计作为其收费项目的一部分,一些供应商额外收费,一些供应商推荐第三方,以便组织可以完全独立地了解他们正在做什么。像Bolton实验室这样的公司根本不提供任何合规服务。每种方法都有充分的理由,只要确保组织知道要付出什么。
6.供应商是否有经销商或直销模式?有些供应商拥有完善的合作伙伴网络。其他人使用像IngramMicro这样的大型经销商来销售他们的产品,而有些供应商则想直接与用户打交道。一些安全运营中心即服务(SOCaaS)提供商还将其服务转售给其他托管安全服务提供商(MSSP),这是一种有趣的商业模式。确保组织对使用的任何方法感到满意。
7.客户的目标规模是多少?一些供应商更加关注中小企业。其他人可以在许多市场上成长,并扩展到非常大的网络。其次寻找他们的最佳位置,并知道什么时候可能会扩张。
8.谁在为他们的安全运营中心(SOC)配备人员?组织需要了解网络人员的培训、认证和其他技能水平等情况。员工往往比安全设备更重要。毕竟,这就是为什么组织需要采用安全运营中心即服务(SOCaaS)的原因,而不必自己构建或运营。
编辑:Harris