MSSP正在为安全资源或能力匮乏的企业在处理其网络安全问题方面发挥关键作用,即使是那些拥有内部安全运营中心 (SOC) 的企业,也会选择借助MSSP 来处理一些最耗时和最复杂的任务。往往漏洞事件爆发后,定位和修复的窗口期十分短暂,考虑到内部安全人员在精力、时间和专业技术能力方面与MSSP存在一定的差距,企业对MSSP的需求正在持续走高。
SOAR自动化编排与响应 将有效增强MSSP规模化服务能力
根据世界经济论坛上发布的一份《2023全球网络安全展望》报告,全球的科技企业现在正在从一个很小的网络安全人才池里争夺资源,随着技能差距的扩大,招聘专业安全人才将会变得更加困难。
随着企业网络安全水平差距的扩大,企业对外包的需求也在增长,尤其是那些需要复杂经验的难以填补的岗位。《2023年英国劳动力市场网络安全技能》显示,在英国有超过三分之一的网络安全职位空缺被认为难以填补,理由是这些岗位通常求职者拥有三到五年的经验。这意味着新的从业者需要相当长的时间才能达到所需的技术高度。
事实上,托管安全服务提供商同样存在网络安全专业人才短缺和人员配备问题,只有不断提高能力才能够满足市场需求的增长,而实现这一目标的最优方法便是采用SOAR自动化编排与响应技术,来实现服务规模和效率的高效提升。
SOAR,全称为Security Orchestration Automation and Response,即安全编排自动化与响应。SOAR解决方案将事件响应、编排和自动化以及威胁情报 (TI) 管理功能集成在一个平台中。SOAR 工具还用于记录和实施流程(又名剧本、工作流程和流程),支持安全事件管理,并向人类安全分析师和操作员应用基于机器的协助。总体来说,SOAR是一种通过整合安全工具、安全团队和安全基础设施,而使安全运营和事件响应更为高效的解决方案。
根据奇安信安全专家的观点,SOAR 的诞生是实战化安全运营的必然要求。当前网络安全团队人员配备不足、工作负荷高,碎片化安全设备产生的安全告警居高不下,人与工具之间缺乏有效的协同联动等已经成为企业安全运营中面临的重要挑战。
而SOAR正是为了应对这些的挑战,顺应安全运营未来的发展趋势而生的一项技术,它以编排和自动化为核心,能够实现团队、工具和流程的无缝整合,将各种碎片化的安全工具、平台和设备进行打通和协同联动,以智能化的协作来帮助安全人员有序处理多源数据,持续进行安全告警分诊与调查、威胁狩猎、案件处置、事件响应,将安全运营工作中的大量操作编排成安全剧本,一次批褚丽华、自动化地执行多个操作,进而提升整个安全运营效率。
也正是SOAR对流程的剧本式编排能力,让MSSP与SOAR的集成有了更多的想象力。
MSSP乘以SOAR 全面提升自动化提高安全运营效率
日前发生的一起网络安全收购案也进一步佐证了MSSP整合集成SOAR的趋势。
10月10日,专注于SOC和MSS的海外头部安全运营厂商Arctic Wolf宣布有意收购 Revelstoke,这是业内首个基于统一数据层 (UDL) 构建的安全编排、自动化和响应 (SOAR) 平台的创新安全厂商。
Arctic Wolf总裁兼首席执行官Nick Schneider表示:“SOAR 正迅速成为有效安全运营计划的核心要求,但是许多现有解决方案缺乏利用 SOAR 技术作为威胁检测和响应的无缝扩展的简单性、互操作性和可扩展性,无法将SOAR技术作为威胁检测和响应的无缝扩展。Revelstoke打造的Roseetta Stone的平台建立在统一的数据层之上,另辟蹊径从头开始重新构建安全自动化,能够无缝地集成不同的数据和系统,实现了对更快、更智能、更高效的安全运营结果的颠覆性改变。通过将Arctic Wolf的安全运营产品矩阵与Revelstoke独特的安全自动化方法相结合,不仅可以更快地检测组织的整个攻击面,还可以加速大规模执行实时和自动响应行动。”
IDC 研究安全服务副总裁 Craig Robinson 认为,“随着网络安全攻击手段变得越来越先进,IT安全预算也逐渐吃紧,但内部安全团队仍然被淹没在海量的安全告警中,因此,安全和IT领导者也希望通过安全自动化编排和响应来实现运营效率的提升。但想要实现安全自动化,通过SOAR平台来协同各个安全设备各司其职,也需要更加专业的人员和安全能力。”
在他看来,将SOAR 集成更广泛的安全运营平台中对客户和供应商都是双赢的,这种集成使得客户组织将最大程度的摆脱安全告警的困境,提升安全响应效率,而供应商也能够通过集成和自动化来帮助客户实现更好的安全服务。
根据Gartner今年6月份发布的《2023年SOAR市场指南》报告,Gartner认为,用户自身安全运营成熟度水平对于能否成功应用SOAR至关重要,计划采购SOAR的客户应该从:是否拥有已建立的安全运营指标,是否拥有已定义的安全运营流程,是否具备安全分析师、安全分析师的安全运营能力和安全开发能力如何,是否拥有文档化的安全运营工作过程/流程,以及需要集成的各项技术是否准备就绪五个方面对自身展开评估。
经过自评估,如果自身条件欠缺,但又希望能够获得SOAR带来的价值,Gartner建议寻求安全服务厂商的帮助,或者请SOAR厂商的服务团队介入,以购买服务的形式来获取SOAR技术。
这也在某种程度上表明,安全运营服务商对SOAR厂商的集成与整合或将成为安全运营领域中的一种新趋势。
事实上,欧美等国家得益于SaaS云化服务的形态认可度较高,具备较为成熟的安全托管业务发展环境,加上在安全托管服务领域起步较早,通过一系列的整合并购,已形成相对成熟的技术、服务体系和市场。相对而言,国内安全托管服务仍然还比较早期,主要以安全实施和系统集成为主,安全运营托管占比较低。
在政策、市场需求的推动下,中国网络安全服务市场也正快速发展。其中,上云后的安全托管需求和远程设备托管的需求以及智慧城市场景下的安全运营需求直接推动了中国MSS市场规模的快速增长。
目前包括深信服、安恒、绿盟、奇安信、启明星辰、天融信、腾讯安全、360等都已成为中国MSSP市场中的代表性提供商。展望未来,随着MSSP服务规模的持续扩大,MSSP托管服务商们也将会更加注重对服务工具的智能化、自动化、服务内容的标准化、服务人才的专业化、服务生态的规模化等内容的关注。随着托管安全服务朝着自动化、复杂化、高级化的持续演进,国内一系列专注SOAR的专精型安全厂商或许也将以被集成或并购的方式,帮助MSSP为更多客户带去安全运营效率的提升。
京公网安备 11010802033237号
