后疫情时代的MSS:超越传统边界 搭载威胁情报、MDR等扩展能力

首页 / 业界 / 资讯 /  正文
作者:西西
来源:安全419
发布于:2022-12-06
当前世界经济新旧动能转换加速,各行各业全面推动数字化转型,网络安全成为数字化发展的压舱石。随着黑产组织向规模化、产业化、专业化方向发展,谋求实际的经济效益和政治目的,网络安全形势日趋严峻。加之常态化疫情防控机制进一步推进业务上云和远程办公,大大地增加了网络攻击面,个人信息泄露、勒索攻击、网络钓鱼等安全事件层出不穷。
 
网络安全威胁加剧倒逼企业安全建设和能力迭代提升,持续有效的安全防护离不开专业网络安全人员的技术保障,若无法及时感知安全威胁,安全状态很难有效掌控,当出现安全事件时更无法快速启动响应和处置机制。
 
而根据《2021年中国网络安全产业分析报告》数据,我国网络安全人才市场平均每年需求与供给之比约为2:1,专业人才累计缺口在140万以上。种种环境因素催生并普及了安全服务外包模式和远程安全服务,依托第三方网络安全厂商的云端安全运营中心,建立常态化风险监测和安全管理闭环机制,安全专家开展7X24小时远程值守,实现持续对抗攻击和快速响应。
 
内外驱动 国内厂商大举进军MSS赛道
 
近两年,安全419观察到,综合型网络安全厂商、新兴互联网厂商和地方托管安全服务提供商都开始推出安全托管服务(Managed Security Services,MSS),基于云化或远程技术,有机整合专家化运营能力、标准化操作流程、智能化运营平台、场景化运营数据等资源,为企业用户提供一系列超便利、高效率、低成本的网络安全服务,覆盖资产管理、风险检测、威胁监测、事件处置等,与用户协同构建持续、主动、闭环的网络安全运营体系。


我们可以从安全托管服务商(Managed Security Service Provider,MSSP)发布并进入落地应用的相应服务清晰地看到MSS的功能和价值。比如深信服MSS,主打的是打人机共智模式,通过“人”(安全专家)和“机”(AI安全运营平台、基于威胁情报打造的脆弱性管理平台、标准化服务监控平台)的协同,做到7X24持续监测,及时发现威胁和响应。同时将安全专家的经验以及行业用户的最佳实践进行固化,通过完善流程以及提升流程执行能力来实现安全的标准化落地,以此提升安全运营效率和安全运营质量。
 
腾讯安全MSS主要依托了腾讯云原生的优势,帮助企业用户更好地监视云上关键资产变更风险,保持监测策略一致性和全面性。功能上围绕攻击者视角下的有效防守、KPI视角下的过程展示、国家级重保水平的常态化运营、准实时的情报及威胁共享四个方面提供服务能力。
 
安恒信息MSS提倡的是“天(安全托管运营服务中心)、地(本地的安全资产、安全设备、安全人员)、人(7*24小时在线的云端三级安全运营专家以及分布在全国的本地服务团队)、机(边界、流量、终端的设备及部署的MSS服务工具)一体化”,以用户资产全生命周期的安全需求为导向,参考IPDRO框架,从资产管理、攻击面管理、漏洞管理、威胁狩猎和应急响应五个核心攻防对抗域持续开展安全活动。
 
化繁为简 MSS正成为企业的安全管家
 
参考Gartner、IDC等咨询机构对MSS的定义,再结合上述MSSP的服务内容,目前国内的MSS服务主要包括以下维度:
 
资产发现与管理服务盘点资产清单、明确资产归属、消除监管盲区、清理影子资产、收敛互联网暴露面;
脆弱性检测与管理服务检测发现资产安全脆弱性问题、评估安全风险、开展安全加固、排查安全隐患;
威胁监测与管理服务开展全天候的安全威胁监测、全息感知网络攻击态势、响应和处置网络安全威胁;
事件响应与管理服务快速响应安全事件、抑制安全事件发展态势、溯源攻击链、定位和消除安全风险点、恢复生产业务;
安全资讯与情报服务获悉最新行业资讯、漏洞情报和事件情报,借助威胁情报有效提升安全分析效率和开展安全决策;
安全设备管理服务安全设备及安管平台状态监控、策略优化、版本升级、策略升级等。
 
可以看到,MSS意图涵盖安全运营工作的闭环,因此其适用的场景对于企业用户来说是比较普遍和典型的。比如常态化的安全运营,MSS可以弥补企业受限于IT预算、人员编制、技术水平、运营经验等因素,难于实现持续性的网络安全监测和最大程度上发挥网络安全产品的效能,有意提升网络安全实战能力。
 
而在一些重大节日或重要活动、新品发布等时间节点,MSS可发挥重保功能,提供7X24小时远程网络安全值守服务,事前查漏补缺、补齐安全短板,事中实时监测、快速研判分析,事后启动应急、消除事件影响。
 
又比如企业满足安全监管要求,根据国家、区域和行业监管要求,依托第三方的网络安全运营中心,要落实网络安全监测预警和通报制度,建立健全网络安全风险评估和应急机制,有效识别和消除安全隐患,落实管理和技术举措,保障安全策略动态有效性,满足安全合规要求,依法依规开展安全生产。
 
对应来看,MSS还可以协助监管机构开展安全监管。针对辖区重要网站或信息系统开展常态化安全监测,感知网络安全态势,结合最新情报快速通报预警,指导用户防范和管控网络安全风险,实现网络安全运营专业化、数字化、精细化,科学决策,精准施政,引导辖区单位有序开展网络安全建设,整体提升辖区网络攻击防御能力。
 
水涨船高 MSS内涵在不断升级扩展
 
MSS模式其实由来已久,但国内是在2020年后开始得到大面积的普及,市场需求目前保持高涨,这与企业用户认知的转变、数字化转型以及疫情的持续流行脱不开关系。
 
在早期,MSS仅限于进行设备管理和安全合规,一线运营工程师开展安全合规建设及以安全产品(防火墙、入侵检测与防御等)的配置管理等工作为主,辅助工作为初级安全分析、事件响应等。随着安全威胁的加剧和专业安全人才的紧缺,MSS逐渐向7x24小时的持续监控和告警响应进阶,人工智能、大数据等技术逐渐得到广泛应用,同一阶段的安全运营主要以安全分析、情报、响应、编排的闭环服务为主,例如利用安全信息与事件管理系统(SIEM)进行日志收集,输出合规性报告,同时为安全运营中心的分析师调查创建IOC等服务。
 
发展到现在,MSS正朝着托管威胁检测与响应服务(Managed Detection and Response,MDR)发展,意在构建主动的安全防御体系,由一线安全运营人员、二线专业安全专家以及三线高级安全专家共同运营。这需要安全运营中心实现可管理威胁检测与响应的进化循环,即安全服务专家运用用户现有的安全设备、安全平台能力以及自身经验来帮助构建完整的覆盖全网络安全生命周期的工具、技术、程序和方法,这其中包括对于扩展检测与响应(XDR)的使用,威胁情报(TI)的整合、安全事件的远程响应等能力。



为什么是MDR?由于内外环境的恶劣(包括业务升级压力和安全威胁挑战),企业在预算全面收紧、专业安全人才缺失的窘境下更需要专注于业务开拓与发展,网络安全即服务(CSaaS)的模式得到更多青睐。与此同时,数字化转型之下,CSO的角色开始转变,其需要深入准确地了解企业的网络风险详情、应优先考虑什么风险以及如何有效降低风险,才可以有效制定管理威胁的整体计划。但是,XDR技术应用对企业的安全运营能力有较高要求,很多企业由于专业安全人才的缺失,难以快速检测和响应各种安全威胁。
 
美国电信公司(AT&T)在近日也做出预测,2023年可能是MDR大规模应用的元年,其设置于云端的统一威胁检测和响应平台可以帮助企业实现威胁事件调查和处置的自动化,包括情报收集、分析、分类和响应等,而不是依赖传统的人工处置模式,大大降低对自身安全团队的专业性要求。未来,将有更多的企业希望通过MDR服务,实现全天候的威胁态势监控、事件警报、调查分析和专家团队支持等安全能力建设。
 
看向未来,网络安全威胁严峻的趋势不会改变,会有越来越多的数字化转型行业企业等逐渐接受MSS。IDC《全球网络安全服务市场跟踪2020H1》报告预测,到2024年,中国安全托管服务市场规模预计达到5.6亿美元,年复合增长将达到17%。随着数字经济体量的不断增加,数字经济的各个生产环节分工还会进一步细化,需求侧将更加聚焦到自身核心业务发展和安全管理,而将部分非自身擅长的安全工作托管给专业安全厂商进行能力补齐和体系完善。