怎样评估安全运营中心即服务(SOCaaS)模式?它有什么特点和优势

技术交流

网安信,专注企业网络安全急救与安全运维

怎样评估安全运营中心即服务(SOCaaS)模式?它有什么特点和优势


怎样评估安全运营中心即服务(SOCaaS)?

过去几年里,托管安全服务提供商(MSSP)提出了云SOC概念,可用于监视客户的网络和计算基础设施,并提供漏洞修复和恶意软件缓解等一系列服务。我们不妨来考察一下这种SOC即服务(SOCaaS)行业的成长历程,看看他们所提供的功能,考虑如何选择适合自己特定需求的提供商。

SOCaaS的定义是动态发展的,从提供基本的24小时网络监控,到全功能的威胁检测与缓解,都包含在内。这意味着每家供应商都有自己可以被标注为SOCaaS或传统MSSP的服务集。纠结于是SOCaaS还是MSSP会耗去很多不必要的时间。有时候这不过是每个首字母缩略词的定义不同,有时候这只是个理解问题,有时候要归结到具体的产品和服务上,还有时候跟供应商的出身有关。

还有的从运营自己的托管网络运营中心(NOC)开始,然后拓展至安全领域。托管NOC和托管SOC之间有何区别?前者更关注保障数据包在网络管线中顺畅流通。后者则几乎只关心你是否在用正确的管线和正确的数据包。二者所用的工具集也完全不一样:网络延迟 vs. 吞掉CPU的处理过程。关键点就在于他们提供的到底是什么服务?他们监视的是什么?他们的东西如何与你现有的服务器和网络基础设施相互操作?

Gartner在2018年2月发布的托管安全服务报告包含了SOCaaS类事务,比如安全事件监视、网络层威胁监视与检测、日志分析、漏洞扫描及事件响应——所有这些的交付形式都是来自中央SOC类实体的托管服务。这还只是此类事务中最基础的部分,然而需要管理的工具集已然很庞大了。该报告列出了17家全球提供商,包括AT&T/AlienVault、英国电信(BT)、Century Link 和NTT,全都是电信公司,也就是最了解如何保障全球大型网络基础设施随时在线的那些供应商。

怎样评估SOCaaS?

AlertLogic是为数不多的几家有着明确定价页面的供应商之一,有每月花费从550美元到4,500美元不等的三个定价层次。但其他供应商就没那么乐于提供定价信息了。

还有个问题是你可能不清楚自己有多少服务器、终端和应用是需要保护、监视,或者说放到SOCaaS供应商手下的。很多公司会从概念验证开始,先把少数终端交托SOCaaS以观察其运作机制和SOC捕获的流量内容,然后再扩展至较大范围的部署。

供应商的秘诀都是什么呢?了解每家供应商的不同出身背景,有助于理解他们在你遭受宕机或数据泄露时用于监视、修复和向你报警的技术。有些供应商聚合了一系列开源工具,但撰写了自己的专利控制面板,供用户查看这些工具的性能和安全状况。有些供应商则开发了自己用于威胁追捕或其他任务的工具包。AccountabillIT是AlienVault的技术转包商,这就又是另一种模式了。

编辑征求意见书(RFP)或调查问卷的时候,下面几个问题可供参考。

这个问题的答案有助于你辨别各家供应商的细微差别,优中选优。AlertLogic从SIEM开始,然后逐步添加基于其自有全球遥测和威胁监视项目的其他防护性技术。你可能想从纯MSSP开始,看看自己的体验情况,然后再决定是否转向完全的SOCaaS。

有些供应商希望你转向他们的现场解决方案。其他供应商(比如DigitalHands.com)为你的遗留系统提供更广泛的支持,而有些(比如 Network Technology Partners )有自己的API集供客户或自己编写程序用。

绝大多数供应商需要两样东西来监视你的基础设施:代理和定制服务器——收集流量并运行供应商的专利应用。有些供应商还要求安装多个代理用以处理不同任务,比如一个专门负责监视,而另一个专门负责修复。

监视有可能是持续性的,也有可能每个季度才扫描一次,云和现场设备的评估频率可能有很大差异。

有些供应商的定价中已包含了审计,有些则要额外收费。有些供应商会将你推荐到第三方进行审计以获得完全独立的评估。还有些供应商,比如 Bolton Labs,就完全不提供任何合规服务。每种方法都有其值得采纳的理由,你只要知道自己支付的费用能获得什么服务就可以了。

有些供应商的合作伙伴网络已经非常成熟。有些选择使用 Ingram Micro 之类大型经销商扩展业务。还有些希望直接与客户打交道。有些SOCaaS提供商还向其他MSSP转售他们的服务——一个很有趣的商业模式。无论采取哪种方法,要确保自己很适应这种模式。

有些供应商更注重中型市场甚至小企业。有些则适应横跨多个大洲的超大型网络。所以,有必要清楚自身成长区间,以及弄清供应商最擅长处理的区间。

你应该会想知道照看你网络的人接受了什么样的培训?拥有什么证书?具备其他哪些技能?很多情况下,人比设备重要。毕竟,你聘用SOCaaS的原因就是:无需再拥有自己的SOC员工。

Copyright ©2015-2023 Shenzhen WangAnxin Technology Co. LTD. All rights reserved. 粤ICP备15107601号-1 深圳市网安信科技有限公司 版权所有