在沉寂了一年之后,Gartner于2014年2月份发布了一份《Magic Quadrant for Globle MSSPs》(全球MSSP幻方图)的报告。这次Gartner将北美和欧洲、亚太的MSS
.
在沉寂了一年之后,Gartner于2014年2月份发布了一份《Magic Quadrant for Globle MSSPs》(全球MSSP幻方图)的报告。这次Gartner将北美和欧洲、亚太的MSSP分析合并成了一个全球报告。
报告显示,第一象限的三强是Dell、Verizon和IBM,原先的三强之一Symantec被IBM替代,这也间接体现了近期两个公司安全营收的走势。
报告指出,2013年全球安全外包市场达到120亿美元,并预测到2017年的年均复合增长率在15.4%。
Gartner一贯的MSS定义是:通过远程的安全运营中心(SOC)而非驻场人员提供的一种对IT安全功能进行远程监控和管理的服务。这就是说,Gartner的MSS不包括人员外包、资讯、开发与集成服务。通俗地讲,Gartner给出了一个狭义(严格)的MSS定义,仅指在局端通过SOC对客户端的IT安全进行监控和管理,不包括驻场服务、外包服务、安全咨询服务、定制开发服务。这个定义跟Forrester的定义是不同的,需要注意。
我们来看看几个重要的MSSP的SOC情况。
AT&T的SOC是自研和外购商业产品的结合体;
BT的SOC采用自研开发的技术建设;
CSC的SOC:SIEM是买的成熟产品,然后在上面自研包装了一层;
DELL SecureWorks的SOC:自有技术;
HP的SOC:用到了Arcsight,以及一些自己的运维管理软件,还有一些定制开发;
IBM的SOC:主要是自研技术,有些服务用到了QRadar;
Orange的SOC:自研和购买SIEM相结合;
Symantec的SOC:自研技术为主,辅以商业SIEM,并且工作流运维管理采用商业产品;
Trustwave:自有技术,他们2010年并购了SIEM厂商Intellitectics;
Verizon:自有技术为主,工作流运维这部分用到了商业产品;
Gartner的MSS服务类型包括:【对比2011年的】
1)FW和IPS的监控与管理;
2)IDS的监控与管理;
3)抗DDoS
4)安全消息网关(安全内容网关)管理;
5)安全WEB网关的管理;
6)SIEM;
7)网络、服务器、应用和数据库的弱点扫描;
8)安全漏洞和威胁通知服务;
9)日志管理与分析;
10)与被监控或管理的设备,以及突发事件响应相关的报告(通报)服务
在MSS服务方式(模式)上,Gartner分为:
1)对客户的边界安全设备进行监控与管理,这些边界安全安全设备最典型地包含FW,IDP,UTM,NGFW,WAF。这些设备可以是客户自己的,也可能是MSSP的CPE设备(租借的)。
2)对客户的IT基础设施(包括服务器、应用、网络设备、安全设备)进行监控与管理,尤其是日志监控、分析与管理,例如对客户自有的SIEM进行远程监控与管理服务,当然也可能是在客户端部署SIEM CPE设施。
3)纯粹通过云和SaaS模式来为客户提供服务,典型的服务例如抗D,邮件安全,WEB过滤,漏扫,基于网络的FW和IDP等。这种模式下,即不需要客户部署CPE设施,也无需客户自购相关安全设施,而只要给MSS开放相关的配置和线路,例如DNS配置、路由设置、某些基础设施的访问控制权限等。
个人觉得Gartner的这种“划分”有些乱,还不够明晰,上面的划分也不是Gartner的一个确切划分。因此,结合我的理解,我对MSS模式的划分如下:
模式1)对客户现有IT安全机制的远程监控与管理服务:客户已经购买了IT安全设施,但是自己用不起来/用不好,这时让MSSP远程地对这些自有投资进行安全运维;
模式2)在客户处部署IT安全机制,并在远程对其进行监控和管理:客户直接购买服务,无需自己建设某种IT安全机制,而以租借或者干脆全部打包到服务费中的形式部署MSSP提供的IT安全机制(即CPE设施),并让MSSP远程对这些IT安全机制进行安全运维;
模式3)Cloud和SaaS模式:这种模式下,即不需要客户部署CPE设施,也无需客户自购相关安全设施,而只要给MSS开放相关的配置和线路,例如DNS配置、路由设置、某些基础设施的访问控制权限等。
模式3是当前最流行的模式。尤其是在国内,按理说,模式1和模式2是国际上最经典的和成熟,但是国内反而做不起来,倒是模式3在国内做的相对更多,也更好。
谈到国内的MSS,目前新兴的都是以模式3为主导的,正好也跟当下的云安全、SaaS、SECaaS等合拍,很吸引眼球和投资人的青睐。例如安全宝、知道创宇都在开展模式3类型的服务,这种模式也可以算作是美国的舶来品,但是在中国貌似还比较受SMB的青睐。接着,BAT也借着自己在云方面的深厚实力介入这块MSS市场。
诚然,模式3对客户来说是容易理解和实施的,尤其是针对SMB客户,它相当于将企业和组织的部分安全基础设施外包给MSSP,注意不是服务外包,而是安全基础设施外包。譬如,很多模式3类的服务(例如抗D、流量检测等)场景下,客户的网络出口流量(进和出)都被引导到MSSP(这时也可以叫SECaaS)那里去了。如果我们将模式1和模式2理解为带外管理(OOB)的话,那么模式3就是带内管理(IB)。
进一步地,模式3不是万能的,只对某些安全机制有效,即只能对某些安全能力采取这种模式。此外,由于基础设施已经外包给MSSP了,那么受MSSP的限制(控制)程度就很高,因为是带内管理模式,如果MSSP出现问题,例如宕机了,那么不仅仅是说客户的安全没法保障了,更麻烦的是客户的业务要中断了。尽管有些方法可以缓解这种风险,但终归比模式1和模式2要危险些。典型的例子就是美国的cloudflare的服务中断事件,足够引起安全宝警惕。
再就是模式3的客户,一般都是SMB,LE和关键基础设施运营客户则会特别谨慎。
最后,要做好模式3,需要较大的安全基础设施投资,以及网络带宽投资,还要分布全球/全国的节点。这时,很多SECaaS会寻求在网络基础设施这块有实力的合作伙伴。
回过头来看模式1和模式2,国内开展的的确比较艰苦,一如我以前博文中经常提及的那样,作为MSSP的主流业务,在中国有些水土不服。这两种模式一般都是专业的安全厂商在做,例如启明星辰、绿盟和天融信。
启明星辰是有一个专门的M2S部门来承担这个MSS的工作,方式主要就是模式1和模式2;
绿盟近几年一直在投资建设一个“安全云管理平台”,方式重点就是模式1,且限于自有品牌的安全设施;
天融信也一直在尝试MSS,方式也集中在模式1和模式2上,然后还在借助合作伙伴的力量。
最后还要提一下360,他们目前在三种模式上都在探索,尚未有明确地方向。
BTW,更多国内厂商MSS方面的详细分析不便在博客上公开,各位同好如果感兴趣,欢迎交流沟通,分享信息。
必须看到,不论哪种模式,目前都不敢说在国内做到如何如何的成绩了,都在试水阶段,这种国内的现实环境密切相关。包括前面说道的模式3,貌似很火,其实也还是在烧钱阶段。能否成功,还有待观察。一方面,我们要根据国情寻找自己的创新模式,一方面,也要促进客户自身认知的提升。
【参考】
Gartner:2012年北美MSS市场分析
Gartner:2011年北美MSS市场分析
Forrester: 2012年北美MSS市场分析报告
Frost:全球MSSP市场分析
.