需要安全运营中心(SOC)的公司企业未必负担得起相应的设备和人员开支。很多提供商都推出了安全运营中心即服务(SOCaaS)业务,该怎么衡量和选择呢?
如果你目前还没有自己的安全运营中心,那你可能正在考虑怎么样才能不自己动手就拥有相同的功能。打造公司自己的SOC可能花费不菲,如果考虑进24小时运营的员工成本,那开销就更大了。
过去几年里,托管安全服务提供商(MSSP)提出了云SOC概念,可用于监视客户的网络和计算基础设施,并提供漏洞修复和恶意软件缓解等一系列服务。我们不妨来考察一下这种SOC即服务(SOCaaS)行业的成长历程,看看他们所提供的功能,考虑如何选择适合自己特定需求的提供商。
何谓SOCaaS?
SOCaaS的定义是动态发展的,从提供基本的24小时网络监控,到全功能的威胁检测与缓解,都包含在内。这意味着每家供应商都有自己可以被标注为SOCaaS或传统MSSP的服务集。纠结于是SOCaaS还是MSSP会耗去很多不必要的时间。有时候这不过是每个首字母缩略词的定义不同,有时候这只是个理解问题,有时候要归结到具体的产品和服务上,还有时候跟供应商的出身有关。
SOCaaS的定义问题部分源于供应商来自于专注不同安全领域的行业。有些是从托管安全事件承包商(AlertLogic)起家,有些则是托管检测承包商(Network Technology Partners)或托管终端安全供应商(赛门铁克和Trustwave)。有些开发了自己的SOC类控制端以管理自身产品,然后将其改为更加通用的工具,可以连接更多的应用。有些则脱胎自大型计算机制造商(IBM、戴尔和惠普)的服务部门。
还有的从运营自己的托管网络运营中心(NOC)开始,然后拓展至安全领域。托管NOC和托管SOC之间有何区别?前者更关注保障数据包在网络管线中顺畅流通。后者则几乎只关心你是否在用正确的管线和正确的数据包。二者所用的工具集也完全不一样:网络延迟 vs. 吞掉CPU的处理过程。关键点就在于他们提供的到底是什么服务?他们监视的是什么?他们的东西如何与你现有的服务器和网络基础设施相互操作?
采用SOCaaS的目标是要拥有能够警示数据泄露或其他安全事件的设备,让你不用构建自己的SOC,也不用雇佣高端技术人才来运营防护性安全设备。理想状况下,供应商应该能够及时 (及时程度与其服务水平协议有关) 发现事件,并做出必要的修正以缓解威胁。
Gartner在2018年2月发布的托管安全服务报告包含了SOCaaS类事务,比如安全事件监视、网络层威胁监视与检测、日志分析、漏洞扫描及事件响应——所有这些的交付形式都是来自中央SOC类实体的托管服务。这还只是此类事务中最基础的部分,然而需要管理的工具集已然很庞大了。该报告列出了17家全球提供商,包括AT&T/AlienVault、英国电信(BT)、Century Link 和NTT,全都是电信公司,也就是最了解如何保障全球大型网络基础设施随时在线的那些供应商。
如果你的公司员工和服务器遍布多个大洲,那上述大型电信公司理应耳熟能详。如果你的公司规模较小,那你可能想要采用专精于SOCaaS的几十家供应商中的一家,比如说ArcticWolf、RadarServices或DigitalHands。
怎样评估SOCaaS?
SOCaaS评估中最令人沮丧的部分或许是算出自己到底该付出什么或者多少钱 。考虑到云服务的本质,定价模型从一开始就很复杂,而且在这个市场板块中会变的更加晦涩难懂。
AlertLogic是为数不多的几家有着明确定价页面的供应商之一,有每月花费从550美元到4,500美元不等的三个定价层次。但其他供应商就没那么乐于提供定价信息了。
目前来看,Network Technology Partners和AccountabilIT的起步价都很低,最基础的服务定价分别为每月1,500美元和每月1,600美元,且价格随客户添加的需监视资产数量及网络流量规模的增加而升高。绝大多数情况下,其他供应商要么对自己的定价含糊其辞,要么对定价问题特别敏感。很多供应商只向愿意签署保密协议的潜在客户提供定价信息。很明显SOCaaS的价格需要更加透明。
还有个问题是你可能不清楚自己有多少服务器、终端和应用是需要保护、监视,或者说放到SOCaaS供应商手下的。很多公司会从概念验证开始,先把少数终端交托SOCaaS以观察其运作机制和SOC捕获的流量内容,然后再扩展至较大范围的部署。
接下来。公司SOC的地理位置分布有多重要呢?有些供应商专注于一个中心SOC。 其他供应商则在不同大洲都有部署,实现全天候全时段运作或充分利用互联网连接的便利。Network Technology Partners 在距离其圣路易斯总部几小时远的地方部署有第二个SOC,因为他们可以在那里更方便地招聘到所需的技术人才。Bolton Labs 专注亚洲市场,所以其3个SOC全都部署在亚洲。
供应商的秘诀都是什么呢?了解每家供应商的不同出身背景,有助于理解他们在你遭受宕机或数据泄露时用于监视、修复和向你报警的技术。有些供应商聚合了一系列开源工具,但撰写了自己的专利控制面板,供用户查看这些工具的性能和安全状况。有些供应商则开发了自己用于威胁追捕或其他任务的工具包。AccountabillIT是AlienVault的技术转包商,这就又是另一种模式了。
向SOCaaS提供商提问
编辑征求意见书(RFP)或调查问卷的时候,下面几个问题可供参考。
1. 所提供的功能与纯监视服务方法有何不同?
这个问题的答案有助于你辨别各家供应商的细微差别,优中选优。AlertLogic从SIEM开始,然后逐步添加基于其自有全球遥测和威胁监视项目的其他防护性技术。你可能想从纯MSSP开始,看看自己的体验情况,然后再决定是否转向完全的SOCaaS。
2. 支持多少遗留SIEM及服务桌面系统?
有些供应商希望你转向他们的现场解决方案。其他供应商(比如DigitalHands.com)为你的遗留系统提供更广泛的支持,而有些(比如 Network Technology Partners )有自己的API集供客户或自己编写程序用。
3. 客户需要在自家公司安装什么代理和服务器?
绝大多数供应商需要两样东西来监视你的基础设施:代理和定制服务器——收集流量并运行供应商的专利应用。有些供应商还要求安装多个代理用以处理不同任务,比如一个专门负责监视,而另一个专门负责修复。
4. 供应商重新评估/扫描你基础设施的频率是多少?
监视有可能是持续性的,也有可能每个季度才扫描一次,云和现场设备的评估频率可能有很大差异。
5. 怎样产生合规审计?
有些供应商的定价中已包含了审计,有些则要额外收费。有些供应商会将你推荐到第三方进行审计以获得完全独立的评估。还有些供应商,比如 Bolton Labs,就完全不提供任何合规服务。每种方法都有其值得采纳的理由,你只要知道自己支付的费用能获得什么服务就可以了。
6. 供应商有没有分销或直销模式?
有些供应商的合作伙伴网络已经非常成熟。有些选择使用 Ingram Micro 之类大型经销商扩展业务。还有些希望直接与客户打交道。有些SOCaaS提供商还向其他MSSP转售他们的服务——一个很有趣的商业模式。无论采取哪种方法,要确保自己很适应这种模式。
7. 供应商的目标客户规模有多大?
有些供应商更注重中型市场甚至小企业。有些则适应横跨多个大洲的超大型网络。所以,有必要清楚自身成长区间,以及弄清供应商最擅长处理的区间。
8. 供应商的SOC员工来自哪里?
你应该会想知道照看你网络的人接受了什么样的培训?拥有什么证书?具备其他哪些技能?很多情况下,人比设备重要。毕竟,你聘用SOCaaS的原因就是:无需再拥有自己的SOC员工。
- 2018年2月Gartner托管安全服务报告:https://www.gartner.com/reviews/market/managed-security-services-worldwide
- AlertLogic定价页面:https://www.alertlogic.com/solutions/product-overview-and-pricing/
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】