将安全策略和日常运营交给托管安全服务提供商可以解放IT资源
Phenix Energy Group,一家原油管道运营和建设公司,正准备在数月间将其IT基础设施从无到有建设起来。为启动其酝酿数年之久的管道工程,该公司计划将其相对较小的办公室环境,扩建成具备75台服务器,250TB存储能力的数据中心。因此,以前从未列入高优先级列表的安全问题,瞬间就凸显了出来。
鉴于其高风险性——系统宕机会导致每小时100万美元的损失,该公司CIO兼COO布鲁斯·佩林花了5年时间研究各种方案。虽然想要作为内部数据中心的一部分自己运营安全管理,但佩林开始有点倾向于外包该功能了,因为他没时间在管道上线前的区区几个月里,配齐一个专门的信息安全部门。
评估IT安全增值转销商和安全托管服务提供商(MSSP)时,佩林说:“项目巨大。没人能在90天里搞定这种IT部署。除了外包我别无选择——我得引入能提供所需安全级别并帮助我们部署IT的人,最终目标是将所有东西都纳入掌控。”
为什么外包安全有意义
鉴于如今越来越多的数据泄露和对风险的愈趋重视,就像 Phenix Energy Group,很多中小企业都倾向于安全和日常运营的外包模式。近期,一份针对287名美国IT和业务人员进行的调查显示,56%的受访者称自己的公司招募外部顾问帮助设立信息安全策略,40%称公司正转向MSSP。
外包服务
根据调查,最常被外包的职能包括:渗透测试/威胁评估(称转向顾问和MSSP的190位受访者中有70%提到此条),垃圾邮件过滤(46%提到),威胁情报(40%),日志监视(34%),反DDoS/Web应用防火墙防护(27%),业务连续性与灾难恢复(26%),意识培训(22%)。
哪些安全服务会选择外包
专家认为,外包安全职能之所以对中小公司特别有吸引力,是因为他们的资源通常已经被瓜分得十分稀薄,大多缺乏足以履行安全职能的足够带宽。较小的公司也不太可能有人具备专门的安全技能,专注于在不断更新的安全态势中保持领先。
其他迫使公司企业转向外包安全的发展因素包括:恶意黑客的增加,以及企业安全产品的大量出现。两种趋势都让小公司难以管理安全。
不可避免的结论就是:因为没有带宽,因为跟不上,公司企业将越来越依靠MSSP来管理安全。省下的时间就是外包的主要益处,远比成本节省在优势列表上的排名要高。
外包:不是非此即彼的命题
多家中型企业里履行过CIO职能的布兰登·奥马利称,外包或托管服务模型行之有效——因为通常除了CIO就没别人专职安全了,这让公司面临风险。只要切分给几个人,安全就能被搞定;但中小企业里因为除了CIO就没别人负责,要取得进展非常困难,想掌握安全态势也十分不易。绝对需要取得一定程度上的外部支援。
谁要为数据泄露负责
对黑鹰社区信用合作社而言,从MSSP之类外部提供商获得援手,不仅仅能卸下一些安全重担,同时还意味着该公司拥有了全天候的专业安全保障。黑鹰IT副总裁就称,其手下8人团队不可能提供此类服务,因为他们必须处理超过150名用户的全部IT问题,包括安全。
不过,该合作社并没有全权交给MSSP,而是采取三管齐下的方法:自己制定安全策略,招募顾问履行特定职能(如定期防火墙审查),依靠其MSSP( Dell SecureWorks )担负主要安全运营——比如管理防火墙和入侵防护系统之类。
黑鹰IT副总裁称:“他们可以基于所有客户及其反馈看清全球趋势,这给我增加了信心,让我不用整夜担心网络。如果他们看到什么异常,他们会通知我。”
警报过程,就是外包会给小公司带来麻烦的地方,潜在的复杂性也会削弱采用MSSP的价值。虽然外包日志监视和防火墙管理给第三方,能引入对潜在问题的可见性,但因为第三方缺乏对公司内部运作及其典型用户行为的理解,外包商也可能会难以区分真正的安全问题和单纯的噪音。
外包商需要帮助
为抽取外包安全服务的最大价值,公司企业需要设置好流程和信道,以便能够向MSSP提供输入,让他们掌握正确的警报评估上下文。此外,与服务提供商合作的公司企业,还应准备好发现并解决更多的事件,因为在检测可疑活动方面,MSSP通常会比内部员工表现良好。
MSSP从客户间获取的可见性很多,并能使之各自相关,但他们所不知道的,是特定公司的特殊事务——微观宏观问题,或者说,那个业务部门最敏感的问题。公司内部需要有人来充当联络官的角色。
谨慎选择
但联络官的工作可能相当耗时间。可以问问维斯·法里斯。他是哈里斯精神健康与碘缺乏病中心信息安全官兼MSSP联络官。他案头的工作太多了,以致他只能花有限的时间与MSSP合作微调日志监视和警报,以反映其用户和公司的工作习惯。
“为从此项服务中获得更多价值,我们应该主动调整,但我却没有时间。这是个全职工作。中心负担不起另外雇佣全职员工专心联络员工作。”
就像与任何供应商的关系一样,管理你的MSSP,让它履职尽责,是非常重要的。最好选择在你的特定行业具备专门知识的合作伙伴。鉴于IT安全的重要性,以及即便适应不良也很难更换提供商的现实,做好尽职审查以选对服务提供商就显得特别关键了。
一旦签订托管服务合同来监视成百上千的设备,剥离更换服务提供商就没那么简单了。你得确保那就是你想用的公司,他们的工具集丰富多样,他们的员工值得信赖。
