安全托管服务(Managed Security Service,MSS)是近几年网络安全行业备受关注的领域 。根据 Gartner 统计数据,2019 年全球网络安全服务市场规模为619.22 亿美元,安全托管服务(MSS)占比18.73%。市场规模达到115.96 亿美元。

安全托管服务(又常译作“托管安全服务”),顾名思义即将网络安全运营等技术类工作委托给第三方代为管理,以服务化的形式帮助用户发现和解决各类安全问题。

相比国外发达的安全托管服务(MSS)市场,以及在国内非常成熟与清晰的安全咨询服务、安全集成服务、安全教育培训服务,安全托管服务在国内尚处在成长壮大阶段,因此具有巨大的增长潜力与空间。IDC预测,2021年至2025年,中国安全托管服务市场将保持39%的复合增长率。

一、托管服务:形式与内容的多元

国际咨询机构IDC 将安全托管服务(MSS)定义为安全服务提供商(MSSP)通过安全运营中心(SOCs)进行全天候监控和管理的 IT 安全服务。服务范围包括部署在本地、外部数据中心和云上的安全托管服务。

国际分析机构Frost & Sullivan将MSS划分为安全资产监控/管理、托管威胁检测与响应(MTDR)和其他新兴MSS服务三类。由此可见,托管服务的形式与内容是相对多元的。

在国内,由于中国自身实际情况的特点,相对“远程服务”,国内更为青睐“驻场运维”模式。驻场托管也是IDC所定义的一种形式。目前,一些网络安全服务商均提供网络威胁检测、分析、响应、处置等多种能力,但主要为相应安全产品的增值性服务,以及提供威胁情报等。

相对于国外安全产品及一揽子外包服务,国内市场普遍更为倾向于本地驻场的安全运维模式,依靠本地的安全网络安全管理平台等产品和驻场运维人员,实现对本地网络设备、网络安全设备流量和日志等的采集处理、深度分析和事件处置。在安全分析需要依靠云计算技术实施的情况下,倾向于选择以私有云方式提供服务,以更好保障安全。

二、国内政企网络安全问题的

终结者

近年来,以总体国家安全观为指导,国家网络安全工作顶层规划与总体布局不断完善,网络安全“四梁八柱”基本确立。相继出台了网络安全法、数据安全法、个人信息保护法、《关键信息基础设施安全保护条例》等网络安全法律法规,印发了《网络安全审查办法》《云计算服务安全评估办法》《汽车数据安全管理若干规定(试行)》等部门规章和规范性文件,国家网络安全工作的政策体系框架基本形成。网络安全总体工作的政策保障在快速成形,本质上是我国数字化进程的加速推进,广大人民群众对网络安全、数据安全、个人信息安全的关注度与日俱增。

在这个大背景下,网络安全工作的主体,广大政企事业单位在数字化转型发展过程中所面临的网络安全风险将会持续扩大,存在局部网络安全风险向系统性社会风险转化和蔓延的问题。另外,政企事业单位的网络安全保障体系和能力的建设是国家安全体系和能力建设的重要组成部分。

当前,政企事业单位面临的网络安全问题有以下三点:

第一,网络安全基础薄弱,短时间内难以提升,安全建设尚不成体系。目前各单位的信息化水平差异较大,网络安全防护水平参差不齐。总体来说,受制于编制、资金、意识等条件的约束,普遍网络安全水平较低,缺乏良好的网络安全基础设施,并且难以在短期内全面实现网络安全基础设施的改造升级。

第二,常态化网络安全感知和应急能力不足。网络安全的本质是对抗,政企事业单位在攻防两端对抗中处于“能力不对等”的处境。以国家大型攻防演习活动为例,绝大多数参与企业单位在演习期间,通过加大网络安全运营人员与设备的投入,并在演习期间采取特定的应对措施,在短时间内使其网络安全防御能力得到了全方位大幅度提升。但当攻防演习活动结束后,伴随着网络安全专家和临时租借的安全防护设施离场,安全防护水平又由战时的“铜墙铁壁”回到了平时的“千疮百孔”的基础防护水平,安全感知能力和应急反应速度无法与“战时”相提并论,无法做到24小时全天候对安全事件进行全面准确的监测和发现,并及时开展应急处理措施。

第三,国内大部分政企事业单位还没有建成健全的网络安全体系,虽然可以跳过自建网络安全系统直接进入安全托管的阶段,但是政企事业单位缺少可以参照的行为标准和规范性的技术指导。另外,网络安全托管模式在国内缺乏“信任”的土壤,大部分政企事业单位对网络安全托管业务的认知还存在局限。

可以说,安全托管服务是政企网络安全工作体系化的必经之路。安全托管服务需要更好的面对国内政企单位的特点,更有针对性的丰富我们的服务目录。

三、安全托管服务的

两种模式与三种形态

1. 通过托管解决安全的最核心需求

在众多的用户需求中,安全保障的基本需求是用户最根本的利益所在。在这其中奇安信做了很多探索,比如全新的“云地结合”服务模式,从“纯云监测”1.0时代升级为“云地结合”2.0模式,通过云端监测响应、地端处置闭环为客户提供综合性服务;更好的通过7x24的实时监测,实现常态化的安全保障;更为及时有效的处置APT 事件、网络攻击事件、恶意软件事件及其他潜在安全风险;为防止疫情对安全服务造成的影响,通过视频一对一的方式与客户“面对面”沟通,提供专家深度解读、安全事件重点讲解,指导客户安全事件闭环。

安全托管服务架构

2. 两种模式与三种形态

奇安信MSS安全托管服务的不断围绕政企客户的需求进行改进,已形成“两种模式、三种形态、两化融合”的具有中国特色的安全托管服务模式。其中,两种模式即直接服务模式与合作伙伴模式,直接服务通过奇安信“MSS+”的模式,联合奇安信NGSOC、天眼、天擎等产品,形成“组合拳”,构筑整体的安全托管服务;合作伙伴模式是奇安信通过整体的技术体系、产品体系、服务体系的整合托管模式输出,形成企业安全运营中心、行业安全运营中心以及城市运营中心,输出能力、集约化服务。而在各类运营中心中,面向主管部门和总部机构的监管需求形成“集中服务化”,统一监测、预警与通报。各所属机构在其中存在的服务需求,可运用共享服务的理念,利用运营中心将各单位的需求进行“服务集中化”予以提供,具有服务标准统一、服务质量可控、资源高效利用等优势。

3. 未来安全托管服务迎来六化

通过寻求专业的、可信任的合作伙伴推行网络安全托管模式,可以帮助政企单位以更小资源的投入提升企业网络安全能力,为平稳推进数字化升级转型保驾护航。另外,在业务、资金、人力等条件的受限的情况下,安全托管模式还可以快速拉齐政企事业单位的网络安全防护能力,实现各单位联防联控和信息共享。

网络安全托管服务由网络安全专业化服务机构统一提供,集中化开展安全事件分析和事件管理、入侵检测、入侵防御、漏洞和合规性管理等工作,通过持续监控企事业单位的网络、系统与数据,帮助企事业单位在合规的要求下,保护组织自身的信息与数据资产。

网络安全托管服务既给企事业单位提供高质量的服务,又节约了信息安全保障成本;网络安全托管服务商提供的信息安全解决方案与产品,以及辅助的安全平台工具和人员更具体系化;更能提供及时可靠的信息保障,可提供24小时全天候的服务响应,应急处理安全事件;通过合理的操作流程,规范的安全策略,积极的应对方案,确保信息安全服务的及时性、可靠性。

近几年,在政策、市场需求的推动下,我们清晰地看到了中国网络安全服务市场的快速发展。其中,智慧城市场景下的安全运营需求和上云后的安全托管需求直接推动了中国托管安全服务市场规模的快速增长。然而,目前大部分中国的托管安全服务还处于‘设备托管+合规+初级分析与检测+应急响应’的发展阶段,重人工轻流程、重定制化轻标准化等发展问题逐渐显现。

未来,服务提供商应更加注重服务工具的智能化、自动化、服务内容的标准化、服务人才的专业化、专业知识的流程化、服务生态的规模化等内容,真正帮助用户降本增效,解决实际问题。

关于作者:

万京平,虎符智库安全专家、奇安信安全运营中心总经理。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。