將安全策略和日常運(yùn)營交給托管安全服務(wù)提供商可以解放IT資源

Phenix Energy Group，一家原油管道運(yùn)營和建設(shè)公司，正準(zhǔn)備在數(shù)月間將其IT基礎(chǔ)設(shè)施從無到有建設(shè)起來。為啟動其醞釀數(shù)年之久的管道工程，該公司計(jì)劃將其相對較小的辦公室環(huán)境，擴(kuò)建成具備75臺服務(wù)器，250TB存儲能力的數(shù)據(jù)中心。因此，以前從未列入高優(yōu)先級列表的安全問題，瞬間就凸顯了出來。

鑒于其高風(fēng)險(xiǎn)性——系統(tǒng)宕機(jī)會導(dǎo)致每小時(shí)100萬美元的損失，該公司CIO兼COO布魯斯·佩林花了5年時(shí)間研究各種方案。雖然想要作為內(nèi)部數(shù)據(jù)中心的一部分自己運(yùn)營安全管理，但佩林開始有點(diǎn)傾向于外包該功能了，因?yàn)樗麤]時(shí)間在管道上線前的區(qū)區(qū)幾個(gè)月里，配齊一個(gè)專門的信息安全部門。

評估IT安全增值轉(zhuǎn)銷商和安全托管服務(wù)提供商(MSSP)時(shí)，佩林說：“項(xiàng)目巨大。沒人能在90天里搞定這種IT部署。除了外包我別無選擇——我得引入能提供所需安全級別并幫助我們部署IT的人，最終目標(biāo)是將所有東西都納入掌控。”

為什么外包安全有意義

鑒于如今越來越多的數(shù)據(jù)泄露和對風(fēng)險(xiǎn)的愈趨重視，就像 Phenix Energy Group，很多中小企業(yè)都傾向于安全和日常運(yùn)營的外包模式。近期，一份針對287名美國IT和業(yè)務(wù)人員進(jìn)行的調(diào)查顯示，56%的受訪者稱自己的公司招募外部顧問幫助設(shè)立信息安全策略，40%稱公司正轉(zhuǎn)向MSSP。

外包服務(wù)

根據(jù)調(diào)查，最常被外包的職能包括：滲透測試/威脅評估(稱轉(zhuǎn)向顧問和MSSP的190位受訪者中有70%提到此條)，垃圾郵件過濾(46%提到)，威脅情報(bào)(40%)，日志監(jiān)視(34%)，反DDoS/Web應(yīng)用防火墻防護(hù)(27%)，業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)(26%)，意識培訓(xùn)(22%)。

哪些安全服務(wù)會選擇外包

專家認(rèn)為，外包安全職能之所以對中小公司特別有吸引力，是因?yàn)樗麄兊馁Y源通常已經(jīng)被瓜分得十分稀薄，大多缺乏足以履行安全職能的足夠帶寬。較小的公司也不太可能有人具備專門的安全技能，專注于在不斷更新的安全態(tài)勢中保持領(lǐng)先。

其他迫使公司企業(yè)轉(zhuǎn)向外包安全的發(fā)展因素包括：惡意黑客的增加，以及企業(yè)安全產(chǎn)品的大量出現(xiàn)。兩種趨勢都讓小公司難以管理安全。

不可避免的結(jié)論就是：因?yàn)闆]有帶寬，因?yàn)楦簧?，公司企業(yè)將越來越依靠MSSP來管理安全。省下的時(shí)間就是外包的主要益處，遠(yuǎn)比成本節(jié)省在優(yōu)勢列表上的排名要高。

外包：不是非此即彼的命題

多家中型企業(yè)里履行過CIO職能的布蘭登·奧馬利稱，外包或托管服務(wù)模型行之有效——因?yàn)橥ǔ３薈IO就沒別人專職安全了，這讓公司面臨風(fēng)險(xiǎn)。只要切分給幾個(gè)人，安全就能被搞定；但中小企業(yè)里因?yàn)槌薈IO就沒別人負(fù)責(zé)，要取得進(jìn)展非常困難，想掌握安全態(tài)勢也十分不易。絕對需要取得一定程度上的外部支援。

誰要為數(shù)據(jù)泄露負(fù)責(zé)

對黑鷹社區(qū)信用合作社而言，從MSSP之類外部提供商獲得援手，不僅僅能卸下一些安全重?fù)?dān)，同時(shí)還意味著該公司擁有了全天候的專業(yè)安全保障。黑鷹IT副總裁就稱，其手下8人團(tuán)隊(duì)不可能提供此類服務(wù)，因?yàn)樗麄儽仨毺幚沓^150名用戶的全部IT問題，包括安全。

不過，該合作社并沒有全權(quán)交給MSSP，而是采取三管齊下的方法：自己制定安全策略，招募顧問履行特定職能(如定期防火墻審查)，依靠其MSSP( Dell SecureWorks )擔(dān)負(fù)主要安全運(yùn)營——比如管理防火墻和入侵防護(hù)系統(tǒng)之類。

黑鷹IT副總裁稱：“他們可以基于所有客戶及其反饋看清全球趨勢，這給我增加了信心，讓我不用整夜擔(dān)心網(wǎng)絡(luò)。如果他們看到什么異常，他們會通知我。”

警報(bào)過程，就是外包會給小公司帶來麻煩的地方，潛在的復(fù)雜性也會削弱采用MSSP的價(jià)值。雖然外包日志監(jiān)視和防火墻管理給第三方，能引入對潛在問題的可見性，但因?yàn)榈谌饺狈緝?nèi)部運(yùn)作及其典型用戶行為的理解，外包商也可能會難以區(qū)分真正的安全問題和單純的噪音。

外包商需要幫助

為抽取外包安全服務(wù)的最大價(jià)值，公司企業(yè)需要設(shè)置好流程和信道，以便能夠向MSSP提供輸入，讓他們掌握正確的警報(bào)評估上下文。此外，與服務(wù)提供商合作的公司企業(yè)，還應(yīng)準(zhǔn)備好發(fā)現(xiàn)并解決更多的事件，因?yàn)樵跈z測可疑活動方面，MSSP通常會比內(nèi)部員工表現(xiàn)良好。

MSSP從客戶間獲取的可見性很多，并能使之各自相關(guān)，但他們所不知道的，是特定公司的特殊事務(wù)——微觀宏觀問題，或者說，那個(gè)業(yè)務(wù)部門最敏感的問題。公司內(nèi)部需要有人來充當(dāng)聯(lián)絡(luò)官的角色。

謹(jǐn)慎選擇

但聯(lián)絡(luò)官的工作可能相當(dāng)耗時(shí)間?？梢詥枂柧S斯·法里斯。他是哈里斯精神健康與碘缺乏病中心信息安全官兼MSSP聯(lián)絡(luò)官。他案頭的工作太多了，以致他只能花有限的時(shí)間與MSSP合作微調(diào)日志監(jiān)視和警報(bào)，以反映其用戶和公司的工作習(xí)慣。

“為從此項(xiàng)服務(wù)中獲得更多價(jià)值，我們應(yīng)該主動調(diào)整，但我卻沒有時(shí)間。這是個(gè)全職工作。中心負(fù)擔(dān)不起另外雇傭全職員工專心聯(lián)絡(luò)員工作。”

就像與任何供應(yīng)商的關(guān)系一樣，管理你的MSSP，讓它履職盡責(zé)，是非常重要的。最好選擇在你的特定行業(yè)具備專門知識的合作伙伴。鑒于IT安全的重要性，以及即便適應(yīng)不良也很難更換提供商的現(xiàn)實(shí)，做好盡職審查以選對服務(wù)提供商就顯得特別關(guān)鍵了。

一旦簽訂托管服務(wù)合同來監(jiān)視成百上千的設(shè)備，剝離更換服務(wù)提供商就沒那么簡單了。你得確保那就是你想用的公司，他們的工具集豐富多樣，他們的員工值得信賴。