客户更青睐什么样的安全托管服务?
作者: 日期:2022年09月19日 阅:14,044

安全托管服务具有运维成本低、服务全面、人才技术水平高等优势。在网络安全专业人才不足(尤其高阶人才不足)的当下,这些优势对于广大的企业组织具有很强的吸引力。另一方面,疫情不断反复,无法预料的“隔离”事件频发,以云端为主的安全托管服务显得更加重要。

安全托管服务需求激增也催生了大量的提供商,其中也不乏创新及引领的佼佼者。在激烈的竞争下,客户更青睐怎样的安全托管服务?

 

五大核心要素,拉开众多MSS之间的差异

IDC数据显示,2021年中国托管安全服务市场规模实现了61.2%的同比增长,运营服务、托管检测与响应也成为了服务市场的年度热词,既说明了托管安全服务市场的热度,也从侧面反映了该赛道的竞争激烈。

在“僧多粥少”的情况下,为什么有些安全托管服务能成为众多客户的“第一选择”?思考这个问题,不但能够帮助各大服务提供商加快发展步伐,也能为广大客户甄选优秀安全托管服务提供参照标准。

首先从安全托管服务内容来看,大部分MSS的服务内容大同小异。差异化的关键,还在于提供商能否具备“五大”核心要素:在线化、数字化、精细化、可视化可衡量可承诺的安全效果以及能否实现和谐高效的人机共智。

在线化:安全托管服务必须是基于平台在线化和安全专家资源云端共享的服务;只有在线化才可实现安全专家能力、安全平台技术的云端共享和快速迭代更新,解决当前安全技术快速变化和人才成本的问题。

数字化:指通过编程算法的作用,使得数据产生新的价值。在实际应用中,客户更希望数字化的服务完善传统安全缺陷,如:解决告警疲劳、分析报告、深入溯源等问题,实现安全的降本增效。如果一个MSS无法做到对数据的有效整合分析,反而会给客户带来更沉重的安全工作负担。

人机共智:高效和谐的人机协作应当是,机器在专家的经验输入和新技术引入下不断进化,实现更高效的自动化“清洗”海量安全数据和初步研判,协助专家快速分析处置。由成熟的服务专家负责配合机器开展日常运营服务解决原有SOC模式人工响应慢、错误率高的问题。同时,还需要专精各个方向如应急响应、渗透测试、威胁挖掘分析等高阶安全专家负责“安全兜底”, 将攻防经验固化为机器内部分析与响应的知识库,不断推动“机器”的进化,实现SOC 整体安全能力提升的良性循环。

精细化:不仅是针对日常安全运营工作,安全托管服务必须落实到具体场景和具体行业内,响应各行业的特殊安全需求、覆盖组织安全工作的各类核心场景,才能适应各行各业快速变化的安全情况和要求。

可视化、可衡量、可承诺的安全效果:安全托管服务的最终目的是实现组织既定安全目标,达成效果,实时掌握自身安全态势。因此,客户更希望服务是可视化、可衡量、可承诺的。对于客户来说,安全效果的可视化,保障了对服务工作过程的追踪跟进;安全效果的可衡量,保障服务工作能随时检查评估;安全效果的可承诺,保障服务工作的质量底线。

 

行业领先实践

尽管业内已有对诸多对安全托管服务的调研分析和建设建议,却难有服务商做到“知行合一”。究其原因,是安全托管服务在国内仍属于新兴事物,“知”和“行”之间仍存在巨大的现实鸿沟。不仅仅是安全服务商,许多客户也在迷雾中探寻着最佳的落地实践:

什么样的安全运营中心才能更好地承载优质服务?安全托管服务商应该都具有什么能力,才能更好地满足客户日益拔高的安全需求?

听到了行业的呼声,国内权威机构——中国信息通信研究院、中国信息安全测评中心对国内安全运营服务资质展开了深入调研评估,首次评选出四家“符合面向云计算的安全运营中心能力要求”和四家获得“国家信息安全服务资质安全运营类一级”的安全托管服务商。

可以说,这两个权威评估已经帮广大客户划分出了国内TOP级安全托管服务。今天我们就以同时获得了两大权威认可的深信服为例,从他们在安全托管服务上长达四年的摸爬打滚,来看这类TOP级服务究竟“领先”在何处。

2018年,看到了云时代企业在网络安全上的新态势和新需求,深信服开始提前探索MSS的技术和服务模式。当时的国内几乎还没有安全厂商开始进军这一领域,安全服务还停留在工程师去客户现场做单独的漏扫、病毒处置等工作的阶段。将传统的SOC模式进行二次包装推出,也许能迅速占领市场。但深信服意识到:客户需要的不是“新瓶装旧酒”,而是真正能解放安全工作压力、有效对抗攻击的创新模式。

因此,初期的深信服MSS死磕上千客户的需求,实现经验积累、规则沉淀和平台建设的同时,完成服务团队及其培养模式的实战化建设,实现集安全运营人员、安全运营平台、安全运营流程于一体、自动响应闭环的安全运营中心构建。

在大部分服务商还在苦于打造服务雏形的时候,深信服已经为2000+客户提供了稳定、成熟的服务。据笔者了解,这个数据几乎是目前国内安全托管能同时提供稳定服务的最大客户数量。而基于这部分经验积累,深信服在短短四年内也实现了质变的“三级跳”——从普适性的MSS1.0率先升级到了具有特定场景化方案的MSS2.0,在2022年再次进化到垂直行业的精细MSS。

服务团队是最核心的竞争力之一,因此深信服从服务初期就在不断探索服务团队的培养和组建模式。如今,深信服拥有规模庞大、经验丰富的云端高阶专家团队 200+覆盖全国专注于服务现场交付、现场应急和远程应急服务的技术人员400+。在2021年,深信服推出联合交付模式,内部单独成立安服学苑专职负责合作伙伴工程师的培养,以此积累下全国400+ 深信服安全服务认证合作伙伴的 600+ 安全服务工程师作为一线服务资源。

不仅如此,为了更好地服务客户,深信服对云端团队的职责和专精方向进行更细分的规划,从简单的“T1、2、3”专家分级到“项目交付、业务保障、质量监督”三大团队,将T1、2、3专家组合在其中,形成更默契的作战单元,更好地服务客户:

  • 项目交付:由线上、本地共同完成交付;线上交付由运营中心分析师T1、运营中心安全专家T2、客户成功经理共同协作,开展项目的日常运营服务工作,如告警的审核诊断、漏洞评估闭环、事件处置溯源、日常威胁狩猎等工作;本地项目经理、本地工程师T1负责协助日常项目管理,承接上门的问题处置、应急响应、定期汇报工作。
  • 业务保障:主要由T3业务专家和T3技术专家组成,其中T3业务专家负责对重保、勒索预防、等保合规等业务进行规划、设计和优化交付流程;T3技术专家负责研究Web应急、病毒应急、威胁挖掘并为T2安全专家持续赋能,保证了整体专家质量的持续提升。
  • 质量监督:在原有的T1、2、3人员的基础上,深信服加大了对服务质量的把控,新增“质量监督”人员对客户满意度、 内部产品质量、项目交付质量进行数字化管理和持续优化。

针对“人机共智”中奠定服务基础的“机”,深信服也没有忽视。通过大数据、机器学习、AI、UEBA、SOAR等技术,深信服打造了多个智能化服务平台和工具,如安全能力平台、安全服务平台MSSP、安全评估工具TSS等,并在2000+持续在线客户的服务过程中不断进化。如:

  • 在威胁监测方面,以XDR平台检测能力为基础叠加MSS服务上千用户过程中积累下来的1000+UseCase用例,保证帮助客户过滤96%无效设备告警,并支持单个用户的个性化UseCase开发,为用户提供更精准的检测能力。
  • 业内率先推出基于重大攻击的风险预防库和基于最佳实践的安全策略检查及调优并形成自动化/半自动化工具,用“机”的能力协助“人”快速检测和预防安全风险。
  • 通过大量的实战攻防和日常运营积累,沉淀出策略实践并集成到安全运营平台里面,为客户提供优秀的策略调优。

通过多年的技术攻坚和服务沉淀,深信服MSS已经初步实现了“人机”的和谐高效共智,能为客户提供稳定的“在线化、数字化”的安全运营。在此基础上,深信服转向了更精细化能力构建,包括场景化专项运营以及行业化服务能力构建。

在常态化安全运营的基础上挖掘了重要时期保障、云网端安全托管、政务行业安全托管、勒索专项运营等特殊场景的运营服务。以勒索病毒为例,MSS 能够将勒索病毒研究、应急专家的经验和能力固化到深信服安全运营平台和工具中,帮助用户补齐勒索预防、监测、处置能力的缺失,围绕用户的核心资产开展7x24H的勒索预防与响应。

在行业化服务能力构建上,深信服先后在政务行业、医疗行业做出了探索。今年6月份发布的政务版MSS受到了多项专业认可背书,如中国信息协会颁发的“2022数字政府产品技术创新类”奖项、“2022可信云政务行业服务最佳实践”奖项。同年8月份,深信服成立了医疗专属的安全运营中心,目前全国已有300+医疗行业客户接入。

如今,深信服已经形成敢于写入服务合同的服务承诺(SLA),以精准的数字坚守服务效果:高阶专家7*24小时在线守护、分钟级的事件发现和响应、事件研判预警准确率99%、重大事件发现时间小于30分钟、云上专家协同本地线下工程师确保重大事件100%闭环等等。

中心化的运营中心平台,让有限的人力、人才,通过云化的方式实现共享,实现7*24小时的服务;通过AI/ML技术赋能运营工作,把人力从低端、重复的监测、响应工作解放出来……安全托管在当代数字化建设中体现出巨大潜力和优势。无论是新兴安全企业,还是老牌安全大厂,都抓住契机,早早入局。

但从深信服MSS的发展历史上我们可以看出,想要在安全托管领域里持续领先,仅仅凭借提早入局的“资历”是不够的,十年如一日对客户需求的深入洞察、技术的锐意进取、服务能力的精细打磨……这些,才是深信服从能提供MSS到能提供“领先服务能力”MSS的底气所在。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章