前言
纵观全球网络安全产业的发展,不管是由单品/服务,走向网络安全整体解决方案。还是由监管/合规,演化为面向实战化的真实安全需求。网络安全的核心诉求始终围绕安全能力的有效交付。在这样的背景下,持续、闭环、可视、可验证的安全运营,逐渐成为安全能力交付的最优选。
安全运营的概念和发展历程,从技术发展到需求演进,在这里都不再赘述。打算通过以下三篇文章,从不同视角和大家一起交流安全运营:
1、乙方视角:厂商如何构建安全托管运营服务(MSS/MDR)
2、第三方视角:不同类客户对于安全运营的需求分析
3、甲方视角:企业如何构建自己的安全运营能力(安全运营中心)
厂商如何构建安全托管运营业务
要构建安全托管运营业务,离不开平台、产品、服务等。业务层面包含业务场景,运营模式等。另外还要结合公司/部门战略,组织架构等。业务交付更离不开各类资源的支撑。那么这些要素到底是什么关系呢?
上图是目前我觉得最能够把厂商的MSS业务表达清楚的逻辑架构,共有4个部分:
1、横向的运营场景和运营模式,基本能够确定了业务范围和服务交付方式。这里的场景可以是针对客户整体网络安全的场景,也可以是针对某一类网络安全的场景,例如针对终端的安全运营、针对流量的安全运营等。要点是需要结合厂商的客户类型、服务资源、业务场景以及核心产品等。
2、纵向的运营服务体系,包含了运营交付体系和评价体系,服务体系的设计一定要能够保障业务场景的落地以及客户满意度。客户满意度是MSS/MDR业务持续健康的核心指标,比起其他技术指标和运行指标更加重要,它直接关系到客户是否愿意续费和增购。评价体系是内、外部来评估运营的效率和效果的。
3、支撑体系是底座,包含运营平台(本地、SaaS等)、产品、核心技术、工具、资源等。这些都是保障业务降本、增效和提质。否则最终只会是另一种形式的卖人头服务。
4、这里提到的战略指的是MSS业务的发展战略。如果公司对MSS已经有非常明确的战略和定位,那么基本上已经成功一半了,然而事实是国内大部分厂商对MSS的战略发展并不清晰,大多停留在探索和跟随阶段。部分MSS业务甚至从属于其他业务部门。在这种情况下,业务负责人最重要的事情就是向上管理,让业务的战略和定位更加清晰。最后再根据业务战略制定组织架构。
1.1 运营模式
1.1.1 安全托管运营模式分类
安全运营本身是个甲方的概念,旨在通过一系列运营手段和指标要求来提升自身的基础安全和保障业务安全。由第三方安全服务商通过远程或者现场的方式为用户交付持续性的安全运营服务,都称为托管安全运营。
按照交付方式来划分,主要分为以下三类:
驻场托管安全运营(MSS-CPE):安全服务提供商在最终用户本地驻场提供托管安全服务的单租户服务方案;
远程托管安全运营(MSS-Hosted):托管安全服务提供商以远程的方式向客户交付安全服务的相关内容,其中,第三方安全服务提供商在自建安全运营中心统一进行远程服务交付;
云化托管安全运营(CHESS):网络安全即服务(SECaaS,Security as a Service)作为新兴的安全服务模式,正在成为全球网络安全市场的重要趋势。SECaaS 最突出的特点就是安全的云化和服务化,将安全产品以云服务的形式交付给用户,是安全产品与安全服务的深度融合。云托管安全运营包含两类:
1、云waf、云监测、抗D等安全即服务形式的产品。这类产品/服务的核心是产品本身的能力,弱化人的服务。
2、SaaS方式提供检测与响应(DR)能力类产品及服务(MDR)。这类产品需要依赖人的服务,包括威胁分析、威胁响应、溯源取证等等。Crowd Strike就是这类模式,国内目前已经有几家厂商在跟随和模仿。
1.1.2 国际厂商的安全运营模式:
国外安全厂商 | IBM | AT&T | SecureWorks | Cipher | SecurityHQ | Wipro | Accenture | Fortinet |
远程托管安全运营 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
驻场托管安全运营 | ||||||||
云托管安全运营 | ✓ | ✓ | ✓ | ✓ | ✓ | |||