随着越来越多的企业接受安全托管服务,这些安全服务的收入和风险对当前客户和潜在客户越来越明显。一个原因Forrester对140名MSSP客户的研究发现,一些客户成功地使用了第三方安全服务提供商,而许多其他客户很难从他们的合作关系中受益。
Forrester几乎所有的发现CISO他们都试图向不安全的领导证明自己在MSSP原因是与其他费用相比,安全服务缺乏适当的衡量指标,技术复杂性相对较高。与此同时,安全服务供应商本身也在努力将其服务贴近企业真正重要的事情——如何为客户和利益相关者创造价值,如何支持业务需求。
MSSP不是外包工作
“组织犯的第一个错误是认为MSSP是外包。”Forrester作者之一的分析师和报告Jeff Pollard说。现实是,大多数公司都在使用它。MSSP之后,它继续花更多的时间在安全上,而不是更少。通常,组织会花时间在一些有价值的事情上,比如跟踪严重的威胁和事件,或者脆弱的修复活动。“如果企业期望花更少的时间,动用更少的资源,这种情况极少。”Pollard说道。
不同规模的公司正在尝试MSSP,但大型组织背后的动机与中小企业不同。451 Research的分析师Daniel Kennedy该公司表示,约30%的员工少于1000人,40%以上的员工组织已经启用了安全托管服务。
451 Research数据显示,信息安全资源相对丰富的大型企业倾向于使用入侵管理SIEM这种安全操作和维护功能。许多大型企业也使用。MSSP实现像MDR事件响应服务。
小组织一般使用MSSP赋予一些与基础设施相关的能力,如端点安全;此外,供应商提供更多的替代品,而不是提供安全聚合能力IT服务能力。中小企业的动机是降低安全成本,保证覆盖基础的安全需求。
Forrester发现,当使用正确时,有能力MSSP帮助组织提高整体保护质量,帮助客户聚集当地能力和技术——特别是在一些缺乏深度技能的领域。“中小企业,MSSP的ROI它通常来自于招聘、雇佣和维持一个24/7的成本无法完全覆盖SOC安全回报可以在团队中获得。”AT&T网络空间安全销售VP,Marcus Bragg认为,“在大型组织中,MSSP现有的企业安全人员可以专注于更具战略性和影响力的安全工作。”
但得到这个ROI会让那些不知道自己能得到什么的组织不满意。Forrester调查显示,当CISO当他们对自己的能力和项目有清晰的认识,对供应商有特殊要求时,他们可以有最好的MSSP结果。在这种合作关系中,正确的期望会提前表明,然后逐步实现。
MSP VS. MSSP
MSP(managed service provider,管理服务供应商)一般提供主要的IT托管服务。但是,根据Datto的全球MSP报告显示,随着勒索软件和其他威胁的出现,几乎所有(99%)MSP提供一些安全服务。
然而,正在考虑MSP由于他们的安全能力可能非常有限,他们需要更多的关注。Datto报告显示,虽然大部分报告显示,MSP提供像端点服务这样的基本保护,但只有66%MSP将提供68%的基本防火墙能力MSP提供双因子认证能力。远程准入技术和移动设备管理的提供率甚至低于63%。
也需要思考MSP如何获得他们的安全能力:大多数都是外包的。Datto调查显示,67%MSP61%使用合作管理的安全工具MSP和MSSP合作,只有51%MSP有自己的内部安全人才。
MSSP六大风险
如果希望MSSP成功还需要考虑以下六个潜在威胁:
1. 没有评估自己的安全优势和弱点
“和MSSP合作的最大问题是选择一个无法与自己的能力互补或聚合的供应商。”Pollard表达。在选择真正能帮助企业弥补差距之前,组织需要了解自己的能力。MSSP。同样,他们也需要评估MSSP本身的强项与弱点,来确保能否满足自己的需求。
Pollard认为,当真正需要的是事件响应和追溯取证能力时,选择设备和技术管理能力强的人MSSP毫无用处。
2. 预设供应商知道他们的内部系统是如何运行的
IDC的分析师Pete Lindstrom企业有时会过于依赖MSSP能理解自己的内心IT错误的环境和操作原理。这包括办公文化和理解各种系统的风险。“如果企业不管理流程,进行风险评估,积极检查已完成的工作,就有可能搞砸事情。”
举例而言,MSSP很可能并不了解一些用于支持IT项目的新系统或架构。“这就要求安全人员完全告诉他们(MSSP),并将任何监控要求集成到合同中。”Lindstrom说到。
Bragg额外表示,在介绍中MSSP不包括时间IT团队也是一个错误。一个常见的问题是MSSP关键系统或个人准入权限和信息的缺乏导致MSSP无法快速响应,减少了MSSP服务周期中的可视化能力。
3. 对信息不对称没有准备
企业通常使用MSSP做一些缺乏技能的任务。但从451 Research的Kennedy这似乎意味着企业无法确定他们购买的服务是否符合合同的要求。他指出,一位客户曾经花钱购买安全监控服务,但实际上MSSP完全没有监控。
那个客户感觉到一些不对劲的地方,但是却无法靠自身发现到底发生了什么或者发生到什么地步了。“企业与专家签订协议时,会出现信息不对称MSP所以会钻空子。”Kennedy说道。
4. 我不明白我签了什么
Bragg表示,有时候MSSP人们很难理解他们真正获得的服务体验和如何收费。“他们将如何监控你?AWS或者Azure使用云服务或监控图像GSuite或者Office 365那样的SaaS?”他问道。
在过去的几年里,他们的服务模式是如何演变的?他们最近的发展路线将如何提高可视性,或提供他们正在开发的新能力?
Bragg如果企业现在有,或者即将有合规要求,就需要让合规团队加入MSSP在评估中,我们可以问一些正确的问题。
5. 集成分析有限
Forrester调查显示,MSSP通常不愿意与合同外的技术合作,导致与组织可能的其他安全工具的集成非常有限。Forrester报告中提到:“当需要修复安全问题时,大多数客户提到需要微管理MSSP,从而与生态中的其他人相处IT供应商互动。”
除此之外,还有很多MSSP报警缺乏相关性和严重性,迫使组织花额外的时间再次确认他们收到的每一个报警。“误解会进一步增加无法集成造成的挫折感。”Forrester提到。
6. 不验证MSSP的安全实践
最近,攻击者已经开始MSSP系统和网络攻击作为跳板接入其客户系统。威胁分子利用了几起相关事件MSSP远程管理工具中使用的漏洞可以访问其客户系统。最著名的例子是APT10组织针对全球数百个MSP攻击态势。
来自有安全服务能力的人MSP公司Continuum安全管理产品VP,Brian Downey攻击者知道,只要能攻击一个MSP,可以访问大量客户的网络。“MSP是攻击者的进入点,需要以最高的安全标准守卫。”他说到。
组织需要确保与他们签订任何合作MSP所有这些都他们如何降低风险。“我将尝试了解他们产品数据中的选项:他们如何利用现有的专业能力,如何跟上最新的风险,以及如何及时响应。”Downey说到,“MSP必要时有一套安全策略。”
在供应商评估阶段可以发现许多这样的风险。但如果要正确完成,组织需要知道应该注意什么。一些最有效的问题包括供应商使用的工具和流程以及供应商雇佣人员的资格能力。制造商的不透明度在这里不是一件好事,包括不显示他们的证书和案例。
Bragg企业应深入了解供应商的服务模式,了解其部署和工作流程是如何有效的,以及他们将如何每天、每周和每月与企业自己的团队沟通。
企业需要确保自己了解MSSP控制事件响应的技术平台和能力。“在评估周期的早期阶段,企业应该知道哪些服务作为单独的模块或服务包出售,然后根据这些服务求。”Bragg说到。
点评
安全服务必然是未来的趋势,但需要注意的是,安全托管服务不是“无论服务如何,安全脱手”。企业选择MSSP原因是在整合安全能力和安全成本的前提下,找到最合适的补充安全能力的方法。因此,从本质上讲,安全托管服务仍然应该是企业整体安全能力的一部分,企业仍然需要像其他安全产品一样管理。