什么是托管式安全服务提供商 (MSSP)?
托管式安全服务提供商 (MSSP) 专门保护组织的应用程序、设备和系统防御网络威胁。您可以聘请 MSSP 处理部分或全部的网络防护工作。如果选择这样做,您的服务提供商将根据您组织的安全需求来管理网络安全。
关于托管式安全
托管式安全是指您自己或通过第三方厂商来管理的网络防护。例如,您可以购买安全软件和硬件,并组建团队来进行管理。另一种选择是聘请 MSSP 提供远程管理的安全服务。
除了这些选项外,您还可以与多家网络安全公司合作,分别管理不同的安全运营方面。然而,请注意,这种方式可能会导致安全管理变得极其复杂和昂贵。
什么是托管式安全服务?
托管式安全服务,或称托管式网络安全服务,允许您将网络防护外包出去。他们来自第三方厂商,称为托管式安全服务提供商。
什么是托管式安全服务提供商?
根据 Gartner 的定义,托管式安全服务提供商 (MSSP) “提供对安全设备和系统的外包监控和管理”。MSSP 使用一个或多个安全运营中心 (SOC) 来提供 24/7 全天候的网络安全服务。
托管式安全服务提供商的职责
MSSP 允许您外包部分或全部网络安全功能。它提供全天候的信息安全监控和管理服务,并通过主动交付模式帮助组织侦测和应对网络攻击。
MSSP 与 MSP 的比较
所有 MSSP 都是 MSP,但并非所有 MSP 都是 MSSP。总的来说,托管式安全服务提供商专注于网络安全。相比之下,托管式服务提供商提供的 IT 服务旨在按照 SLA 保持组织系统的正常运作。
托管式安全服务的示例
日志监控和管理
通过日志监控,MSSP 收集、分析并响应来自组织应用程序和 IT 基础设施的日志数据。除了监控日志,服务提供商还会持续收集、解析、存储和分析数据。基于这些数据,服务提供商可以为组织提供有价值的见解,帮助优化网络防护。
漏洞扫描
MSSP 可以侦测组织系统中的安全漏洞。此外,服务提供商还可以帮助组织制定和执行漏洞管理计划,以防止数据丢失和泄露。
托管式侦测与响应 (MDR)
托管式侦测与响应服务由安全专家提供支持,全天候监控组织的云环境、端点和网络。这些专家会 24/7 全天候寻找并应对网络威胁。
端点侦测与响应 (EDR)
也称为端点威胁侦测与响应,EDR 让您实时监控和收集端点数据。MSSP 通常提供具备基于规则的自动响应和分析功能的 EDR 服务,这些服务能自动侦测并处理可疑活动。
扩展式侦测与响应 (XDR)
XDR 是 EDR 的进一步发展。它提供对组织数据的可见性,并对于这些数据应用分析和自动化。这样,XDR 能够迅速侦测并应对当前及新出现的网络威胁。
防火墙
如果您使用托管式防火墙服务,您的组织网络流量将会持续受到监控。MSSP 会观察和跟踪您网络流量的模式,并利用这些信息来加强您的安全状态。
此外,托管式防火墙服务还可以帮助您及时了解出现的任何安全问题。例如,如果发生了超出组织安全参数范围的安全事件,服务会向您发出警报。随后,您的 MSSP 将会处理这些问题,并采取措施防止类似问题的再次发生。
零信任网络访问 (ZTNA)
ZTNA 基于“零信任,全面验证”的原则来保护远程访问。MSSP 提供的 ZTNA 服务可以定义哪些用户被授权访问组织的应用程序、数据和系统。这些服务消除了使用虚拟专用网络 (VPN) 伴随而来的风险,因为 VPN 允许用户对组织网络上所有存储和管理的内容进行全面访问。
MSSP 的优势
获取网络安全人才
与许多全球组织一样,您的组织也面临网络安全人才短缺的问题。如果您希望引进高水平的网络安全专家,通常需要投入大量的时间、精力和资源来招聘和留住他们。通过雇佣 MSSP,您可以补充或替代内部的安全团队。
获得安全专业知识
为了防范安全事件,您需要有网络安全专业人员在团队中。MSSP 能为您的团队提供额外的安全专业知识。您可以与 MSSP 合作,获取安全建议、推荐和见解,从而最大化您的网络防护效果。MSSP 还可以与您的员工和客户合作以防御网络威胁。
24/7 全天候防护
网络罪犯会时刻保持警惕,而且会 24/7 全天候攻击组织。雇佣 MSSP 可以为您提供全天候的网络保护。即使网络攻击发生在您组织的非工作时间,您的 MSSP 都能及时识别并应对。
网络安全成熟度
许多中小型企业 (SMB) 希望获得最佳的网络防护,但往往无力聘请顶级网络安全人才或投资高端安全软件、解决方案和工具。
MSSP 可以帮助各种规模和行业的组织提升网络安全成熟度。服务提供商首先会了解组织的安全现状,并识别潜在的网络安全漏洞。随后,他们会提供所需的托管式安全服务和支持,以提高组织的网络防护水平。此外,服务提供商还会跟踪工作成果,确保组织在当前和未来都能最大化其网络安全成熟度。
定制化服务
如果您选择网络安全服务,您只能自己管理和维护这些服务。这可能会很困难,并且在您的安全服务的实施过程中,即使是一个小小的错误也可能导致网络攻击和数据泄露。
如果有了 MSSP 的支持,您可以获得专门为您的组织量身定制的安全服务。服务提供商会了解您的安全需求并制定相应的计划,提供适合的安全服务,并随着您组织的成长扩展。
拥有成本
投资托管式安全服务通常比内部管理网络安全更具成本效益。MSSP 可以按月收取固定的网络防护费用,这相比于聘请现场网络安全专家通常更为省钱。
此外,MSSP 还可以为您的安全团队和其他成员节省时间,使您能将更多资源投入到更具价值的任务中,并减少对网络防护的担忧。
合规
如果您的业务涉及金融服务、医疗保健或其他高度监管的行业,您需要根据行业标准保护数据和系统。借助 MSSP,您可以有效管理数据和系统,确保符合行业要求,并可避免可能损害品牌声誉的合规处罚。
选择 MSSP 时需要注意的事项
安全专业知识
选择能够满足您的网络安全需求的托管式安全服务提供商。例如,医院应寻找熟悉医疗数据安全要求的 MSSP,这样可以帮助医院按照 HIPAA 标准保护其数据。
成本
通常,这有助向 MSSP 取得安全评估。这能帮助您了解自身的安全需求以及所需服务。这样,您可以取得这些服务的相关费用的详情。
许多 MSSP 按数据量分层收费,若超出您的等级则需额外支付。然而,优秀的 MSSP 通常提供简单的按用户计费或其他灵活的定价方式,并且能详细解释其费用结构,让您清楚了解成本。
技术
了解 MSSP 使用何种技术来提供其托管式安全服务。优秀的 MSSP 应该能够用通俗易懂的语言解释其技术。如果您对服务提供商的技术有疑问,他们也应能提供解答。
威胁情报
MSSP 应该负责收集和分析威胁情报,并与您共享这些信息,以便您了解组织面临的网络威胁,并采取适当的应对措施。
警报通知
询问 MSSP 如何通知客户有关安全事件的情况。理想情况下,MSSP 应有明确的规则来发送安全警报,并能够与客户合作制定定制的安全警报规则。
上线 (Onboarding)
您的 MSSP 应该为在整个组织中部署服务提供一个合理的时间框架。在部署前,服务提供商会详细说明完成上线所需的步骤。这将帮助您的员工做好准备,并让大家了解整个过程的安排。
当上线过程开始时,您的 MSSP 将保持持续联系。最重要的是,服务提供商将采取措施,防止可能会给您组织、员工和客户带来风险的中断。
客户服务
理想的 MSSP 应具备积极主动的服务态度,能够在发生安全事件时及时通知您。服务提供商应确保您可以通过电话、在线或其他平台随时联系。如果您遇到安全问题,提供商应会提供 24/7 全天候的支持。
选择合适的 MSSP 的心得
- 了解 MSSP 的经验和专业知识。 安排与 MSSP 的会面,讨论您的安全需求和问题,了解他们如何帮助您防御恶意软件、勒索软件和其他网络威胁。
- 阅读 MSSP 的客户评价。 查找或要求 MSSP 提供客户评价,这些反馈可以让您了解与该服务提供商合作的第一手意见。
- 考虑 SLA 。 了解 MSSP 使用的指标、如何跟踪和测量这些指标,以及他们能提供的 SLA 目标值。
- 审查预算。 比较雇佣 MSSP 进行部分或全部网络安全管理的成本,与招聘内部网络安全人员或自行部署安全软件、硬件的费用。
- 请求概念验证 (PoC)。 进行 PoC 了解 MSSP 如何与您现有的网络安全技术协同工作。
需要第三方厂商来管理您的网络安全吗?Sophos 可以帮助
Sophos 提供全球网络安全服务。我们可以管理您的部分或全部网络防护,帮助您实现最佳的安全效果。要了解更多信息,请立即联系我们。
相关安全主题:什么是 MITRE ATT&CK 框架?