一直以來，企業(yè)網(wǎng)絡(luò)安全能力在需求和建設(shè)兩端都存在較大差距，隨著企業(yè)數(shù)字化轉(zhuǎn)型的不斷深入，這種差距正在變得更加明顯。企業(yè)既需要應(yīng)對(duì)不斷增長(zhǎng)的安全威脅，同時(shí)又必須面對(duì)專業(yè)人才匱乏、防護(hù)經(jīng)驗(yàn)缺失、安全預(yù)算有限的現(xiàn)實(shí)。

　　安全建設(shè)的困惑與挑戰(zhàn)

　　在安全牛近期開展的行業(yè)調(diào)研中，有多位企業(yè)CSO都表達(dá)了同樣的困惑：企業(yè)對(duì)網(wǎng)絡(luò)安全建設(shè)的重視度不斷提升，安全投入也逐步增長(zhǎng)，采購(gòu)并建設(shè)了態(tài)勢(shì)感知系統(tǒng)、SOC平臺(tái)、威脅檢測(cè)系統(tǒng)等新一代安全管控平臺(tái)，但新技術(shù)的應(yīng)用卻帶來了更多問題，讓安全管理團(tuán)隊(duì)陷入了日志分析、事件響應(yīng)和問題處置等大量事務(wù)性工作中，疲于應(yīng)對(duì)，實(shí)際效果難以達(dá)到建設(shè)預(yù)期。

　　網(wǎng)絡(luò)安全產(chǎn)品碎片化嚴(yán)重，企業(yè)在構(gòu)建自身安全能力時(shí)，需要通過工程化方法將多種基礎(chǔ)安全能力進(jìn)行科學(xué)組合，才能形成有效的整體防護(hù)能力。當(dāng)企業(yè)應(yīng)用和服務(wù)云化后，多云業(yè)務(wù)、泛終端應(yīng)用場(chǎng)景越來越普遍，企業(yè)業(yè)務(wù)的安全暴露面越來越大。企業(yè)從系統(tǒng)防護(hù)、數(shù)據(jù)防護(hù)再到云應(yīng)用的防護(hù)，安全能力建設(shè)的壓力越來越重，僅依靠企業(yè)自身能力積累，實(shí)在難以滿足目前的安全防護(hù)需求。

　　在最新發(fā)布的《企業(yè)高級(jí)威脅防護(hù)能力構(gòu)建指南》報(bào)告中，安全牛也對(duì)目前我國(guó)企業(yè)安全建設(shè)的主要挑戰(zhàn)進(jìn)行了調(diào)研梳理，主要表現(xiàn)為：

　　43%的調(diào)研者認(rèn)為其面對(duì)的高級(jí)威脅攻擊已經(jīng)常態(tài)化。對(duì)企業(yè)用戶而言，高級(jí)威脅的應(yīng)對(duì)嚴(yán)重依賴外部情報(bào)的更新和防護(hù)檢測(cè)手段的先進(jìn)性，如多源情報(bào)分析、行為學(xué)習(xí)建模等；

　　面對(duì)高級(jí)威脅檢測(cè)會(huì)有較高誤報(bào)率，需要有力的運(yùn)營(yíng)團(tuán)隊(duì)來維護(hù)安全策略、管理安全告警、響應(yīng)處置風(fēng)險(xiǎn)事件并定期評(píng)估風(fēng)險(xiǎn)，以保證安全能力建設(shè)與暴露面增長(zhǎng)帶來的風(fēng)險(xiǎn)可以抗衡；

　　安全的長(zhǎng)效運(yùn)營(yíng)對(duì)企業(yè)是一場(chǎng)持久戰(zhàn)，這使得安全設(shè)備、人員的投入與企業(yè)利潤(rùn)的追求也總是令企業(yè)管理者難以權(quán)衡。

　　從產(chǎn)品思維到服務(wù)思維

　　當(dāng)安全防護(hù)模式從事件性處理演進(jìn)到常態(tài)化運(yùn)營(yíng)階段時(shí)，對(duì)安全運(yùn)營(yíng)者專業(yè)知識(shí)的依賴度更高、問題分析能力需求更強(qiáng)、處置響應(yīng)要求更快。如何在縱深的網(wǎng)絡(luò)安全防護(hù)中使人、技術(shù)和操作保持高效協(xié)同，將更多的安全能力釋放出來，減輕企業(yè)整體安全防控壓力是現(xiàn)代企業(yè)必須面對(duì)的挑戰(zhàn)。

　　Gartner自2011年開始持續(xù)關(guān)注并提出了MSS（Managed Security Service，托管安全服務(wù)）的理念，目前在北美等地區(qū)已經(jīng)有較成熟的落地，以SecureWorks、Trustwave、Symantec、Verizon、IBM等國(guó)際廠商為代表，通過全球化的安全運(yùn)營(yíng)中心，為企業(yè)提供安全托管服務(wù)，有效解決了企業(yè)自身安全能力不足的難題。MSS主要覆蓋的安全能力包括：

　　安全技術(shù)管理與編排

　　安全事件響應(yīng)服務(wù)（遠(yuǎn)程和現(xiàn)場(chǎng)）

　　漏洞評(píng)估和托管漏洞管理服務(wù)（例如掃描、分析和建議/補(bǔ)救）

　　全球化的威脅情報(bào)服務(wù)（例如機(jī)器可讀的威脅情報(bào)源、客戶指定的暗網(wǎng)和社交媒體監(jiān)控）

　　面對(duì)未知威脅的檢測(cè)和響應(yīng)（MDR）服務(wù)

　　在我國(guó)，托管式安全運(yùn)營(yíng)理念也開始受到行業(yè)更多關(guān)注。一方面是因?yàn)橛脩舭踩枨蟮尿?qū)動(dòng)，另一方面也歸功于云計(jì)算等新興技術(shù)的成熟，為MSS這種遠(yuǎn)程服務(wù)取代駐場(chǎng)運(yùn)維奠定了技術(shù)基礎(chǔ)。MSS的核心是提供7*24小時(shí)的針對(duì)威脅檢測(cè)的安全事件監(jiān)控和響應(yīng)，對(duì)威脅響應(yīng)時(shí)間、處置效率、建設(shè)成本以及安全系統(tǒng)可用性等指標(biāo)項(xiàng)，都提出了更高的要求。

　　對(duì)比傳統(tǒng)的安全建設(shè)與運(yùn)營(yíng)模式，托管安全服務(wù)對(duì)于需要多少成本、多少人力、多少時(shí)間資源是可以清晰評(píng)估并量化的，能夠?qū)崿F(xiàn)安全服務(wù)商和企業(yè)用戶在安全資源和成本投入方面的優(yōu)化，給企業(yè)的安全建設(shè)減負(fù)，讓企業(yè)可以把重心和思考放在業(yè)務(wù)發(fā)展上。

　　回歸對(duì)安全最本質(zhì)的訴求

　　從2018年開始，我國(guó)主流國(guó)內(nèi)安全廠商開始基于其優(yōu)勢(shì)單點(diǎn)產(chǎn)品能力，嘗試為用戶提供遠(yuǎn)程安全托管服務(wù)，如MDR、FWaaS等，推動(dòng)傳統(tǒng)安全建設(shè)方式的轉(zhuǎn)型。隨著云計(jì)算技術(shù)的應(yīng)用發(fā)展，越來越多的安全防護(hù)能力被整合到MSS服務(wù)體系中，形成了更具特色的安全托管服務(wù)。

　　以國(guó)內(nèi)較早發(fā)布MSS服務(wù)的深信服科技為例，其在不久前舉辦的“深信服智安全創(chuàng)新峰會(huì)”上，正式推出了成熟度更高、可用性更廣的MSS 2.0方案，嘗試構(gòu)建隨需可得的托管安全運(yùn)營(yíng)能力，為用戶提供日常安全運(yùn)營(yíng)、實(shí)戰(zhàn)攻防運(yùn)營(yíng)、等保合規(guī)運(yùn)營(yíng)、勒索專項(xiàng)運(yùn)營(yíng)等綜合安全服務(wù)。

　　深信服科技CEO何朝曦表示：“在云計(jì)算時(shí)代，要用云化的安全來保護(hù)企業(yè)云化的業(yè)務(wù)。我們希望幫助企業(yè)回到對(duì)安全最本質(zhì)的訴求，在更加復(fù)雜、變化更加快速環(huán)境下，讓安全更加的簡(jiǎn)單有效，讓用戶更省心，讓業(yè)務(wù)更可靠?！?/p>

　　據(jù)安全牛了解，在深信服MSS 2.0版中，其核心能力包括資產(chǎn)管理、漏洞管理、威脅監(jiān)測(cè)與響應(yīng)、事件預(yù)防與響應(yīng)，涵蓋了資產(chǎn)、脆弱性和威脅三個(gè)傳統(tǒng)安全要素。此外，還結(jié)合國(guó)內(nèi)實(shí)踐化運(yùn)營(yíng)的特色需求，在常態(tài)化安全運(yùn)營(yíng)的基礎(chǔ)上挖掘了實(shí)戰(zhàn)攻防運(yùn)營(yíng)、等保合規(guī)運(yùn)營(yíng)、勒索專項(xiàng)運(yùn)營(yíng)等特殊場(chǎng)景的運(yùn)營(yíng)服務(wù)。其中，事件預(yù)防與響應(yīng)通過大量安全實(shí)戰(zhàn)經(jīng)驗(yàn)總結(jié)后的知識(shí)沉淀，經(jīng)過專業(yè)團(tuán)隊(duì)的研究分析后形成預(yù)防模型、知識(shí)庫(kù)以及處置預(yù)案，為用戶后續(xù)的安全防護(hù)能力建設(shè)提供指導(dǎo)。

　　圖1 深信服MSS 2.0 能力架構(gòu)圖

　　我國(guó)企業(yè)安全的能力建設(shè)已經(jīng)經(jīng)歷了從人工防護(hù)到產(chǎn)品技術(shù)防護(hù)，從產(chǎn)品技術(shù)防護(hù)再到系統(tǒng)化持續(xù)運(yùn)營(yíng)防護(hù)三個(gè)階段。先進(jìn)的安全產(chǎn)品和技術(shù)只有被充分運(yùn)營(yíng)起來，各種安全威脅才能被盡早發(fā)現(xiàn)，并得到及時(shí)處置。某種意義上說，安全托管服務(wù)的發(fā)展代表著企業(yè)安全能力建設(shè)正在步入一個(gè)新的階段。

　　圖2 2021 Gartner安全運(yùn)營(yíng)成熟度曲線

　　在Gartner發(fā)布的《Hype Cycle for Security Operations, 2021》中，對(duì)多項(xiàng)安全運(yùn)營(yíng)服務(wù)涉及到的技術(shù)進(jìn)行了成熟度評(píng)價(jià)，我們可以看到：漏洞評(píng)估、安全信息和事件管理（SIEM）、CASB、EDR 已進(jìn)入成熟和準(zhǔn)成熟階段；托管檢測(cè)和響應(yīng) （MDR） 、網(wǎng)絡(luò)威脅檢測(cè)及響應(yīng)NDR 、SOAR的技術(shù)泡沫也正在逐漸消退。隨著這些基礎(chǔ)性安全技術(shù)的成熟，安全托管服務(wù)廣泛應(yīng)用的時(shí)代或?qū)⒑芸斓絹怼?/p>