較早幾年，把一些重要網絡和系統服務資產進行外包安全管理幾乎不敢想像，但現在，面對每天頻繁多變的網絡攻擊，很多公司認為，這種方式更能有效減少安全風險。這種把安全控制權完全交由第三方來管理的手段可不可行？我們隨著Freebuf來聽聽各位專家的觀點。

對于公司采用安全外包管理的前提，很多廠商企業表示這取決于公司的人員配備水平。如果公司內部缺乏相應的專業技能，或是因成立安全管理團隊而缺乏預算資金的中小企業，可以采用這種方式。因此，在面對數據竊取和BYOD（員工攜帶自己設備辦公）的風險擔憂時，與安全管理服務提供商（安全外包服務商，MSSP）的合作成為使然。

各路專家觀點：企業內部安全團隊 VS 安全外包服務商（MSSP）如何選擇？

Alertsec公司CEO Ebba Blitz表示，安全管理服務商MSSP由各類IT安全專家組成，必須具備快速響應和解決復雜問題的技術能力要求。人力資源充足的大公司可能會成立自己的安全團隊，但對一些中小型企業來說，選擇與安全管理服務商合作可能是其最好的選擇。

選擇MSSP服務商不是甩包袱

Optiv戰略架構副總裁Pat Patterson認為，企業在選擇安全管理服務商進行外包服務時，不應該簡單粗魯地認為這樣就可以把安全責任完全甩給MSSP。企業安全負責人應該明白，選擇安全外包服務不是簡單地把安全監控和事件響應交給第三方運維，并寄希望于此。事實上，安全外包服務很容易凸顯出企業自身信息安全機制存在的不足和缺點，但最終不會修復一個存在問題的信息安全機制。

OneLogin首席安全官Alvaro Hoyos：說到安全外包服務時，企業自身與第三方外包商的關系，就像軟件即服務（SaaS）與本地部署APP，或最近談及較多的基礎設施及服務（IaaS）與自建數據中心的問題，它們之間都存在著一些類似的爭議，但就大多數企業目前的選擇趨勢來看，還是比較傾向于第三方云服務提供商，當然，安全服務也會朝著第三方外包的方向發展。

安全外包服務是未來的發展趨勢

Trustwave連續兩年對大量企業進行了調查采訪，其最近的一份報告顯示，企業安全完全由自身安全團隊和IT部門進行建設運維的比例較前一年有所下降，為67%；26%的受訪企業建立了內部安全團隊和第三方安全外包商的合作服務關系，5%的企業則完全把安全問題委托授權給第三方安全外包商進行管理；2%的企業采取其它方式進行安全管理。

Trustwave報告還指出，正計劃與安全外包商合作的比例從去年的39%上升到43%。在美國，企業選擇與安全外包商進行合作的趨勢較為明顯，美國本土受訪企業中大約有53%已經采用安全外包服務，這一比例較上一年有14%的增長。另外，總體來說，有40%的美國企業計劃在未來會選擇與MSSP合作，而有17%的企業表示不會選擇安全外包服務。

　　綜合考慮企業內部安全團隊與安全外包服務商MSSP的各種因素

Verint System網絡產品管理和業務發展的副總裁Yitzhak Vager：

安全外包服務與內部安全運維之間的關系，是企業具體安全操作實施之前的一種戰略問題。企業管理層需要明白，對內部安全運維團隊的人力和工具進行投資，將會進一步充實企業安全，并能確保安全管理機制可控，而把這些相同的成本投資于一個完全只關注安全的第三方公司身上之后，這種安全模式可能會造成對企業自身商業關系的考量不足。當企業選擇與MSSP合作時，MSSP必須清楚受保護企業特定資產與其商業風險之間的關系，以便能提供更好的安全服務。

容器應用安全公司Aqua Security CTO Amir Jerbi：

MSSP服務商都具有一定的成熟度水平，其能力應該不亞于或高于企業內部安全團隊。企業選擇將部分或全部安全業務外包給MSSP服務商時，應該基于幾方面因素的考慮：企業內部安全團隊技術水平是否能夠保持在一個足夠高的層次、系統和數據的靈敏度和合規性需求、戰略性安全對企業的意義（如是否把其考慮為一種長期的核心競爭力）、經濟成本。

“從經驗上來看，一些監管性質較強的行業大型企業都具備優秀的技能和內部安全團隊，他們更傾向于自行管理控制企業安全。而在中端市場和中小型企業領域，使用MSSP服務商來滿足部分或所有安全需求是很合理的方式。只不過，在選擇MSSP服務商時應該明確一個觀點：MSSP的技能應該集中在一些共同或成熟的領域，同時，并能掌握或擁有某些新興技術能為客戶所使用”。

Bluelock安全公司工程總監Derek Brost：

對很多企業來說，在采購、開發、集成、部署、操作和運維安全控制方面的投資成本遠遠不會超過其資產的總風險狀況。對于這類型公司，盡管投資風險管理是一項必需持續的支出，但采用MSSP服務更具成本效益；對于那些青睞于內部安全管理的機構，它們可能具備一些穩健的風險管理機制，并能有效預測潛在風險以證明內部安全管理的價值意義，這些公司機構在內部資源管理方面甚至達到或超過MSSP服務商的定位和水平。

在思科（Cisco）的年度安全報告中，2014年有21%的受訪企業表示他們不會選擇任何安全外包服務，而在2015年，這一比例下降到12%。53%的受訪企業認為安全外包服務是一件具備成本效益，值得投資的事，而49%的企業表示，選擇外包服務是為了在安全方面獲得來自第三方更多客觀的管理。

Sungard Availability公司安全經理Asher DeMetz：

盡管一個公司非常希望管控自身信息安全，但像724小時全天候安全運營中心（SOC）、安全事件管理系統（SEIM）或IDS/IPS等昂貴的必需架構不是每個公司都能承擔得起的。關鍵是，具有一定規模和風險狀況的企業選用了這些服務之后，將會具備724小時的全天候攻擊監測。你可以想像，如果晚上9點發生的入侵攻擊，到第二天早上上班9點還沒被識別發現，當公司人員正常辦公之后這將會是一個災難性事件。當然，具備深厚功底和經驗的MSSP服務商必須能清楚地判斷“真實攻擊”和“誤報攻擊”。

安全服務商Radware副總Carl Herberger：

隨著威脅環境態勢的快速發展，中小型企業已經成為當今頻繁攻擊的首要目標，有43%的攻擊把目標指向中小型企業，對企業內部安全團隊來說這就是一種挑戰。例如，面對日益顯現的攻擊，一些零售電子商務企業沒有能力投資組建一個穩健優秀的安全團隊，那么，MSSP服務商可以彌補這種缺口，使企業更能專心發展自身的核心競爭力。

Viewpost公司首席安全官Chris Pierson：

在選擇第三方的MSSP服務時，應該綜合考慮信息技術環境的復雜性、設備控制類型、數據中心的位置和類型、地理范圍跨度、全球指紋數據、成本和技術資源，以及每周/每年的安全需求等。

值得注意的是，公司內部最了解數據流布局和操作的人，往往是那些創建體系結構（不管網絡還是安全）并熟悉商業流程和產品的人。而這些人員模式的成功形成，是公司內部至少有一個核心團隊的長期發展結果。目前，僅就一些關注威脅指標（IoC）和行為取證的專業設備來說，安全管理已經成為其產品特色的一部份，而對企業來說，發展安全管理也是一種明智的投資和運營舉措。

　　幾個選擇標衡量準

Coalfire公司總裁和創始人Kennet Westby：

外包服務在諸如主機托管、云服務和應用服務等方面比較常見。提供安全外包服務的第三方更了解網絡安全的不同范疇，作為企業來說，其最有價值的資產可能將不再由自身雇員以網絡管理方式，單純地駐留在公司防火墻之后。

Westby認為，面對企業信息安全運維，在內部安全團隊和第三方MSSP服務商之間進行選擇時，應該充分考慮以下幾個重要標準：

能力/成本–就像組織內部的大多數職能標準一樣，相比于內部實現來說，該服務是否能以較低成本形成較高的能力水平；

組織兼容性–確保你選擇的合作伙伴能與你的IT、安全和管理團隊并肩工作，而不僅僅是躲在“安全服務”的圍墻后向你提供或推送一些廠商服務；

信任–這是任何第三方處理敏感事務的重要考慮，對于MSSP服務商來說尤為關鍵，企業需要確保安全控制的運行標準高于內部控制要求，并能做到完全信賴第三方員工。

Absolute全球安全戰略專家Richard Henderson：

信任絕對是一個大問題，需要很多的信任和說服力才能進入安全外包模式，我們在MSSP領域看到的一些成功案例和不可思議的化學反應，一般都是在使用基礎上慢慢發展起來的。任何中小型企業內的安全團隊組織都應該評估與MSSP整合的可能性。

在現實中，安全人才很難發現，而且很難實現雙方滿意的長期合作。很多安全職位是吃力不討好的工作，然而一旦出事，這些員工承受的壓力又是巨大的。所以二三線城市的小公司，很難招聘到頂尖的技術人才。

2017年思科安全能力基準調研報告顯示，有20%的企業機構采用第三方外包商提供的信息安全服務，這些依賴利用外在資源進行管理的企業，在未來還可能會繼續擴大其外包服務范疇。

　　另外一些中肯的專家建議

CrowdStrike產品管理副總裁Rod Murchison：

企業組織必須應對越來越頻繁和復雜的網絡威脅，與MSSP服務商進行部分或全部的安全合作都是一件有意義的事。一些MSSP服務商能夠通過API與安全解決方案提供商合作，創造出真正獨特的解決方案，為最終用戶降低復雜性，實現真正的安全服務價值。這種復雜度和集成度的協同合作關系，將為MSSP服務商客戶提供特定網絡資產保護能力，最終實現技術保護和方案解決的完美結合。

FireEye產品營銷總監Trish Tobin：

在一些初創企業或處于掙扎階段的公司，MSSP服務商可以協助企業安全領導進行整體方案設計、建設SOC、培訓員工或提供事件響應建議等。之后，隨著企業安全方案的演化完善，將逐步向威脅檢測和事件響應能力方面發展。更多時候，這些企業由于缺乏過硬的安全專業知識和對新型攻擊技術的了解掌握，而陷入被動發展的局限。

AppRiver網絡安全管理員Scottie Cole：

在安全外包服務和一個訓練有素的內部安全團隊之間，我更傾向于后者。因為內部安全團隊更了解企業安全需求和企業實現目標。對很多企業來說，運行內部安全團隊的缺點就是長期的維護成本，一些有能力的優秀人才可以通過高薪聘用，而且，安全團隊也需要持續教育成本，這些成本投入將體現在培訓、研討會或技能證書的重新認證等方面。

如果不考慮成本問題的話，安全外包服務算是一種不錯的方案。很多外包公司提供訓練有素的專業人才為客戶現場解決安全問題，此外，使用安全外包服務的另一個好處是，客戶公司可以有一個相對大的人才庫進行備選使用，而外包公司可以根據客戶要求或監管需求，提供相應的專家或團隊技術支持。

Komodo公司安全顧問Boaz Shunami：

MSSP服務商還可以在模擬攻擊的紅隊演練中凸顯優勢，這些演練包括紅藍雙方的對抗、滲透滲透、威脅情報中心服務、應急響應以及調查取證技術支持等。這種模擬攻擊如果完全換作內部員工來進行的話，效果將不會太好，畢竟這需要較長時間學習曲線，時間和價值成本不成正比。

CounterTack公司營銷副總裁Tom Bain：

大多數企業都希望對服務和產品進行“精簡拆分”，企業實際希望后臺真正可用的代理和服務商不要太多，達到少而精的供應商和平臺服務。技術托管外包方式將給那些能幫助客戶企業實現技術減負的MSSP服務商足夠的發展空間，MSSP服務商可以通過攻擊事件監測和威脅情報響應等具體方式為客戶進行托管服務。

不能操之過急的選擇安全外包服務模式（MSSP）

從以上采訪可以看出大部分專家都比較支持MSSP服務方式，但也有專家表示，如果盲目放棄安全控制權將會出現問題。

Coalfire公司總裁和創始人Kennet Westby：

市面上有很多可以提供和實施安全服務的外包公司，在外包服務商選擇方面，應該花時間去了解這些外包商所提供的服務是否能真正有效適合自身企業。另外， 針對安全領導機制或流程/供應商實行內部監督也非常重要。

AlienVault安全顧問Javvad Malik：

企業的總體要求和需求非常重要，比如，如果一個公司需要針對很多定制化應用程序需要進行特定監控需求，那么內部安全團隊可能比外部的MSSP服務商更適合。其它考慮因素可能還包括專門人員或條例的偏好傾向，以及安全服務數據是否需要本地存儲化等。

如果一個公司希望選擇MSSP服務模式時，應該對MSSP服務商的有效性和執行能力進行評估。當然，選擇一個能與企業自身文化相適應的MSSP服務商，和選擇具有合適技術能力的MSSP服務商同樣重要。

關于對內部安全團隊和安全外包服務商的選擇，沒有簡單或正確的答案，兩種方案都有各自的優缺點，但最好根據企業自身的成本預算、專業知識和期望結果做出明智的決定。

Bitglass公司產品經理Salim Hafid：

對很多有安全意識的行業和組織來說，內部安全團隊是必須的。一個具備合規性專業知識能力的內部安全團隊，可以有效評估多種安全解決方案以滿足企業要求。

OneLogin首席安全官Alvaro Hoyos：

內部安全團隊可以建立屬于自身企業的專業知識儲備，這些都是不能轉移到任何第三方的企業資產。內部團隊更能清楚地了解企業自身所面對的風險，包括來自內部人員的威脅，這些都不是MSSP服務商輕易就能掌握的，必須經過一番腳踏實地的工作才能獲得。

Alvaro Hoyos認為，可以采取內部安全團隊和MSSP服務商的混合模式，MSSP服務商負責基本的安全服務，內部安全團隊可以負責一些復雜有差別或MSSP不了解的任務。這種模式一方面能減少失誤，另外還能有機地增強安全流程，對內部安全團隊來說也是一種挑戰鍛煉。

如果公司與其它服務供應商簽有合適的合同，或是具備清楚知曉內外安全環境的安全團隊，那么可能不會使用MSSP服務模式。MSSP模式可以說是一刀切的服務， 在計劃初期必須考慮很多服務的遷移，同時還需認識到，企業所有數據將會通過MSSP，所以一些涉及保密協議的數據、專利和用戶數據需要慎重考慮。

Barracuda業務發展高級總監Neal Bradbury也認為，作為一種服務模式“as-a-service”，企業應該盡管選擇適合自己發展的服務模式。

KnowBe4總裁Stu Sjouwerman：

決定使用內部團隊時需要考慮的因素是企業環境的復雜性，對MSSP服務商來說，一些非常復雜的環境和因素無疑是一種挑戰，特別是當MSSP服務商具有很高的離職率時。了解復雜環境需要時間，所以要盡量減少重復學習曲線。

另一個重要因素是公司自身的地理位置。當地是否有專門的安全人才庫，或是處于供不應求狀態？如果你的企業薪水、福利和津貼都位于低水平位置，那么雇用外包商人才也將是個問題。

內部安全團隊的優點是，企業具有一個深入到日常，比MSSP服務商知曉企業具體環境的專門資源庫。對于不想外部組織參與的項目或建議，可以任意利用這種內部資源。

最終，企業還需對任何形式的MSSP服務和雇用模式進行調研，以便作出進一步決策。需要清楚的是，選用的安全服務商將是企業信息資源的守護者，但同時，他們還能獲取很多企業顧客數據的訪問權限，因此，選擇那些擁有良好記錄和可信賴的公司或個人至關重要。

*參考來源：NetworkWorld，freebuf小編clouds編譯，轉載請注明來自FreeBuf.COM。