安全服务的发展

整体而言，安全服务的变化要慢于安全产品的变化，但是这几年也有一些显著的变化，例如MDR服务的兴起。传统的安全服务，总体来讲就是MSS服务，就是可托管的安全服务。这类服务目前依然占比较大。安全产品部署完成之后，接下来就是如何运营，如何产生价值。尤其是安全产品的专业性要求更高，各个客户在后期需要更多的安全服务，比如怎么响应高级的威胁等。笔者就从国际上两个最大的服务类型和国内安全服务现状来介绍安全服务的相关内容。

Gartner对MSS（Managed Security Services）服务的定义是：

• 7*24小时远程监控安全事件及相关安全数据源；

• 管理和控制安全相关的技术和产品；

• 交付的安全运营能力主要是远程的SOC服务，并不是通过驻场或者远程的一对一的安全服务。

MSS的核心服务内容是对安全事件的监控和安全事件的响应以及合规方面的报告。除此之外还可能包括以下方面的内容：

• 安全设备和技术的管理，包括防火墙、入侵检测系统（IPDS）、终端管理（EPP）、EDR、安全应用网关（SWG）、安全邮件网关（SEG）等；

• 事件响应服务（包括远程服务和现场服务）；

• 漏洞评估和漏洞管理服务；

• 威胁情报服务；

• MDR服务。

根据目前最新的统计数据来看，2019年，全球MSS服务的总体营收在115亿美元左右，增长率为7.5%。按照这个增长率来看，2020年估计在120亿美元以上，2021年大概在130亿美元左右。前五大厂商基本没有变化，IBM、AT&T、Atos、Secureworks、DXC和Verizon等前六大MSS厂商总占比为22.7%。

可以看出来大部分头部厂商，要么有SOC类服务，要么是以运营商为基础。尤其是前五大厂商，基本位置不变，是有其基本的壁垒的或者基本客户群体。不过中部的厂商有一些变化，尤其是并购导致的相关变动，比如博通收购了赛门铁克的服务部门转手给了埃森哲。

服务类型方面也有了一些新的变化，包括MDR服务、威胁狩猎、IoT/OT的监控、以及使用CASB产品进行SaaS监控。前两者对于安全服务有更高的要求，后两者主要针对于基础设施的变化而新增的服务类型。服务需求的提升大部分是跟产品供应商是一体的。服务内容的需求大部分情况是企业面对的数据源和安全工具更加复杂而高级安全人员短缺之间的矛盾导致的。EDR和NDR的产品厂商也是逐渐进入安全服务市场，逐渐成为新的MSSP和MDR厂商。尤其是EDR厂商，之前这些厂商并没有MDR的能力。在OT和IoT领域也有一个很大的增长，因为只有一小部分厂商能在这个领域提供这个能力，有一个高于市场的增幅。下面是对头部安全服务厂商（MSSP）的简要分析。

作为全球最大的安全服务厂商，IBM主要把精力放在X-Force的威胁情报服务上，并借由它的SIEM系统、SOAR以及第三方的EDR工具等提供检测、分析、自动化响应等服务内容。IBM的分析和运营平台为了增强用户体验和服务内容，增加了QRadar的UBA、Advisor和Resilient服务。

AlienVault被AT&T收购之后，完善了整个产品服务体系，AlienVault既有Endpoint类型的产品，也有SIEM类产品，也有威胁情报。AT&T基于这些产品的售卖搭配相关安全服务，补全了其咨询服务和托管服务的短板，主要侧重于中等规模客户。

Atos的安全服务增长主要来源于IoT和OT相关的安全服务，还沿用了之前的SOC平台，使用大数据分析和机器学习的能力主动发现新的威胁和自动化响应。

此外，Atos收购了欧洲一家做数字认证的公司IDnomic，增强了其PKI的体系建设能力。

Secureworks的MDR服务是基于Red Cloak的TDR产品展开的，现在改名为Taegis XDR，其实是一种EDR的衍生产品。同时，Secureworks跟微软合作使用其Defender的ATP平台数据进行分析。

DXC的进展较慢，并没有推出更多类型的服务，只是推出了下一代的SOC，并收购了Syscom来扩展其安全运营能力和服务管理能力。

MDR（Managed Detection & Response）服务厂商基于主机、网络、应用以及云端的相关数据，提供威胁内容和威胁分析，使用的手段包括威胁情报和手动及自动化的事件响应，比如事件分类、调查、隔离等动作。威胁狩猎能力是一种高级能力，可以扩大实时的威胁检测能力并能够发现攻击的相关技术（TTPs），尤其是针对那些可以绕过传统安全防御和检测手段的攻击。

从上图可以看出MDR的服务范围：使用相关采集数据进行数据分析、威胁情报分析以及人工分析，完成从监控、检测、分析到隔离等相关操作。威胁狩猎能力作为高级的监控和检测能力得到了体现。

MDR服务有以下属性：

• 提供客户远程运营的7*24的现代级SOC；

• 现代级SOC包括利用可用技术完成威胁检测、调查和响应；

• 相关人员拥有相关技能，可以进行威胁监控、检测和狩猎、威胁情报和事件响应；

• 有标准的流程指导进行事件处置；

• 专注于高置信度的威胁检测和验证，并发现能够绕过安全防护机制的威胁；

• 远程的事件响应调查和隔离。这个能力要求特别突出，尤其是当代勒索软件事件的毁灭性打击，客户数据泄露甚至一些物理安全的相关问题。遇到这些问题后，对事件响应的及时性要求就会很高；

• 一个平台产品适用于所有客户，同时会使用用户行为学习和机器学习的相关分析能力；

• 会提供相关的威胁分析能力，不过针对客户环境的检测规则不能客制化。

MDR服务提供商也会提供一些特异性的服务类型：

• 漏洞管理。威胁检测和响应服务一般针对于安全运营水平比较初级的客户，更高的要求会向预防安全的角度移动，比如漏洞管理方面和合规方面，甚至包括日志管理方面的要求；

• 安全编排和自动化能力（SOA）。为了提高运营效率，一些MDR的供应商会提供这种能力，来加快事件的处置；

• 其他技术的安全保证。为了更早的发现和减缓攻击，服务内容也包括邮件和DNS的监控。

安全领导者越来越意识到，如果不相应缩短威胁响应的时间使之恢复到已知的良好状态，而只是减少威胁检测的时间，这是毫无意义的。这也侧面说明了MDR的核心价值所在：提供响应流程。及时和精准的事件响应需要时间和技能，这是很多组织欠缺的能力，尤其是在多种威胁同时发生的情况下。

MDR的购买者包括：

• 基本没有威胁检测和分析能力。没有安全专家，没有安全运营能力，只有一些基础的保护能力产品，包括多功能防火墙和终端安全产品，缺少安全数据采集，比如EDR或者网络包或者云端服务数据；

• 没有SOC。有一些基本的威胁检测能力，主要围绕某一种技术产品开展威胁检测和响应服务，比如以EDR为中心开展的MDR服务；

• 没有高级安全专家。组织没有能力去对高级威胁进行检测，只能借助于MDR的专家团队开展此项工作；

• 外包现代级SOC。将现代级的SOC外包给MDR厂商，组织自己只关注内部威胁和风险活动；

• 提高SOC能力。组织已经拥有SOC，但是系统MDR厂商提供额外的能力，比如威胁狩猎能力，是SOC的“另外一只眼睛”；

• 寻求差距。组织对于威胁无法进行安全技术的对应，无法针对某种威胁采取针对性的安全技术来进行检测，MDR的服务也可以回答类似的问题。

MDR的供应商也会根据自身技术积累的不同分为以下几种类型：

• 全栈技术提供者。使用两种或者以上威胁检测技术的提供者，客户一般没有直接选择产品的权利，因为只是交付服务，供应商可能选择两种EDR产品。比较常见的技术产品选择是多功能网络安全监控（NSM）和EDR产品，这种流量+终端的模式基本上从能力上能够保证实时的威胁检测和威胁调查。当然也可以加入其它的技术手段，比如威胁欺骗技术（蜜罐）、云服务、邮件和DNS的相关数据；

• 云端和物联网技术提供者。根据场景的不同提供相应的服务，比如针对于工控环境，需要监控ICS和SCADA系统，针对医疗环境监控IoT设备。当然有更多的MDR厂商会结合云安全三剑客产品来提供服务，结合CASB、CSPM和CWPP来提供云端服务；

• 单点解决方案提供者。托管的EDR通常伴生MDR服务，一般称为单模。托管的EDR只有有限的威胁检查能力，比如无法安装在打印机和PLC上；

• 集成式技术提供者。这些厂商提供现代级SOC产品，并使用客户现有的安全技术堆栈。结合客户现有的安全产品，并将这些数据收集在一起进行威胁分析。

MDR的市场在最近几年发展非常迅速，并演进到成熟的状态。无论对于云计算、物联网这种环境的服务交付；还是针对于SOC效率的提升，比如交付SOAR；还有针对于客户针对威胁响应的整个安全建设的建议；甚至还包括给客户提出哪些数据需要收集，在什么时候，什么格式，什么地点的一些建议，MDR服务都可以提供。

Forrester对于MDR厂商的评估如下面的波浪图所示。

虽然笔者对这个排名持怀疑态度，不过这几个方面的评估依据还是有些道理。

这些能力评估的方面包括：价值体现时间、威胁狩猎、威胁情报、协同、用户界面、机器学习、ATT&CK映射和使用、托管的检测、托管的响应、XDR的收集、关联和API能力、自动化和编排、系统重要性和指标这些方面进行评估。

下文对领导者区域的一些厂商的一些简单分析。

作为一个初创厂商，Forrester对其的评价是用户界面友好，用户体验很好，对于客户的服务透明性做的也很好，同时还展现了威胁狩猎的强大方法论。比如，下图就是这个威胁狩猎的过程，从12亿的日志中抽取1800个初始线索再到28个需要调查的线索，再到6个中等发现和2个重要发现，最终给出答案。同时在第一个阶段都是通过机器进行的筛选。

客户对该厂商的评价是技术和人员能力的完整性有待提高，但是该厂商给出的修复建议比较激进。

作为EDR的领头羊公司，CrowdStrike的服务同样有很强的竞争力，这也有赖于其SaaS模式的交付以及天然的威胁情报能力。其威胁狩猎能力也十分出众，可以看出来CrowdStrike结合报警和线索进行综合分析，然后形成事件，最终进行事件响应。在笔者看来，这个方式是最可行、落地性最强的一种方案，青藤威胁狩猎平台也使用了类似的方法论。

其服务规格也比较贴合MDR的描述：检测包括报警监控、分类和优先级排序和托管的威胁狩猎；调查包括高级的调查支持；响应包括指导响应以及托管的修复：隔离系统、消除持久性、移除组件、调整策略等。其服务是完全围绕检测和响应能力而开展的。

Red Canary作为近几年最火的MDR厂商，其能力还是比较突出的。除去之前讲过对ATT&CK的研究能力之外，其对威胁狩猎能力的评判也是通过对ATT&CK的覆盖来体现的。该厂商还提供终端、网络和云解决方案。

其中比较有亮点的是，Red Canary有SOAR产品用来融合加强其安全响应能力。

根据IDC定义，网络安全服务市场分别由安全咨询服务、托管安全服务、IT安全教育与培训服务、安全集成服务四个子市场构成。具体比例就不表述。

其中，安全咨询服务属于专业服务的范畴，具体包括安全战略与规划、合规与审计（包括等保测评）、安全策略评估与开发、测试类服务、应急响应服务等多个咨询服务类别。

托管安全服务则是由第三方安全服务提供商运营的单租户解决方案，其中包括托管在客户本地的驻场托管安全服务（MSS-CPE）、远程托管安全服务（MSS-Hosted）和云托管安全服务（CHESS）三个子市场。

此外，IT安全教育与培训服务是一个教育活动和过程，其中包括企业级培训服务（包括安全意识培训、安全技能培训、大型赛事等服务）、教育认证（包括认证培训、认证考试等）和高校教育三个子市场。

而安全集成服务是技术服务提供商通过规划、设计、实施、项目管理四个步骤形成完整安全解决方案的服务，它涉及系统和应用程序的定制化开发，以及集成企业打包的安全硬件、软件服务等。

本篇文章重点提及了MSS和MDR服务以及相关厂商，同时说明了国内服务的一些简单分类情况。MSS和MDR的服务内容有区别也有联系，可以看出MSS服务的内容本质上来说会包含MDR的相关服务，交集在于交付和运营方面。MSS的服务分类主要分为三个方面：交付、运维和运营。三者之间既有区别也有联系，在每个交叉的区域都有相关的服务内容。

MSS更像是传统的一些安全服务，但是这些服务对于国内来说也并不是很传统，远程服务就算是一种新的服务类型。MDR服务的重要特点有两个，一个是针对于威胁，另一个针对于响应。针对于威胁可以要采取多种数据来进行综合分析，高级的威胁分析方式就是威胁狩猎；事件响应更多是对于目前严重的威胁事件进行及时止损。从MDR的出现可以看出，大部分MDR服务都是由EDR厂商同时交付的，对于终端厂商是一个顺理成章的服务内容。当然其他的服务方式没有提及，相对来说也是成熟市场，包括了测试方向（渗透测试和红蓝对抗）、安全咨询、漏洞评估和数字审计和事件响应服务。

反观国内市场，大部分的托管安全服务内容还是以驻场为主，这根本没有真正发挥安全专家的作用，有些地方客户或者中小客户开始接受远程的服务内容，这也算一种进步。还有城市级安全运营中心，更多是一揽子的产品堆叠和安全管理方案，并没有看到更多面向实际威胁的场景。安全产品在国内层出不穷，安全服务也会有相应的一些变化和升级。

安全运营必须以服务进行交付。安全产品建设的伴生就会有安全服务的需求。一般来说，客户没有专家进行安全产品的运营，这就导致必须依赖于相关厂商对其产品有完善的运营方案，有相关的流程和人员才能真正发挥其产品的价值。无论是对于单品还是SOC类运营都有同样的要求。

安全服务不仅面向管理，国内的SOC建设更多的是向安全管理路径出发。在目前的安全威胁愈发严峻的环境下，需要面向于威胁进行安全服务建设的思考。

安全服务更加重视威胁。MDR就是针对于威胁的产物，如何更好地应对威胁，也是对服务高标准提出的要求。正如Forrester提出的威胁狩猎的分析管道，这就是MDR的核心区分点。

安全服务更加注重数据和分析。对于多种数据源的分析，这些数据源包括终端和网络数据包等。这些相关数据会让安全分析有基本的保障，如何选取数据，如何获取数据都是分析的重要前提。

随着安全建设和安全要求的不断深入，安全服务的重要性就会凸显出来。依赖于专家以及多种数据源和分析能力的安全要求会更多的出现，在这个趋势下，对于有数据源和真正安全分析能力的厂商而言是个机会。