需要安全運(yùn)營中心(SOC)的公司企業(yè)未必負(fù)擔(dān)得起相應(yīng)的設(shè)備和人員開支。很多提供商都推出了安全運(yùn)營中心即服務(wù)(SOCaaS)業(yè)務(wù)，該怎么衡量和選擇呢?

[[264960]]

如果你目前還沒有自己的安全運(yùn)營中心，那你可能正在考慮怎么樣才能不自己動手就擁有相同的功能。打造公司自己的SOC可能花費(fèi)不菲，如果考慮進(jìn)24小時運(yùn)營的員工成本，那開銷就更大了。

過去幾年里，托管安全服務(wù)提供商(MSSP)提出了云SOC概念，可用于監(jiān)視客戶的網(wǎng)絡(luò)和計算基礎(chǔ)設(shè)施，并提供漏洞修復(fù)和惡意軟件緩解等一系列服務(wù)。我們不妨來考察一下這種SOC即服務(wù)(SOCaaS)行業(yè)的成長歷程，看看他們所提供的功能，考慮如何選擇適合自己特定需求的提供商。

何謂SOCaaS?

SOCaaS的定義是動態(tài)發(fā)展的，從提供基本的24小時網(wǎng)絡(luò)監(jiān)控，到全功能的威脅檢測與緩解，都包含在內(nèi)。這意味著每家供應(yīng)商都有自己可以被標(biāo)注為SOCaaS或傳統(tǒng)MSSP的服務(wù)集。糾結(jié)于是SOCaaS還是MSSP會耗去很多不必要的時間。有時候這不過是每個首字母縮略詞的定義不同，有時候這只是個理解問題，有時候要?dú)w結(jié)到具體的產(chǎn)品和服務(wù)上，還有時候跟供應(yīng)商的出身有關(guān)。

SOCaaS的定義問題部分源于供應(yīng)商來自于專注不同安全領(lǐng)域的行業(yè)。有些是從托管安全事件承包商(AlertLogic)起家，有些則是托管檢測承包商(Network Technology Partners)或托管終端安全供應(yīng)商(賽門鐵克和Trustwave)。有些開發(fā)了自己的SOC類控制端以管理自身產(chǎn)品，然后將其改為更加通用的工具，可以連接更多的應(yīng)用。有些則脫胎自大型計算機(jī)制造商(IBM、戴爾和惠普)的服務(wù)部門。

還有的從運(yùn)營自己的托管網(wǎng)絡(luò)運(yùn)營中心(NOC)開始，然后拓展至安全領(lǐng)域。托管NOC和托管SOC之間有何區(qū)別?前者更關(guān)注保障數(shù)據(jù)包在網(wǎng)絡(luò)管線中順暢流通。后者則幾乎只關(guān)心你是否在用正確的管線和正確的數(shù)據(jù)包。二者所用的工具集也完全不一樣：網(wǎng)絡(luò)延遲 vs. 吞掉CPU的處理過程。關(guān)鍵點(diǎn)就在于他們提供的到底是什么服務(wù)?他們監(jiān)視的是什么?他們的東西如何與你現(xiàn)有的服務(wù)器和網(wǎng)絡(luò)基礎(chǔ)設(shè)施相互操作?

采用SOCaaS的目標(biāo)是要擁有能夠警示數(shù)據(jù)泄露或其他安全事件的設(shè)備，讓你不用構(gòu)建自己的SOC，也不用雇傭高端技術(shù)人才來運(yùn)營防護(hù)性安全設(shè)備。理想狀況下，供應(yīng)商應(yīng)該能夠及時 (及時程度與其服務(wù)水平協(xié)議有關(guān)) 發(fā)現(xiàn)事件，并做出必要的修正以緩解威脅。

Gartner在2018年2月發(fā)布的托管安全服務(wù)報告包含了SOCaaS類事務(wù)，比如安全事件監(jiān)視、網(wǎng)絡(luò)層威脅監(jiān)視與檢測、日志分析、漏洞掃描及事件響應(yīng)——所有這些的交付形式都是來自中央SOC類實(shí)體的托管服務(wù)。這還只是此類事務(wù)中最基礎(chǔ)的部分，然而需要管理的工具集已然很龐大了。該報告列出了17家全球提供商，包括AT&T/AlienVault、英國電信(BT)、Century Link 和NTT，全都是電信公司，也就是最了解如何保障全球大型網(wǎng)絡(luò)基礎(chǔ)設(shè)施隨時在線的那些供應(yīng)商。

如果你的公司員工和服務(wù)器遍布多個大洲，那上述大型電信公司理應(yīng)耳熟能詳。如果你的公司規(guī)模較小，那你可能想要采用專精于SOCaaS的幾十家供應(yīng)商中的一家，比如說ArcticWolf、RadarServices或DigitalHands。

怎樣評估SOCaaS?

SOCaaS評估中最令人沮喪的部分或許是算出自己到底該付出什么或者多少錢 ?？紤]到云服務(wù)的本質(zhì)，定價模型從一開始就很復(fù)雜，而且在這個市場板塊中會變的更加晦澀難懂。

AlertLogic是為數(shù)不多的幾家有著明確定價頁面的供應(yīng)商之一，有每月花費(fèi)從550美元到4,500美元不等的三個定價層次。但其他供應(yīng)商就沒那么樂于提供定價信息了。

目前來看，Network Technology Partners和AccountabilIT的起步價都很低，最基礎(chǔ)的服務(wù)定價分別為每月1,500美元和每月1,600美元，且價格隨客戶添加的需監(jiān)視資產(chǎn)數(shù)量及網(wǎng)絡(luò)流量規(guī)模的增加而升高。絕大多數(shù)情況下，其他供應(yīng)商要么對自己的定價含糊其辭，要么對定價問題特別敏感。很多供應(yīng)商只向愿意簽署保密協(xié)議的潛在客戶提供定價信息。很明顯SOCaaS的價格需要更加透明。

還有個問題是你可能不清楚自己有多少服務(wù)器、終端和應(yīng)用是需要保護(hù)、監(jiān)視，或者說放到SOCaaS供應(yīng)商手下的。很多公司會從概念驗證開始，先把少數(shù)終端交托SOCaaS以觀察其運(yùn)作機(jī)制和SOC捕獲的流量內(nèi)容，然后再擴(kuò)展至較大范圍的部署。

接下來。公司SOC的地理位置分布有多重要呢?有些供應(yīng)商專注于一個中心SOC。 其他供應(yīng)商則在不同大洲都有部署，實(shí)現(xiàn)全天候全時段運(yùn)作或充分利用互聯(lián)網(wǎng)連接的便利。Network Technology Partners 在距離其圣路易斯總部幾小時遠(yuǎn)的地方部署有第二個SOC，因為他們可以在那里更方便地招聘到所需的技術(shù)人才。Bolton Labs 專注亞洲市場，所以其3個SOC全都部署在亞洲。

供應(yīng)商的秘訣都是什么呢?了解每家供應(yīng)商的不同出身背景，有助于理解他們在你遭受宕機(jī)或數(shù)據(jù)泄露時用于監(jiān)視、修復(fù)和向你報警的技術(shù)。有些供應(yīng)商聚合了一系列開源工具，但撰寫了自己的專利控制面板，供用戶查看這些工具的性能和安全狀況。有些供應(yīng)商則開發(fā)了自己用于威脅追捕或其他任務(wù)的工具包。AccountabillIT是AlienVault的技術(shù)轉(zhuǎn)包商，這就又是另一種模式了。

向SOCaaS提供商提問

編輯征求意見書(RFP)或調(diào)查問卷的時候，下面幾個問題可供參考。

1. 所提供的功能與純監(jiān)視服務(wù)方法有何不同?

這個問題的答案有助于你辨別各家供應(yīng)商的細(xì)微差別，優(yōu)中選優(yōu)。AlertLogic從SIEM開始，然后逐步添加基于其自有全球遙測和威脅監(jiān)視項目的其他防護(hù)性技術(shù)。你可能想從純MSSP開始，看看自己的體驗情況，然后再決定是否轉(zhuǎn)向完全的SOCaaS。

2. 支持多少遺留SIEM及服務(wù)桌面系統(tǒng)?

有些供應(yīng)商希望你轉(zhuǎn)向他們的現(xiàn)場解決方案。其他供應(yīng)商(比如DigitalHands.com)為你的遺留系統(tǒng)提供更廣泛的支持，而有些(比如 Network Technology Partners )有自己的API集供客戶或自己編寫程序用。

3. 客戶需要在自家公司安裝什么代理和服務(wù)器?

絕大多數(shù)供應(yīng)商需要兩樣?xùn)|西來監(jiān)視你的基礎(chǔ)設(shè)施：代理和定制服務(wù)器——收集流量并運(yùn)行供應(yīng)商的專利應(yīng)用。有些供應(yīng)商還要求安裝多個代理用以處理不同任務(wù)，比如一個專門負(fù)責(zé)監(jiān)視，而另一個專門負(fù)責(zé)修復(fù)。

4. 供應(yīng)商重新評估/掃描你基礎(chǔ)設(shè)施的頻率是多少?

監(jiān)視有可能是持續(xù)性的，也有可能每個季度才掃描一次，云和現(xiàn)場設(shè)備的評估頻率可能有很大差異。

5. 怎樣產(chǎn)生合規(guī)審計?

有些供應(yīng)商的定價中已包含了審計，有些則要額外收費(fèi)。有些供應(yīng)商會將你推薦到第三方進(jìn)行審計以獲得完全獨(dú)立的評估。還有些供應(yīng)商，比如 Bolton Labs，就完全不提供任何合規(guī)服務(wù)。每種方法都有其值得采納的理由，你只要知道自己支付的費(fèi)用能獲得什么服務(wù)就可以了。

6. 供應(yīng)商有沒有分銷或直銷模式?

有些供應(yīng)商的合作伙伴網(wǎng)絡(luò)已經(jīng)非常成熟。有些選擇使用 Ingram Micro 之類大型經(jīng)銷商擴(kuò)展業(yè)務(wù)。還有些希望直接與客戶打交道。有些SOCaaS提供商還向其他MSSP轉(zhuǎn)售他們的服務(wù)——一個很有趣的商業(yè)模式。無論采取哪種方法，要確保自己很適應(yīng)這種模式。

7. 供應(yīng)商的目標(biāo)客戶規(guī)模有多大?

有些供應(yīng)商更注重中型市場甚至小企業(yè)。有些則適應(yīng)橫跨多個大洲的超大型網(wǎng)絡(luò)。所以，有必要清楚自身成長區(qū)間，以及弄清供應(yīng)商最擅長處理的區(qū)間。

8. 供應(yīng)商的SOC員工來自哪里?

你應(yīng)該會想知道照看你網(wǎng)絡(luò)的人接受了什么樣的培訓(xùn)?擁有什么證書?具備其他哪些技能?很多情況下，人比設(shè)備重要。畢竟，你聘用SOCaaS的原因就是：無需再擁有自己的SOC員工。

• 2018年2月Gartner托管安全服務(wù)報告：https://www.gartner.com/reviews/market/managed-security-services-worldwide
• AlertLogic定價頁面：https://www.alertlogic.com/solutions/product-overview-and-pricing/

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文