一直以來，企業(yè)網(wǎng)絡(luò)安全能力在需求和建設(shè)兩端都存在較大差距，隨著企業(yè)數(shù)字化轉(zhuǎn)型的不斷深入，這種差距正在變得更加明顯。企業(yè)既需要應(yīng)對不斷增長的安全威脅，同時又必須面對專業(yè)人才匱乏、防護經(jīng)驗缺失、安全預(yù)算有限的現(xiàn)實。

　　安全建設(shè)的困惑與挑戰(zhàn)

　　在安全牛近期開展的行業(yè)調(diào)研中，有多位企業(yè)CSO都表達了同樣的困惑：企業(yè)對網(wǎng)絡(luò)安全建設(shè)的重視度不斷提升，安全投入也逐步增長，采購并建設(shè)了態(tài)勢感知系統(tǒng)、SOC平臺、威脅檢測系統(tǒng)等新一代安全管控平臺，但新技術(shù)的應(yīng)用卻帶來了更多問題，讓安全管理團隊陷入了日志分析、事件響應(yīng)和問題處置等大量事務(wù)性工作中，疲于應(yīng)對，實際效果難以達到建設(shè)預(yù)期。

　　網(wǎng)絡(luò)安全產(chǎn)品碎片化嚴重，企業(yè)在構(gòu)建自身安全能力時，需要通過工程化方法將多種基礎(chǔ)安全能力進行科學(xué)組合，才能形成有效的整體防護能力。當(dāng)企業(yè)應(yīng)用和服務(wù)云化后，多云業(yè)務(wù)、泛終端應(yīng)用場景越來越普遍，企業(yè)業(yè)務(wù)的安全暴露面越來越大。企業(yè)從系統(tǒng)防護、數(shù)據(jù)防護再到云應(yīng)用的防護，安全能力建設(shè)的壓力越來越重，僅依靠企業(yè)自身能力積累，實在難以滿足目前的安全防護需求。

　　在最新發(fā)布的《企業(yè)高級威脅防護能力構(gòu)建指南》報告中，安全牛也對目前我國企業(yè)安全建設(shè)的主要挑戰(zhàn)進行了調(diào)研梳理，主要表現(xiàn)為：

　　43%的調(diào)研者認為其面對的高級威脅攻擊已經(jīng)常態(tài)化。對企業(yè)用戶而言，高級威脅的應(yīng)對嚴重依賴外部情報的更新和防護檢測手段的先進性，如多源情報分析、行為學(xué)習(xí)建模等；

　　面對高級威脅檢測會有較高誤報率，需要有力的運營團隊來維護安全策略、管理安全告警、響應(yīng)處置風(fēng)險事件并定期評估風(fēng)險，以保證安全能力建設(shè)與暴露面增長帶來的風(fēng)險可以抗衡；

　　安全的長效運營對企業(yè)是一場持久戰(zhàn)，這使得安全設(shè)備、人員的投入與企業(yè)利潤的追求也總是令企業(yè)管理者難以權(quán)衡。

　　從產(chǎn)品思維到服務(wù)思維

　　當(dāng)安全防護模式從事件性處理演進到常態(tài)化運營階段時，對安全運營者專業(yè)知識的依賴度更高、問題分析能力需求更強、處置響應(yīng)要求更快。如何在縱深的網(wǎng)絡(luò)安全防護中使人、技術(shù)和操作保持高效協(xié)同，將更多的安全能力釋放出來，減輕企業(yè)整體安全防控壓力是現(xiàn)代企業(yè)必須面對的挑戰(zhàn)。

　　Gartner自2011年開始持續(xù)關(guān)注并提出了MSS（Managed Security Service，托管安全服務(wù)）的理念，目前在北美等地區(qū)已經(jīng)有較成熟的落地，以SecureWorks、Trustwave、Symantec、Verizon、IBM等國際廠商為代表，通過全球化的安全運營中心，為企業(yè)提供安全托管服務(wù)，有效解決了企業(yè)自身安全能力不足的難題。MSS主要覆蓋的安全能力包括：

　　安全技術(shù)管理與編排

　　安全事件響應(yīng)服務(wù)（遠程和現(xiàn)場）

　　漏洞評估和托管漏洞管理服務(wù)（例如掃描、分析和建議/補救）

　　全球化的威脅情報服務(wù)（例如機器可讀的威脅情報源、客戶指定的暗網(wǎng)和社交媒體監(jiān)控）

　　面對未知威脅的檢測和響應(yīng)（MDR）服務(wù)

　　在我國，托管式安全運營理念也開始受到行業(yè)更多關(guān)注。一方面是因為用戶安全需求的驅(qū)動，另一方面也歸功于云計算等新興技術(shù)的成熟，為MSS這種遠程服務(wù)取代駐場運維奠定了技術(shù)基礎(chǔ)。MSS的核心是提供7*24小時的針對威脅檢測的安全事件監(jiān)控和響應(yīng)，對威脅響應(yīng)時間、處置效率、建設(shè)成本以及安全系統(tǒng)可用性等指標(biāo)項，都提出了更高的要求。

　　對比傳統(tǒng)的安全建設(shè)與運營模式，托管安全服務(wù)對于需要多少成本、多少人力、多少時間資源是可以清晰評估并量化的，能夠?qū)崿F(xiàn)安全服務(wù)商和企業(yè)用戶在安全資源和成本投入方面的優(yōu)化，給企業(yè)的安全建設(shè)減負，讓企業(yè)可以把重心和思考放在業(yè)務(wù)發(fā)展上。

　　回歸對安全最本質(zhì)的訴求

　　從2018年開始，我國主流國內(nèi)安全廠商開始基于其優(yōu)勢單點產(chǎn)品能力，嘗試為用戶提供遠程安全托管服務(wù)，如MDR、FWaaS等，推動傳統(tǒng)安全建設(shè)方式的轉(zhuǎn)型。隨著云計算技術(shù)的應(yīng)用發(fā)展，越來越多的安全防護能力被整合到MSS服務(wù)體系中，形成了更具特色的安全托管服務(wù)。

　　以國內(nèi)較早發(fā)布MSS服務(wù)的深信服科技為例，其在不久前舉辦的“深信服智安全創(chuàng)新峰會”上，正式推出了成熟度更高、可用性更廣的MSS 2.0方案，嘗試構(gòu)建隨需可得的托管安全運營能力，為用戶提供日常安全運營、實戰(zhàn)攻防運營、等保合規(guī)運營、勒索專項運營等綜合安全服務(wù)。

　　深信服科技CEO何朝曦表示：“在云計算時代，要用云化的安全來保護企業(yè)云化的業(yè)務(wù)。我們希望幫助企業(yè)回到對安全最本質(zhì)的訴求，在更加復(fù)雜、變化更加快速環(huán)境下，讓安全更加的簡單有效，讓用戶更省心，讓業(yè)務(wù)更可靠?！?/p>

　　據(jù)安全牛了解，在深信服MSS 2.0版中，其核心能力包括資產(chǎn)管理、漏洞管理、威脅監(jiān)測與響應(yīng)、事件預(yù)防與響應(yīng)，涵蓋了資產(chǎn)、脆弱性和威脅三個傳統(tǒng)安全要素。此外，還結(jié)合國內(nèi)實踐化運營的特色需求，在常態(tài)化安全運營的基礎(chǔ)上挖掘了實戰(zhàn)攻防運營、等保合規(guī)運營、勒索專項運營等特殊場景的運營服務(wù)。其中，事件預(yù)防與響應(yīng)通過大量安全實戰(zhàn)經(jīng)驗總結(jié)后的知識沉淀，經(jīng)過專業(yè)團隊的研究分析后形成預(yù)防模型、知識庫以及處置預(yù)案，為用戶后續(xù)的安全防護能力建設(shè)提供指導(dǎo)。

　　圖1 深信服MSS 2.0 能力架構(gòu)圖

　　我國企業(yè)安全的能力建設(shè)已經(jīng)經(jīng)歷了從人工防護到產(chǎn)品技術(shù)防護，從產(chǎn)品技術(shù)防護再到系統(tǒng)化持續(xù)運營防護三個階段。先進的安全產(chǎn)品和技術(shù)只有被充分運營起來，各種安全威脅才能被盡早發(fā)現(xiàn)，并得到及時處置。某種意義上說，安全托管服務(wù)的發(fā)展代表著企業(yè)安全能力建設(shè)正在步入一個新的階段。

　　圖2 2021 Gartner安全運營成熟度曲線

　　在Gartner發(fā)布的《Hype Cycle for Security Operations, 2021》中，對多項安全運營服務(wù)涉及到的技術(shù)進行了成熟度評價，我們可以看到：漏洞評估、安全信息和事件管理（SIEM）、CASB、EDR 已進入成熟和準(zhǔn)成熟階段；托管檢測和響應(yīng) （MDR） 、網(wǎng)絡(luò)威脅檢測及響應(yīng)NDR 、SOAR的技術(shù)泡沫也正在逐漸消退。隨著這些基礎(chǔ)性安全技術(shù)的成熟，安全托管服務(wù)廣泛應(yīng)用的時代或?qū)⒑芸斓絹怼?/p>