一直以来,企业网络安全能力在需求和建设两端都存在较大差距,随着企业数字化转型的不断深入,这种差距正在变得更加明显。企业既需要应对不断增长的安全威胁,同时又必须面对专业人才匮乏、防护经验缺失、安全预算有限的现实。
安全建设的困惑与挑战
在安全牛近期开展的行业调研中,有多位企业CSO都表达了同样的困惑:企业对网络安全建设的重视度不断提升,安全投入也逐步增长,采购并建设了态势感知系统、SOC平台、威胁检测系统等新一代安全管控平台,但新技术的应用却带来了更多问题,让安全管理团队陷入了日志分析、事件响应和问题处置等大量事务性工作中,疲于应对,实际效果难以达到建设预期。
网络安全产品碎片化严重,企业在构建自身安全能力时,需要通过工程化方法将多种基础安全能力进行科学组合,才能形成有效的整体防护能力。当企业应用和服务云化后,多云业务、泛终端应用场景越来越普遍,企业业务的安全暴露面越来越大。企业从系统防护、数据防护再到云应用的防护,安全能力建设的压力越来越重,仅依靠企业自身能力积累,实在难以满足目前的安全防护需求。
在最新发布的《企业高级威胁防护能力构建指南》报告中,安全牛也对目前我国企业安全建设的主要挑战进行了调研梳理,主要表现为:
43%的调研者认为其面对的高级威胁攻击已经常态化。对企业用户而言,高级威胁的应对严重依赖外部情报的更新和防护检测手段的先进性,如多源情报分析、行为学习建模等;
面对高级威胁检测会有较高误报率,需要有力的运营团队来维护安全策略、管理安全告警、响应处置风险事件并定期评估风险,以保证安全能力建设与暴露面增长带来的风险可以抗衡;
安全的长效运营对企业是一场持久战,这使得安全设备、人员的投入与企业利润的追求也总是令企业管理者难以权衡。
从产品思维到服务思维
当安全防护模式从事件性处理演进到常态化运营阶段时,对安全运营者专业知识的依赖度更高、问题分析能力需求更强、处置响应要求更快。如何在纵深的网络安全防护中使人、技术和操作保持高效协同,将更多的安全能力释放出来,减轻企业整体安全防控压力是现代企业必须面对的挑战。
Gartner自2011年开始持续关注并提出了MSS(Managed Security Service,托管安全服务)的理念,目前在北美等地区已经有较成熟的落地,以SecureWorks、Trustwave、Symantec、Verizon、IBM等国际厂商为代表,通过全球化的安全运营中心,为企业提供安全托管服务,有效解决了企业自身安全能力不足的难题。MSS主要覆盖的安全能力包括:
在我国,托管式安全运营理念也开始受到行业更多关注。一方面是因为用户安全需求的驱动,另一方面也归功于云计算等新兴技术的成熟,为MSS这种远程服务取代驻场运维奠定了技术基础。MSS的核心是提供7*24小时的针对威胁检测的安全事件监控和响应,对威胁响应时间、处置效率、建设成本以及安全系统可用性等指标项,都提出了更高的要求。
对比传统的安全建设与运营模式,托管安全服务对于需要多少成本、多少人力、多少时间资源是可以清晰评估并量化的,能够实现安全服务商和企业用户在安全资源和成本投入方面的优化,给企业的安全建设减负,让企业可以把重心和思考放在业务发展上。
回归对安全最本质的诉求
从2018年开始,我国主流国内安全厂商开始基于其优势单点产品能力,尝试为用户提供远程安全托管服务,如MDR、FWaaS等,推动传统安全建设方式的转型。随着云计算技术的应用发展,越来越多的安全防护能力被整合到MSS服务体系中,形成了更具特色的安全托管服务。
以国内较早发布MSS服务的深信服科技为例,其在不久前举办的“深信服智安全创新峰会”上,正式推出了成熟度更高、可用性更广的MSS 2.0方案,尝试构建随需可得的托管安全运营能力,为用户提供日常安全运营、实战攻防运营、等保合规运营、勒索专项运营等综合安全服务。
深信服科技CEO何朝曦表示:“在云计算时代,要用云化的安全来保护企业云化的业务。我们希望帮助企业回到对安全最本质的诉求,在更加复杂、变化更加快速环境下,让安全更加的简单有效,让用户更省心,让业务更可靠。”
据安全牛了解,在深信服MSS 2.0版中,其核心能力包括资产管理、漏洞管理、威胁监测与响应、事件预防与响应,涵盖了资产、脆弱性和威胁三个传统安全要素。此外,还结合国内实践化运营的特色需求,在常态化安全运营的基础上挖掘了实战攻防运营、等保合规运营、勒索专项运营等特殊场景的运营服务。其中,事件预防与响应通过大量安全实战经验总结后的知识沉淀,经过专业团队的研究分析后形成预防模型、知识库以及处置预案,为用户后续的安全防护能力建设提供指导。
图1 深信服MSS 2.0 能力架构图
我国企业安全的能力建设已经经历了从人工防护到产品技术防护,从产品技术防护再到系统化持续运营防护三个阶段。先进的安全产品和技术只有被充分运营起来,各种安全威胁才能被尽早发现,并得到及时处置。某种意义上说,安全托管服务的发展代表着企业安全能力建设正在步入一个新的阶段。
图2 2021 Gartner安全运营成熟度曲线
在Gartner发布的《Hype Cycle for Security Operations, 2021》中,对多项安全运营服务涉及到的技术进行了成熟度评价,我们可以看到:漏洞评估、安全信息和事件管理(SIEM)、CASB、EDR 已进入成熟和准成熟阶段;托管检测和响应 (MDR) 、网络威胁检测及响应NDR 、SOAR的技术泡沫也正在逐渐消退。随着这些基础性安全技术的成熟,安全托管服务广泛应用的时代或将很快到来。