內(nèi)部SOC：完全控制權(quán)與長(zhǎng)期承諾

建立內(nèi)部SOC可以讓組織對(duì)安全運(yùn)營擁有無與倫比的控制權(quán)。這種模式需要雇傭?qū)ｉT的團(tuán)隊(duì)、投資尖端工具，并根據(jù)您獨(dú)特的業(yè)務(wù)環(huán)境開發(fā)定制流程。

優(yōu)勢(shì)

組織背景：內(nèi)部團(tuán)隊(duì)比任何外部人員都更了解組織的系統(tǒng)、人員和工作流程。這可以縮短響應(yīng)時(shí)間，并實(shí)現(xiàn)精準(zhǔn)補(bǔ)救；

定制化：通過完全控制，可以創(chuàng)建與組織目標(biāo)保持一致的量身定制安全協(xié)議；

數(shù)據(jù)所有權(quán)：敏感數(shù)據(jù)完全保留在組織內(nèi)部，消除了第三方訪問的顧慮。

挑戰(zhàn)

成本：財(cái)務(wù)負(fù)擔(dān)巨大：招聘技術(shù)人才、維護(hù)技術(shù)和提供持續(xù)培訓(xùn)都是昂貴的；

人才留任：網(wǎng)絡(luò)安全專業(yè)人員需求旺盛，工作壓力也是一個(gè)真實(shí)威脅。關(guān)鍵員工流失可能會(huì)中斷運(yùn)營；

可擴(kuò)展性：隨著組織的發(fā)展，您的SOC必須相應(yīng)擴(kuò)大規(guī)模，這可能成本高昂且復(fù)雜。

長(zhǎng)期視角

雖然前期成本很高，但內(nèi)部SOC隨著時(shí)間的推移可以成為一種戰(zhàn)略資產(chǎn)，提供對(duì)組織安全態(tài)勢(shì)的深入了解，并實(shí)現(xiàn)更精準(zhǔn)的威脅管理。然而，組織需要為持續(xù)投資做好準(zhǔn)備，以跟上不斷演變的網(wǎng)絡(luò)威脅。

MSSP：外包專業(yè)知識(shí)，內(nèi)置靈活性

對(duì)于尋求更簡(jiǎn)單、資源需求較低的解決方案的組織來說，將安全運(yùn)營外包給MSSP可能是一種很有吸引力的選擇。MSSP服務(wù)提供24/7監(jiān)控、事件響應(yīng)和先進(jìn)工具的使用權(quán)限，通常前期成本較低。

優(yōu)勢(shì)

按需的專業(yè)知識(shí)：MSSP帶來專業(yè)知識(shí)和尖端技術(shù)，通常包括SOC即服務(wù)(SOC-as-a-Service)能力；

經(jīng)濟(jì)高效：托管SOC定價(jià)通常更可預(yù)測(cè)，并提供與組織的預(yù)算相符的靈活模式；

可擴(kuò)展性：隨著組織的安全需求發(fā)展，MSSP可以調(diào)整其服務(wù)以滿足需求。

挑戰(zhàn)

缺乏背景知識(shí)：MSSP可能難以完全理解組織的獨(dú)特環(huán)境，從而延緩事件響應(yīng)；

依賴性：過度依賴第三方意味著在關(guān)鍵安全決策上失去一些控制權(quán)；

工單過載：一些MSSP更像是"工單安全服務(wù)提供商"(TSSP)，讓您的內(nèi)部團(tuán)隊(duì)來關(guān)閉工單，而不是直接解決問題。

長(zhǎng)期視角

雖然MSSP可以迅速增強(qiáng)組織的安全能力，但其有效性取決于良好的協(xié)作。如果缺乏明確的溝通和明確的授權(quán)，組織可能會(huì)在安全態(tài)勢(shì)中留下漏洞。

成本影響

在MSSP與SOC的辯論中，成本考慮仍然是一個(gè)重要因素。根據(jù)Ponemon的一項(xiàng)研究，運(yùn)營內(nèi)部SOC的年均成本約為284萬美元，而外包給MSSP的年均成本約為142萬美元。這一巨大的成本差異使得MSSP成為那些尋求全面安全解決方案但又不想承擔(dān)維護(hù)內(nèi)部團(tuán)隊(duì)財(cái)務(wù)負(fù)擔(dān)的組織的一個(gè)有吸引力的選擇。

社區(qū)觀點(diǎn)

網(wǎng)絡(luò)安全專業(yè)人員社區(qū)中對(duì)于選擇內(nèi)部安全運(yùn)營中心(SOC)還是外包托管安全運(yùn)營存在不同觀點(diǎn)。一位擁有建立和管理SOC經(jīng)驗(yàn)的專業(yè)人員表達(dá)了明確的偏好："除非您的組織規(guī)模真的很大很復(fù)雜，否則您應(yīng)當(dāng)100%選擇MSSP。安全運(yùn)營需要太多資源從頭開始構(gòu)建。"

另一方面，MSSP通常具有獨(dú)特的優(yōu)勢(shì)：他們的團(tuán)隊(duì)習(xí)慣于處理來自多個(gè)客戶的不同且復(fù)雜的安全環(huán)境。這種經(jīng)驗(yàn)要求MSSP保持更廣泛的技能組合，使他們能夠有效管理各種威脅和合規(guī)需求。然而，這也意味著他們的團(tuán)隊(duì)面臨著巨大的工作量，可能會(huì)影響他們提供個(gè)性化關(guān)注的能力。

這些不同觀點(diǎn)凸顯了組織在決定建立內(nèi)部SOC還是外包托管安全服務(wù)時(shí)，需要權(quán)衡內(nèi)部能力、風(fēng)險(xiǎn)偏好和長(zhǎng)期目標(biāo)的必要性。這兩種選擇都有獨(dú)特的優(yōu)勢(shì)，但正確的選擇取決于將您的安全方法與組織需求保持一致。

市場(chǎng)增長(zhǎng)與采用

托管安全服務(wù)市場(chǎng)正在經(jīng)歷顯著增長(zhǎng)。2022年，該市場(chǎng)價(jià)值272億美元，預(yù)計(jì)從2023年開始將以15.4%的復(fù)合年增長(zhǎng)率增長(zhǎng)。這種擴(kuò)張反映了組織將安全運(yùn)營外包的日益增長(zhǎng)的趨勢(shì)，這是由網(wǎng)絡(luò)威脅日益復(fù)雜和對(duì)專業(yè)知識(shí)需求增加所驅(qū)動(dòng)的。

合規(guī)考量：不容忽視的因素

對(duì)于醫(yī)療、金融和能源等行業(yè)，合規(guī)要求既嚴(yán)格又無法回避，在內(nèi)部SOC和MSSP之間做出選擇會(huì)對(duì)合規(guī)性和運(yùn)營彈性產(chǎn)生重大影響。

1.審計(jì)準(zhǔn)備：選擇內(nèi)部SOC的理由

內(nèi)部SOC可以對(duì)日志、報(bào)告和事件數(shù)據(jù)進(jìn)行細(xì)致控制，這對(duì)合規(guī)審計(jì)至關(guān)重要：

• 量身定制報(bào)告：內(nèi)部團(tuán)隊(duì)可以精確地將報(bào)告與HIPAA、PCI DSS或SOX等標(biāo)準(zhǔn)保持一致，簡(jiǎn)化審計(jì)流程。
• 主動(dòng)文檔化：熟悉組織自身的系統(tǒng)可以讓團(tuán)隊(duì)記錄并預(yù)測(cè)潛在的合規(guī)差距。
• 實(shí)時(shí)訪問：通過直接控制，審計(jì)員可以快速訪問詳細(xì)的日志和證據(jù)，確保審計(jì)順利進(jìn)行。

2.防范第三方風(fēng)險(xiǎn)

雖然MSSP提供專業(yè)知識(shí)，但它們也帶來了第三方風(fēng)險(xiǎn)，因此在選擇MSSP服務(wù)時(shí)，要做好以下幾點(diǎn)：

• 盡職調(diào)查：必須徹底審查，以確保MSSP符合相關(guān)標(biāo)準(zhǔn)和認(rèn)證，如ISO 27001或SOC 2；
• 處理好數(shù)據(jù)主權(quán)問題：對(duì)于有嚴(yán)格本地化規(guī)則的行業(yè)，MSSP必須遵守法律數(shù)據(jù)處理要求；
• 建立共同責(zé)任模型：明確定義合規(guī)責(zé)任的合同對(duì)于避免審計(jì)差距至關(guān)重要。

 兩全其美可以嗎?

對(duì)于許多組織來說，混合方法達(dá)到了完美平衡。通過結(jié)合內(nèi)部專業(yè)知識(shí)和外包支持，組織可以量身定制網(wǎng)絡(luò)安全運(yùn)營以滿足特定需求。例如：

• 將低級(jí)任務(wù)外包：使用MSSP進(jìn)行例行監(jiān)控，同時(shí)將戰(zhàn)略決策保留在內(nèi)部；
• 專門的專業(yè)知識(shí)：與MSSP合作，獲取威脅情報(bào)或合規(guī)報(bào)告等利基領(lǐng)域的支持；
• 按需分配資源：在大型項(xiàng)目或?qū)徲?jì)上利用第三方顧問。

混合模式成功的關(guān)鍵在于明確劃分職責(zé)，并與您的MSSP建立牢固的合作伙伴關(guān)系。 

MSSP的第三方風(fēng)險(xiǎn)

雖然MSSP提供專業(yè)知識(shí)和靈活性，但它們也帶來了第三方風(fēng)險(xiǎn)。如果管理不當(dāng)，后果可能是災(zāi)難性的。

一個(gè)典型的案例是2020年的SolarWinds網(wǎng)絡(luò)攻擊事件。黑客入侵了SolarWinds的Orion軟件，而許多MSSP都使用該軟件來監(jiān)控客戶的網(wǎng)絡(luò)。這些依賴Orion平臺(tái)進(jìn)行安全監(jiān)控的MSSP在不知情的情況下將漏洞傳播給了客戶，暴露了敏感系統(tǒng)和數(shù)據(jù)。本應(yīng)是一種安全解決方案，卻成為了完美的攻擊媒介。

這一事件凸顯了過度依賴第三方服務(wù)提供商(尤其是那些對(duì)組織的系統(tǒng)擁有深度訪問權(quán)限的提供商)可能會(huì)帶來的重大漏洞?？梢?，徹底審查、持續(xù)監(jiān)控和明確合同協(xié)議以降低此類風(fēng)險(xiǎn)非常重要。在選擇MSSP時(shí)，確保它們滿足所有必要的合規(guī)標(biāo)準(zhǔn)是至關(guān)重要的。

技術(shù)在決策中的作用

技術(shù)是SOC即服務(wù)與MSSP之爭(zhēng)中的大平衡器。對(duì)于內(nèi)部SOC，人工智能驅(qū)動(dòng)的威脅檢測(cè)和自動(dòng)化工作流等先進(jìn)工具可以使小型團(tuán)隊(duì)高效運(yùn)轉(zhuǎn)。挑戰(zhàn)在于確保持續(xù)投資，跟上不斷出現(xiàn)的新威脅。

MSSP利用其規(guī)模為各種規(guī)模的客戶提供企業(yè)級(jí)技術(shù)，如擴(kuò)展檢測(cè)和響應(yīng)(XDR)平臺(tái)。但是，這種共享基礎(chǔ)設(shè)施可能會(huì)限制定制化。無論組織選擇哪種模式，正確的工具都可以彌補(bǔ)專業(yè)知識(shí)差距，簡(jiǎn)化運(yùn)營，確保合規(guī)性和敏捷性。

選擇時(shí)需要問的問題

• 組織是否有資源自行管理合規(guī)性，還是通過MSSP的專業(yè)知識(shí)可以減輕負(fù)擔(dān)?
• MSSP能否證明在組織所在行業(yè)擁有合規(guī)的良好記錄?
• 將如何降低第三方風(fēng)險(xiǎn)，可以實(shí)施哪些合同保障措施?
• 組織將保留對(duì)合規(guī)數(shù)據(jù)和報(bào)告的多大程度的可見性?
• MSSP的方法對(duì)于不斷變化的法規(guī)有多大適應(yīng)性?
• 針對(duì)合規(guī)相關(guān)問題或?qū)徲?jì)，響應(yīng)時(shí)間是多久?
• 對(duì)組織來說，不合規(guī)的成本是多少?
• 在合規(guī)關(guān)鍵場(chǎng)景下，MSSP將如何處理事件管理?
• MSSP是否利用自動(dòng)化工具來簡(jiǎn)化合規(guī)流程?
• MSSP將如何支持與您的運(yùn)營相關(guān)的特定框架或標(biāo)準(zhǔn)?