随着企业越来越多地接受安全托管服务,这些安全服务的收益和风险对当前的客户和潜在客户也都越来越明显。一项由Forrester对140名MSSP客户进行的调研发现:有一部分的客户非常成功地使用了第三方安全服务供应商,而剩下许多其他人却很难从他们的合作关系中获益。
Forrester发现,几乎所有的CISO们都试图向非安全的领导层证明他们在MSSP上的开销,原因就在于相对于其他开支,安全服务缺乏合适的衡量指标,同时技术复杂性又相对更高。与此同时,安全服务供应商自己也在努力将他们的服务紧贴对企业真正重要的事情上——如何对他们的客户和利益相关方产生价值,以及他们如何能够支持业务需求。
MSSP不是一项外包工作
“组织犯的第一个错误,就是认为MSSP是一种外包。”Forrester的分析师兼报告的作者之一的Jeff Pollard表示。现实是,大部分公司在使用MSSP后依然持续地在安全上花费更多时间,而不是更少。通常,组织会在一些比较有价值的事情上花费时间,比如追踪严重的威胁和事件、或者脆弱性修复活动。“如果企业期望花更少的时间,动用更少的资源,这种情况极少。”Pollard说道。
不同规模的公司都在开始尝试MSSP,但是大型组织背后的动机和中小微企业有所不同。451 Research的分析师Daniel Kennedy表示,大约三成员工数在1,000人以下的公司,以及四成有超过1,000名员工的组织已经启用了安全托管服务。
451 Research的数据显示,有相对丰富信息安全资源的大型企业倾向于使用入侵管理和SIEM这类安全运维功能。许多大型企业同样会使用MSSP实现像MDR的事件响应服务。
而小型组织,一般会用MSSP赋予一些基础设施相关的能力,比如端点安全;还有的时候,供应商相比提供安全聚合能力,更多的是提供一种替代IT服务的能力。中小型企业的动机更多是降低安全成本,同时确保覆盖基础的安全需求。
Forrester发现,当使用方式恰当的时候,一个有能力的MSSP可以帮助组织提升整体的防护质量,并且帮助客户聚合本地的能力和技术——尤其是在一些深度技能缺乏的领域。“在中小型企业,MSSP的ROI经常是来自于在成本无法完全覆盖招聘、雇佣和维持一个24/7的SOC团队的时候,能够获得的安全回报。”AT&T的网络空间安全销售VP,Marcus Bragg认为,“而在大型组织,MSSP的使用能够让现有的企业安全人员专注于更有战略性的、有影响力的安全工作。”
但是得到这样的ROI会让那些不清楚自己到底能得到什么的组织无法满意。Forrester的调研显示,当CISO们对他们自身的能力和项目有清楚的认知,并且对供应商有特别的要求的时候,才能有最好的MSSP结果。在这样的合作关系中,正确的期望会被提前表明,然后逐渐去实现。
MSP VS. MSSP
MSP(managed service provider,管理服务供应商)一般提供主要的IT托管服务。但是,根据Datto的全球MSP报告显示,随着勒索软件和其他威胁的出现,几乎所有(99%)的MSP都会提供一些安全服务。
不过,在考虑MSP的时候需要多一个心眼,因为他们的安全能力可能很有限。Datto的报告显示,虽然大部分的MSP都会提供像端点服务那样的基础防护,但是只有66%的MSP会提供基础的防火墙能力,68%的MSP会提供双因子认证能力。远程准入技术和移动设备管理提供率甚至都在63%以下。
同样需要思考一下MSP如何获得他们的安全能力的:大部分都是外包的。Datto的调研显示,67%的MSP使用合作管理的安全工具,61%的MSP和MSSP合作,只有51%的MSP有自己内部的安全人才。
MSSP最大的六个风险
如果希望MSSP得到成功,还需要考虑以下六个潜在的威胁:
1. 没有评估自身的安全强项与弱点
“和MSSP合作的最大问题,出在选择了一个无法和自己能力形成互补,或者聚合的供应商。”Pollard表示。组织需要先知道自己的能力,然后才能选择真正能帮助企业弥补缺口的MSSP。同样,他们也需要评估MSSP本身的强项与弱点,来确保能否满足自己的需求。
Pollard认为,当真正需要的是事件响应与溯源取证能力的时候,选择一个在设备和技术管理上能力很强的MSSP毫无用处。
2. 预设供应商知道自己的内部系统如何运作的
IDC的分析师Pete Lindstrom认为,有时候,企业会犯过于依赖MSSP能够理解自己内部IT环境以及运作原理的错误。这包括了办公室文化,以及理解各种系统面临的风险。“如果企业不管理好流程、进行风险评估、以及主动检查已完成的工作,就有可能会把事情搞砸。”
举例而言,MSSP很可能并不了解一些用于支持IT项目的新系统或者架构。“这就需要安全人员完全告诉他们(MSSP),并且在合同中集成任何监测要求。”Lindstrom说到。
Bragg额外表示,在引入MSSP的时候不包括IT团队,同样是一个错误。常见的一个问题,在于MSSP缺乏关键系统或者个人的准入权限与信息,导致MSSP无法快速响应,降低了在MSSP在服务周期中的可视化能力。
3. 对信息不对称毫无准备
企业通常使用MSSP来做一些他们自己本身技能缺乏的任务。但是从451 Research的Kennedy看来,这反而意味着企业没有能力确定他们购买的服务是否履行了合同中的要求。他指出,有一次一个客户花钱购买了安全监测服务,但实际上MSSP完全没有进行监测。
那个客户感觉到一些不对劲的地方,但是却无法靠自身发现到底发生了什么或者发生到什么地步了。“当企业和专家进行签订协议的时候,会有信息不对称的情况。某些MSP就会因此钻空子。”Kennedy说道。
4. 不理解自己签了些什么
Bragg表示,有时候MSSP的服务架构会让人很难理解自己真正得到的服务体验会如何,以及如何收费。“他们会如何监测你AWS或者Azure云服务的使用,或者监测像GSuite或者Office 365那样的SaaS?”他问道。
他们的服务方式在过去的几年中如何演化了?他们近期的发展路线会如何增加可视性,或者提供他们正在研发的新能力?
Bragg表示,如果企业现在有,或者即将有合规要求,那就需要让合规团队加入对MSSP的评估中,从而能问出一些正确的问题。
5. 有限的集成和分析
Forrester的调研显示,MSSP经常不愿意和合同外的技术合作,导致和组织可能有的其他安全工具的集成非常有限。Forrester的报告中提到:“当需要修复安全问题的时候,大部分客户都提及了需要微管理他们的MSSP,从而和生态中的其他IT供应商进行交互。”
除此以外,许多MSSP的告警缺乏关联性以及严重性,迫使组织不得不花额外的时间再次确认他们收到的每一个告警。“误报会进一步加大无法集成导致的挫折感。”Forrester提到。
6. 不验证MSSP的安全实践
最近,攻击者已经开始针对MSSP的系统和网络攻击,作为跳板接入其客户的系统中。在数个相关事件中,威胁份子利用了MSSP用的远程管理工具中的漏洞,从而接入其客户的系统当中。最知名的例子,是APT10组织针对全球数百个MSP的攻击态势。
来自一个有安全服务能力的MSP公司Continuum的安全管理产品VP,Brian Downey表示,攻击者知道,只要能够攻陷一个MSP,就能接入大量客户的网络。“MSP是攻击者的进入点,需要以最高的安全标准进行把守。”他说到。
组织需要确保,任何和他们签订合作的MSP都能够完整说明他们如何能够降低风险。“我会试着理解他们产品资料中的选项:他们如何运用现有的专业能力、他们如何紧跟最新风险、以及他们如何及时提供响应。”Downey说到,“MSP需要就安全有一套策略。”
许多这类风险可以在供应商的评估阶段就被发现。但是如果要恰当地完成,组织需要知道哪些是应该关注的。一些最有效的问题包括围绕供应商使用的工具和流程、供应商雇佣人员的资质能力。厂商的不透明性在这里并不是件好事,包括不显示他们的证书和案例。
Bragg表示,企业应该深入了解供应商的服务模型,弄清他们的部署和工作流程是如何生效的,以及他们会如何和企业自身的团队每天、每周、每月沟通联系。
企业需要确保自己了解MSSP的技术平台,以及他们对事件响应的控制能力。“在评估周期早期,企业应该知道哪些服务是作为分开的模组或者服务包出售的,然后根据这些符合他们的安全需求。”Bragg说到。
点评
安全服务必然是一个未来的趋势,但是需要注意的是安全托管服务并非是“安全脱手不管服务”。企业选择MSSP的原因,是应该综合了安全能力以及安全成本的前提下,找到最适合自己的安全能力补足方式。因此,安全托管服务本质上,应该依然是企业整体安全能力的一环,依然需要企业像对待自己其他安全产品一样进行管理。