使用MSSP時需要避免的六個誤區
隨著企業越來越多地接受安全托管服務,這些安全服務的收益和風險對當前的客戶和潛在客戶也都越來越明顯。一項由Forrester對140名MSSP客戶進行的調研發現:有一部分的客戶非常成功地使用了第三方安全服務供應商,而剩下許多其他人卻很難從他們的合作關系中獲益。
Forrester發現,幾乎所有的CISO們都試圖向非安全的領導層證明他們在MSSP上的開銷,原因就在于相對于其他開支,安全服務缺乏合適的衡量指標,同時技術復雜性又相對更高。與此同時,安全服務供應商自己也在努力將他們的服務緊貼對企業真正重要的事情上——如何對他們的客戶和利益相關方產生價值,以及他們如何能夠支持業務需求。
MSSP不是一項外包工作
“組織犯的第一個錯誤,就是認為MSSP是一種外包。”Forrester的分析師兼報告的作者之一的Jeff Pollard表示。現實是,大部分公司在使用MSSP后依然持續地在安全上花費更多時間,而不是更少。通常,組織會在一些比較有價值的事情上花費時間,比如追蹤嚴重的威脅和事件、或者脆弱性修復活動。“如果企業期望花更少的時間,動用更少的資源,這種情況極少。”Pollard說道。
不同規模的公司都在開始嘗試MSSP,但是大型組織背后的動機和中小微企業有所不同。451 Research的分析師Daniel Kennedy表示,大約三成員工數在1,000人以下的公司,以及四成有超過1,000名員工的組織已經啟用了安全托管服務。
451 Research的數據顯示,有相對豐富信息安全資源的大型企業傾向于使用入侵管理和SIEM這類安全運維功能。許多大型企業同樣會使用MSSP實現像MDR的事件響應服務。
而小型組織,一般會用MSSP賦予一些基礎設施相關的能力,比如端點安全;還有的時候,供應商相比提供安全聚合能力,更多的是提供一種替代IT服務的能力。中小型企業的動機更多是降低安全成本,同時確保覆蓋基礎的安全需求。
Forrester發現,當使用方式恰當的時候,一個有能力的MSSP可以幫助組織提升整體的防護質量,并且幫助客戶聚合本地的能力和技術——尤其是在一些深度技能缺乏的領域。“在中小型企業,MSSP的ROI經常是來自于在成本無法完全覆蓋招聘、雇傭和維持一個24/7的SOC團隊的時候,能夠獲得的安全回報。”AT&T的網絡空間安全銷售VP,Marcus Bragg認為,“而在大型組織,MSSP的使用能夠讓現有的企業安全人員專注于更有戰略性的、有影響力的安全工作。”
但是得到這樣的ROI會讓那些不清楚自己到底能得到什么的組織無法滿意。Forrester的調研顯示,當CISO們對他們自身的能力和項目有清楚的認知,并且對供應商有特別的要求的時候,才能有最好的MSSP結果。在這樣的合作關系中,正確的期望會被提前表明,然后逐漸去實現。
MSP VS. MSSP
MSP(managed service provider,管理服務供應商)一般提供主要的IT托管服務。但是,根據Datto的全球MSP報告顯示,隨著勒索軟件和其他威脅的出現,幾乎所有(99%)的MSP都會提供一些安全服務。
不過,在考慮MSP的時候需要多一個心眼,因為他們的安全能力可能很有限。Datto的報告顯示,雖然大部分的MSP都會提供像端點服務那樣的基礎防護,但是只有66%的MSP會提供基礎的防火墻能力,68%的MSP會提供雙因子認證能力。遠程準入技術和移動設備管理提供率甚至都在63%以下。
同樣需要思考一下MSP如何獲得他們的安全能力的:大部分都是外包的。Datto的調研顯示,67%的MSP使用合作管理的安全工具,61%的MSP和MSSP合作,只有51%的MSP有自己內部的安全人才。
MSSP最大的六個風險
如果希望MSSP得到成功,還需要考慮以下六個潛在的威脅:
1. 沒有評估自身的安全強項與弱點
“和MSSP合作的最大問題,出在選擇了一個無法和自己能力形成互補,或者聚合的供應商。”Pollard表示。組織需要先知道自己的能力,然后才能選擇真正能幫助企業彌補缺口的MSSP。同樣,他們也需要評估MSSP本身的強項與弱點,來確保能否滿足自己的需求。
Pollard認為,當真正需要的是事件響應與溯源取證能力的時候,選擇一個在設備和技術管理上能力很強的MSSP毫無用處。
2. 預設供應商知道自己的內部系統如何運作的
IDC的分析師Pete Lindstrom認為,有時候,企業會犯過于依賴MSSP能夠理解自己內部IT環境以及運作原理的錯誤。這包括了辦公室文化,以及理解各種系統面臨的風險。“如果企業不管理好流程、進行風險評估、以及主動檢查已完成的工作,就有可能會把事情搞砸。”
舉例而言,MSSP很可能并不了解一些用于支持IT項目的新系統或者架構。“這就需要安全人員完全告訴他們(MSSP),并且在合同中集成任何監測要求。”Lindstrom說到。
Bragg額外表示,在引入MSSP的時候不包括IT團隊,同樣是一個錯誤。常見的一個問題,在于MSSP缺乏關鍵系統或者個人的準入權限與信息,導致MSSP無法快速響應,降低了在MSSP在服務周期中的可視化能力。
3. 對信息不對稱毫無準備
企業通常使用MSSP來做一些他們自己本身技能缺乏的任務。但是從451 Research的Kennedy看來,這反而意味著企業沒有能力確定他們購買的服務是否履行了合同中的要求。他指出,有一次一個客戶花錢購買了安全監測服務,但實際上MSSP完全沒有進行監測。
那個客戶感覺到一些不對勁的地方,但是卻無法靠自身發現到底發生了什么或者發生到什么地步了。“當企業和專家進行簽訂協議的時候,會有信息不對稱的情況。某些MSP就會因此鉆空子。”Kennedy說道。
4. 不理解自己簽了些什么
Bragg表示,有時候MSSP的服務架構會讓人很難理解自己真正得到的服務體驗會如何,以及如何收費。“他們會如何監測你AWS或者Azure云服務的使用,或者監測像GSuite或者Office 365那樣的SaaS?”他問道。
他們的服務方式在過去的幾年中如何演化了?他們近期的發展路線會如何增加可視性,或者提供他們正在研發的新能力?
Bragg表示,如果企業現在有,或者即將有合規要求,那就需要讓合規團隊加入對MSSP的評估中,從而能問出一些正確的問題。
5. 有限的集成和分析
Forrester的調研顯示,MSSP經常不愿意和合同外的技術合作,導致和組織可能有的其他安全工具的集成非常有限。Forrester的報告中提到:“當需要修復安全問題的時候,大部分客戶都提及了需要微管理他們的MSSP,從而和生態中的其他IT供應商進行交互。”
除此以外,許多MSSP的告警缺乏關聯性以及嚴重性,迫使組織不得不花額外的時間再次確認他們收到的每一個告警。“誤報會進一步加大無法集成導致的挫折感。”Forrester提到。
6. 不驗證MSSP的安全實踐
最近,攻擊者已經開始針對MSSP的系統和網絡攻擊,作為跳板接入其客戶的系統中。在數個相關事件中,威脅份子利用了MSSP用的遠程管理工具中的漏洞,從而接入其客戶的系統當中。最知名的例子,是APT10組織針對全球數百個MSP的攻擊態勢。
來自一個有安全服務能力的MSP公司Continuum的安全管理產品VP,Brian Downey表示,攻擊者知道,只要能夠攻陷一個MSP,就能接入大量客戶的網絡。“MSP是攻擊者的進入點,需要以最高的安全標準進行把守。”他說到。
組織需要確保,任何和他們簽訂合作的MSP都能夠完整說明他們如何能夠降低風險。“我會試著理解他們產品資料中的選項:他們如何運用現有的專業能力、他們如何緊跟最新風險、以及他們如何及時提供響應。”Downey說到,“MSP需要就安全有一套策略。”
許多這類風險可以在供應商的評估階段就被發現。但是如果要恰當地完成,組織需要知道哪些是應該關注的。一些最有效的問題包括圍繞供應商使用的工具和流程、供應商雇傭人員的資質能力。廠商的不透明性在這里并不是件好事,包括不顯示他們的證書和案例。
Bragg表示,企業應該深入了解供應商的服務模型,弄清他們的部署和工作流程是如何生效的,以及他們會如何和企業自身的團隊每天、每周、每月溝通聯系。
企業需要確保自己了解MSSP的技術平臺,以及他們對事件響應的控制能力。“在評估周期早期,企業應該知道哪些服務是作為分開的模組或者服務包出售的,然后根據這些符合他們的安全需求。”Bragg說到。
點評
安全服務必然是一個未來的趨勢,但是需要注意的是安全托管服務并非是“安全脫手不管服務”。企業選擇MSSP的原因,是應該綜合了安全能力以及安全成本的前提下,找到最適合自己的安全能力補足方式。因此,安全托管服務本質上,應該依然是企業整體安全能力的一環,依然需要企業像對待自己其他安全產品一樣進行管理。
