设为首页 - 加入收藏 邵阳站长网 (http://www.0739zz.com)- 国内知名站长资讯网站,提供最新最全的站长资讯,创业经验,网站建设等!
热搜: 手机 模式 视频 创始人
当前位置: 首页 > 运营中心 > 建站资源 > 策划 > 正文

怎样评估安全运营中心即服务(SOCaaS)?

发布时间:2019-05-15 04:24 所属栏目:[策划] 来源:nana
导读:需要安全运营中心(SOC)的公司企业未必负担得起相应的设备和人员开支。很多提供商都推出了安全运营中心即服务(SOCaaS)业务,该怎么衡量和选择呢? 如果你目前还没有自己的安全运营中心,那你可能正在考虑怎么样才能不自己动手就拥有相同的功能。打造公司自己

需要安全运营中心(SOC)的公司企业未必负担得起相应的设备和人员开支。很多提供商都推出了安全运营中心即服务(SOCaaS)业务,该怎么衡量和选择呢?

SOCaaS

如果你目前还没有自己的安全运营中心,那你可能正在考虑怎么样才能不自己动手就拥有相同的功能。打造公司自己的SOC可能花费不菲,如果考虑进24小时运营的员工成本,那开销就更大了。

过去几年里,托管安全服务提供商(MSSP)提出了云SOC概念,可用于监视客户的网络和计算基础设施,并提供漏洞修复和恶意软件缓解等一系列服务。我们不妨来考察一下这种SOC即服务(SOCaaS)行业的成长历程,看看他们所提供的功能,考虑如何选择适合自己特定需求的提供商。

何谓SOCaaS?

SOCaaS的定义是动态发展的,从提供基本的24小时网络监控,到全功能的威胁检测与缓解,都包含在内。这意味着每家供应商都有自己可以被标注为SOCaaS或传统MSSP的服务集。纠结于是SOCaaS还是MSSP会耗去很多不必要的时间。有时候这不过是每个首字母缩略词的定义不同,有时候这只是个理解问题,有时候要归结到具体的产品和服务上,还有时候跟供应商的出身有关。

SOCaaS的定义问题部分源于供应商来自于专注不同安全领域的行业。有些是从托管安全事件承包商(AlertLogic)起家,有些则是托管检测承包商(Network Technology Partners)或托管终端安全供应商(赛门铁克和Trustwave)。有些开发了自己的SOC类控制端以管理自身产品,然后将其改为更加通用的工具,可以连接更多的应用。有些则脱胎自大型计算机制造商(IBM、戴尔和惠普)的服务部门。

还有的从运营自己的托管网络运营中心(NOC)开始,然后拓展至安全领域。托管NOC和托管SOC之间有何区别?前者更关注保障数据包在网络管线中顺畅流通。后者则几乎只关心你是否在用正确的管线和正确的数据包。二者所用的工具集也完全不一样:网络延迟 vs. 吞掉CPU的处理过程。关键点就在于他们提供的到底是什么服务?他们监视的是什么?他们的东西如何与你现有的服务器和网络基础设施相互操作?

采用SOCaaS的目标是要拥有能够警示数据泄露或其他安全事件的设备,让你不用构建自己的SOC,也不用雇佣高端技术人才来运营防护性安全设备。理想状况下,供应商应该能够及时 (及时程度与其服务水平协议有关) 发现事件,并做出必要的修正以缓解威胁。

Gartner在2018年2月发布的托管安全服务报告包含了SOCaaS类事务,比如安全事件监视、网络层威胁监视与检测、日志分析、漏洞扫描及事件响应——所有这些的交付形式都是来自中央SOC类实体的托管服务。这还只是此类事务中最基础的部分,然而需要管理的工具集已然很庞大了。该报告列出了17家全球提供商,包括AT&T/AlienVault、英国电信(BT)、Century Link 和NTT,全都是电信公司,也就是最了解如何保障全球大型网络基础设施随时在线的那些供应商。

如果你的公司员工和服务器遍布多个大洲,那上述大型电信公司理应耳熟能详。如果你的公司规模较小,那你可能想要采用专精于SOCaaS的几十家供应商中的一家,比如说ArcticWolf、RadarServices或DigitalHands。

怎样评估SOCaaS?

SOCaaS评估中最令人沮丧的部分或许是算出自己到底该付出什么或者多少钱 。考虑到云服务的本质,定价模型从一开始就很复杂,而且在这个市场板块中会变的更加晦涩难懂。

AlertLogic是为数不多的几家有着明确定价页面的供应商之一,有每月花费从550美元到4,500美元不等的三个定价层次。但其他供应商就没那么乐于提供定价信息了。

目前来看,Network Technology Partners和AccountabilIT的起步价都很低,最基础的服务定价分别为每月1,500美元和每月1,600美元,且价格随客户添加的需监视资产数量及网络流量规模的增加而升高。绝大多数情况下,其他供应商要么对自己的定价含糊其辞,要么对定价问题特别敏感。很多供应商只向愿意签署保密协议的潜在客户提供定价信息。很明显SOCaaS的价格需要更加透明。

SOCaaS

还有个问题是你可能不清楚自己有多少服务器、终端和应用是需要保护、监视,或者说放到SOCaaS供应商手下的。很多公司会从概念验证开始,先把少数终端交托SOCaaS以观察其运作机制和SOC捕获的流量内容,然后再扩展至较大范围的部署。

接下来。公司SOC的地理位置分布有多重要呢?有些供应商专注于一个中心SOC。 其他供应商则在不同大洲都有部署,实现全天候全时段运作或充分利用互联网连接的便利。Network Technology Partners 在距离其圣路易斯总部几小时远的地方部署有第二个SOC,因为他们可以在那里更方便地招聘到所需的技术人才。Bolton Labs 专注亚洲市场,所以其3个SOC全都部署在亚洲。

供应商的秘诀都是什么呢?了解每家供应商的不同出身背景,有助于理解他们在你遭受宕机或数据泄露时用于监视、修复和向你报警的技术。有些供应商聚合了一系列开源工具,但撰写了自己的专利控制面板,供用户查看这些工具的性能和安全状况。有些供应商则开发了自己用于威胁追捕或其他任务的工具包。AccountabillIT是AlienVault的技术转包商,这就又是另一种模式了。

向SOCaaS提供商提问

编辑征求意见书(RFP)或调查问卷的时候,下面几个问题可供参考。

1. 所提供的功能与纯监视服务方法有何不同?

这个问题的答案有助于你辨别各家供应商的细微差别,优中选优。AlertLogic从SIEM开始,然后逐步添加基于其自有全球遥测和威胁监视项目的其他防护性技术。你可能想从纯MSSP开始,看看自己的体验情况,然后再决定是否转向完全的SOCaaS。

2. 支持多少遗留SIEM及服务桌面系统?

有些供应商希望你转向他们的现场解决方案。其他供应商(比如DigitalHands.com)为你的遗留系统提供更广泛的支持,而有些(比如 Network Technology Partners )有自己的API集供客户或自己编写程序用。

3. 客户需要在自家公司安装什么代理和服务器?

【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

网友评论
推荐文章