by FatFish
on 26 9 月, 2019

安全托管服务(MSS)是一个多样化的市场,可以满足用户的广泛需求。安全和风险管理领域的领导者应确定为安全成熟度高、组织的层级、规模和地理覆盖范围都最符合要求的供应商。

市场定义/描述

Gartner对安全托管服务(MSS)定义

 远程24/7监控安全事件和安全相关数据源

 IT安全技术的管理和执行

通过远程安全运营中心(SOC)的共享服务提供安全运营功能,而不是通过现场人员或一对一交付给单个客户的远程服务

        大多数MSS提供商(MSSP)的核心服务是针对威胁检测样例的24/7安全事件监控和响应,以及在与技术无关的范围内、针对日志事件和数据源的合规性样例报告。

        除了安全事件监控和响应服务之外,MSSP的产品组合通常还包括一个或多个以下托管服务,以及可能特别针对MSSP核心市场的其他服务(例如,IT外包或电信):

  • 安全技术管理和防火墙,统一威胁管理(UTM)、入侵检测和防御系统(IDPS)、端点保护平台(EPP)、端点检测和响应(EDR)、安全Web网关(SWG)和安全电子邮件网关( SEG)

  • 事件响应服务(远程和现场)

  • 漏洞评估和托管漏洞管理服务(例如扫描、分析和建议/补救)

  • 威胁情报服务(例如机器可读的威胁情报源、客户指定的暗网和社交媒体监控)

  • 托管检测和响应(MDR)服务

        MSSP正不断地提供更广泛和更多样化的服务,但是,Gartner客户签订MSSP合同时主要关注的是为24/7远程安全事件监控和响应服务。他们寻求解决威胁检测的样例以及其他额外的功能以根据需要去填补其安全控制和功能的空白(例如:事件响应或漏洞管理)。现在,许多MSSP提供的远程技术管理和执行都已经非常商品化和同质化,这对于那些对MSS感兴趣的Gartner客户来说也变得越来越不重要。在某些特定的行业和地区之外,满足合规性要求也很少被提及。随着Gartner客户采用面向云和云优先的方法,安全监控服务要求的范围也在不断扩大,包括监控云所提供的服务,比如SaaS和IaaS,以及OT(例如ICS / SCADA)、环境和物联网(IoT)设备。这表明了安全事件监控的范围已经大大扩展,超出了MSS买方内部范围。

魔力象限

全球安全托管服务(MSS)的魔力象限

全球托管安全服务的魔力象限

部分入选供应商简介

AT&T

        AT&T是一家全球电信和IT服务提供商,为大型企业、中型企业和政府提供一系列安全设备管理、安全监控以及响应服务。AT&T总部位于美国(达拉斯),在英国(伦敦)和香港设有地区办事处。它提供来自三个24/7 SOC(一个欧洲,一个亚洲/太平洋和一个美国)的安全托管服务,以及四个(亚太地区两个,北美两个)在当地支持全天候营业时间、以“follow the sun”模式运行的SOC。SOC使用英语,并提供其他语言的翻译服务。

       AT&T可以被使用由单一供应商提供电信及安全服务的组织以及需要AlienVault USM平台支持并进行关联规则及定制的组织优先考虑。


    优势

        AT&T除了通过AlienVault获得的资产和功能外,还根据买方需求提供大量的安全托管服务组合 – 评估和规划、检测和保护以及响应和恢复。

        AT&T通过其IP连接的可见性和增加的AlienVault(现在的AT&T Alien Labs OTX)以及围绕OTX的大型威胁情报共享社区,大大扩展了其威胁情报所捕获的洞察力

        正如在SIEM控制台体验中预期的那样,如果客户可以充分利用控制台的资源和技能,那么报告和事件处理将成为Threat Manager门户的强大元素

        考虑到离散MSS,AT&T在Gartner客户中具有良好的知名度。AlienVault作为SIEM产品同样具有良好的知名度、可与中型和小型企业合作

注意事项

        在本研究发布时,AlienVault在收购方面缺乏明确性。AT&T已迅速建立统一业务部门并将客户迁移到AlienVault USM,但现在判断客户对新平台的反应(基于SIEM解决方案界面)还为时尚早。此外,AlienVault USM还拥有一个使用USM Anywhere和USM Appliance的大型MSSP生态系统。目前尚不清楚AT&T将如何合理化自己的Threat Manager业务以及现有的具有竞争力的MSSP生态系统。

        AlienVault是一个功能齐全的SIEM,需要一定程度的培训和专业知识才能合理使用,并且可能不会吸引那些寻求较简单门户体验的MSS客户。此外,已转换到AlienVault USM Anywhere门户的客户必须使用单独的门户来解决设备管理功能。AT&T表示会将门户网站统一标示在路线图上。

        AT&T的MSS业务严重偏向北美市场,而欧洲和亚太市场的客户则少得多。需要在这些地区拥有强大影响力的买家应密切评估AT&T的覆盖范围。

        客户对AT&T MSS的满意度提供了不同的评分,与竞争对手相比,许多人给的平均成绩低于平均水平。总体经验和整合分数低于竞争对手,而评估和签约、服务和支持水平均高于平均水平。

IBM

        IBM总部位于纽约Armonk,是一家安全技术和服务提供商,通过全球24/7 SOC网络提供一系列安全托管和其他补充服务。IBM在美国(剑桥,马萨诸塞州和佐治亚州亚特兰大)以及世界各主要地区都设有区域MSS办事处。IBM拥有五个全球24/7 SOC,以X-Force作为指挥中心的品牌,还有四个非24/7 SOC。

        IBM的MSS产品专注于利用其QRadar SIEM平台进行安全事件监控,该平台可在整个客户群内提供统一监控。QRadar为客户提供的服务形式包括:多租户共享技术(默认)、内部前置部署、SaaS SIEM或混合部署。也可以根据需要支持其他SIEM平台(例如Splunk或ArcSight)。  

        IBM应该被列入大型企业的候选名单,这些企业需要具有全球足迹的SOC的全功能MSS,还可以根据需要支持各种本地语言。IBM现有服务客户也应将IBM MSS列入考虑名单。


    优势

        IBM提供了一系列强大的安全事件监控服务和相关产品,这些服务由IBM Security技术组合提供支持。IBM QRadar提供的灵活性将吸引正在采用或迁移到云的企业买家。

        通过与IRIS团队的融合,IBM更好地将威胁情报、事件响应、威胁搜索与其他服务结合起来,形成互补。

        在QRadar平台中引入SOAR和高级功能供IBM X-Force安全中心使用,可以提高威胁检测率,加快检测和响应时间。

        对Gartner客户和MSSP买家而言,IBM主要面向大型企业。IBM在MSS市场上具有良好的知名度

注意事项

        IBM在X-Force威胁管理中引入类似MDR的打包服务创建了捆绑产品销售的良好开端,但在市场上以及对Gartner客户来说,知名度却比较低。一些合作伙伴关系,如与Fortinet以及Carbon Black的整合已经宣布,但其他合作关系却受到限制。

        IBM的虚拟安全运营中心门户虽然功能齐全,但从用户体验的角度来看,它已开始落后于竞争对手。客户对门户网站的反响不一。IBM正在推广使用移动应用程序作为门户网站的替代方法。

        买方应仔细分析推荐用于提供MSS的技术方法(例如,共享或专用QRadar,无论是本地还是托管),以确保该方法与其IT环境、架构以及需求兼容。

        与竞争对手相比,IBM的全面客户反馈低于平均水平。

NTT

        NTT Security是NTT Group的专业安全托管服务公司。NTT总部位于东京,地区总部设在北美、欧洲和亚太地区。NTT在亚太地区、欧洲和北美地区运营着10家SOC。2018年8月,NTT公司宣布新的控股公司结构,将NTT Communications、Dimension Data和NTT Security整合到2019年后的新的全球业务中。NTT DATA将继续作为与NTT合作的独立上市公司。

        NTT的运营模式利用集团公司为通过NTT Security集中提供安全托管服务的客户销售和管理关系。NTT MSS提供全部的威胁检测服务(威胁检测增强和企业安全监控),以及所有主要地区的技术管理和漏洞评估服务。NTT为客户提供单一服务管理界面、安全事件通信和案例管理。NTT提供事件响应服务,包括增强对威胁的响应,其中NTT Security执行防火墙管理以及客户使用托管EDR。除此以外,他们还提供事件响应保留器、事件响应计划和取证服务。


    优势

        由于NTT集团公司在全球都有业务,NTT可以服务于跨地域的各种行业/垂直行业。

        NTT的战略涉及投资安全技术,其收购WhiteHat Security证明了这一点,也与其他同行同样一样,继续研究和开发服务组合及功能,如高级分析。

        NTT对寻求离散MSS的Gartner客户而言,知名度适中。

        NTT的客户对NTT的总体行业经验、评估和合同谈判、集成和部署以及整体服务和产品功能等多个评级给出了高于平均水平的分数

注意事项

        NTT Security是一个运营单位,利用NTT集团公司销售和营销其服务。在更新最初从NTT Security成立之前(比如Solutionary或NTT Com Security)购买的现有MSS协议时,这样的方法就给一些Gartner客户造成了混淆。重组后,这种担忧可能会减弱,没有了以个体进行经营的公司,NTT会变得更加统一。客户应随时关注情况进展。

        NTT门户网站现在主要由ServiceNow提供支持,ServiceNow为许多功能提供基本的ServiceNow风格体验,例如案例管理和标签服务; 然而,其他传统门户网站主要用于为日志管理和门户用户管理等功能提供接口。API可根据需要集成到客户环境中,例如案例管理解决方案。

        NTT Security的EDR托管产品正在进行中。NTT Security目前支持FireEye,以后将扩展至Carbon Black和CounterTack,后者于2017年11月宣布成为合作伙伴。

SecureWorks

        Secureworks总部位于佐治亚州亚特兰大,在伦敦、悉尼、东京和苏格兰爱丁堡设有办事处。除技术管理、漏洞评估和管理、威胁情报、托管检测和响应、事件响应(通过保留器)和咨询服务外,它还提供一系列安全事件监视和响应服务。MSS由美国的三个24/7 SOC(亚特兰大、芝加哥和罗德岛普罗维登斯)、日本川崎的24/7 SOC、苏格兰爱丁堡的SOC和印度的海德拉巴的SOC提供支持。SOC由罗马尼亚的卓越中心提供支持。

        MSS交付通过Secureworks专有的反威胁平台(CTP)进行,该平台提供数据收集和管理、分析以及门户网站。Secureworks还具有基于营业场所的物理和虚拟设备,以支持日志收集/传输和网络安全监控。Secureworks Counter Threat Unit(CTU)威胁研究和开发团队提供威胁情报,以支持各种MSS产品以及独立的威胁情报服务。

        Secureworks应该列入中型企业的考虑范围,他们通过全球企业组织寻求建立MSS,采用一致的共享交付方法,并提供额外的补充安全操作功能作为服务的一部分。


    优势

        Secureworks提供受买家欢迎的事件响应保留器,积极主动地提供远程和现场响应服务

        Secureworks的MDR产品与现有服务进行捆绑,基于员工和资产的定价结构也更为简单,这种模式已经获得了Gartner客户的初步关注。

        安全协调和自动化功能已集成到SOC分析师和运营的反威胁平台中,并将在明年不断扩展内部以及面向客户的各种功能。

        Secureworks对Gartner客户来说具有很高的知名度,在具有竞争力的MSS交易中,经常被北美的中型企业和企业买家列入考虑范围。它还与英国买家有良好的关系。

        与竞争对手相比,Gartner客户对Secureworks的MSS产品评价非常积极,包括服务和产品质量、销售、实施以及支持。

注意事项

        与欧洲大陆和亚太地区的MSS买家相比,Secureworks的竞争力较低。

        通过Secureworks门户支持客户访问原始日志从而进行调查和报告的功能有限。对于访问日志有要求的客户以及针对合规性要求,数据必须长期保留在内部或将云中的内容存储在Secureworks支持的第三方日志管理设备中。

        SaaS的监控解决方案仍然有限,并且还不支持CASB解决方案。目前可以支持Office 365和Salesforce。虽然,Secureworks支持Okta和OneLogin等身份解决方案,但还不支持Box,Dropbox,Workday和G Suite等SaaS解决方案。

        一些Gartner中小型客户对Secureworks的服务交付和帐户管理不太满意,有时他们声称“我们太小而无法获得关注。”中型和小型企业应该确认服务关系和管理流程的运作方式以满足他们的需求。

赛门铁克

        赛门铁克总部位于加利福尼亚州山景城,是一家安全技术公司,作为其网络安全服务业务的一部分,还提供各种安全事件的监控服务和补充服务。赛门铁克在全球设有区域和国家级办事处。它运营着一个全球性的SOC网络,提供全天候全球覆盖的服务范围。赛门铁克为其SOC运营方式提供全球标准化方法,包括流程和程序。赛门铁克的网络安全服务核心产品可解决安全事件监控和响应服务。他们还提供威胁情报、事件响应和保留服务。

        在过去的12个月中,除了交付平台迁移到AWS之外,赛门铁克推出了多项利用赛门铁克技术组合的服务,如EDR托管服务。它还改进了内部运营,以增强威胁检测的环境,例如:更好地将IP映射到主机并加速恶意软件分析和调查。

        对于需要在北美、EMEA和亚太地区提供区域支持的企业级买家,以及希望为其现有技术投资提供安全托管服务的现有赛门铁克技术客户,赛门铁克MSS应列入候选名单。


    优势

        赛门铁克最近将其交付平台迁移到了AWS。除了可以利用IaaS和AWS服务的好处之外,赛门铁克还能够使用AWS云区域来解决以前通过合同协议处理的数据保留要求。

        通过MSS目录中的标准化产品,赛门铁克的端点、网络和云安全技术组合得到了充分的利用。对使用这些技术、正在寻求这些服务的现有赛门铁克客户来说,他们将获得良好的支持,同时获益的还有寻求单一解决方案供应商以及有全天候监控、响应需求的MSS买家。

        赛门铁克是北美、欧洲、中东和非洲以及亚太地区MSS买家的主要竞争对手,他们被列入Gartner客户的候选名单,且具有良好的知名度

        在竞争总体体验、评估和协商、集成和部署以及服务和支持等方面,客户对赛门铁克的评价反馈高于平均水平

注意事项

        寻求漏洞管理服务以补充监控和响应服务的买家需要使用第三方服务。支持提供用于安全监视和响应服务的漏洞评估数据。Qualys目前可以通过直接API集成得到支持,但是,其他漏洞评估供应商需要手动上传数据。

        需要MSS持有SOC认证的买家应确认状态。赛门铁克的认证是一项正在进行的工作,因为它们正从SOC 1 Type II过渡到SOC 2。

        赛门铁克的网络安全服务营销竞争力落后。赛门铁克主要被称为一家技术公司,与业务软件方面相比,MSS产品的营销很少。例如,他们与有竞争性的MSS公司有技术合作关系,但却没有提供相同的服务。

全球安全托管服务(MSS)的魔力象限

供应商的增加/删除

        随着市场的变化,我们会审查并调整魔力象限的纳入标准。由于这些调整,任何魔力象限中的供应商组合可能会随着时间的推移而发生变化。供应商在魔术象限中出现一年但下一年又消失了,这并不一定表明我们已经改变了对该供应商的看法。它可能反映了市场的变化,因此改变了评估标准,或者改变了该供应商的关注点。

市场概况

        MSS市场成熟,2018年的市场规模估计为107亿美元。市场正不断适应组织所面临的各种挑战,这些挑战促使组织专注并改进其威胁检测和响应功能。对于许多组织而言,使用MSSP可以实现该目标。

魔力象限反映了Gartner客户的要求以及全球MSS市场的发展,主要包括:

  •   在历史性投资薄弱的情况下采用核心安全功能,例如漏洞管理、威胁情报和事件响应。

  •   比起仅仅对本地进行监控的技术,越多越多的组织开始采用SaaS和IaaS,许多组织将针对OT和IoT的安全事件监控和响应服务包含在安全与影的职责范围内。

  •   越来越多的MSSP细分主要集中在提供广泛的安全托管服务组合以满足大型企业,以及专注于核心安全运营活动的广泛需求这两点上。

  •   门户网站是MSSP的主要接口,但交付模式包括其他渠道正在扩展,如移动设备。

  •   包括对安全事件和问题的直接响应以及MSS提供商采用SOAR等在内,这些新技术有可能在未来改变MSSP提供服务的方式

        还有其他相邻市场提供安全服务,以解决核心样例24/7威胁检测与响应。越来越多的MSSP通过提供以下服务来转向与这些市场的竞争以满足买方需求:

  • 托管检测和响应服务

  • 远程SIEM解决方案管理和共同管理

  • 客户自有SOC

针对扩展中MSS市场的检测响应核心服务

        与五年前相比,MSS现在看起来大有不同。大多数MSSP服务组合的核心是24/7安全事件监控和响应,尽管成熟度和复杂程度不尽相同。

        除了安全事件监视和响应功能之外,许多组织也认识到对良好安全环境或“安全基础”需求的重要性。对于许多组织而言,漏洞管理和威胁情报的使用等功能仍然具有挑战性。漏洞管理正朝着基于风险的方法发展,但很少有MSSP能够适应这种转变。

        曾经,安全监控服务的重点仅仅是是确保检测到威胁并提醒您。现在,对于许多组织来说,警告威胁已经不够了。一旦发现威胁,组织就会希望服务供应商承担更积极的角色

        如果威胁并未被及时检测到且攻击速度足够快,则组织必须拥有一个事件响应保留器,它可以提供有针对性的事件响应服务以及在发生潜在重大事件时提供支持。买家越来越希望他们的MSS能够提供这些功能,并以此作为端点到端点服务交付模式的一部分。

        此外,MSSP的产品服务投资组合越来越广泛,因为他们寻找机会保持并扩大与买家之间的“粘性”。

威胁不再只针对内部部署IT

        随着组织迁移到云,因为SaaS和IaaS的缘故,IT环境变得更加复杂。而因为其复杂性,这些云环境还会增加组织的攻击面。MSSP正被推动去解决针对这些环境的威胁,但供应商之间的差异仍然很大。

        工业控制系统(ICS)、监控和数据采集(SCADA)等运营技术正日益成为目标。这促使组织对其OT环境进行更多审查,并且促使安全运营团队将其覆盖范围扩展到OT环境,包括资产和漏洞可见性以及威胁检测和响应。IT与OT 非常不同,市场上的相关技术尚处于初期阶段。安全性、隐私性和弹性等其他风险也是一个问题。与云服务提供商类似的MSSP正在被买家和现有客户推动,以帮助解决这些风险。

移动应用程序正在兴起,但门户依然重要

        在过去的12个月中,提供移动应用程序的MSSP数量也有所增加(例如Atos、CenturyLink、IBM和Secureworks)。作为事件响应能力的一部分,可能参与随叫随到轮换的安全运营分析师将受益于在下班后提醒某些事情时的权宜之计。但移动应用程序尚未普及,而且体验差异很大,因此验证供应商的移动应用程序体验(如果重要)应将此列入考虑选择MSSP的要求之中。

        与MSSP接口的门户网站并没有消失,依然在使用中。接受此魔力象限调查的MSS买家表示,40%的人仍然每天使用MSSP门户,26%的人至少每周使用一次。考虑到客户的这种用法,MSSP的体验仍然各不相同。本研究中的魔力象限参考买家通常对他们的MSSP门户网站的功能保持中立或满意,以支持门户网站与MSSP服务接口的日常使用。多年来一直在这个市场中的MSSP仍然提供最成熟的门户体验。IT外包等市场中的供应商往往不太重视门户网站,而是倾向于将门户用于服务管理,而不是提供安全团队所需的类似SIEM的功能。

MSS开始以SOAR为动力

        SOAR还处于早期阶段,但是提高SOC活动的效率和一致性以及能够为MSS客户提供更多定制流程的承诺是具有说服力的。一些MSSP认真采用了SOAR技术,并将其嵌入到交付平台的核心。基于与SOAR技术供应商和MSSP的对话,我们预计大多数MSSP将在未来三年内采用并嵌入SOAR功能。

        MSSP将使用SOAR技术,通过删除普通的活动,使分析师更高效、更高产(和快乐)。如果适当利用,客户在其MSS上的体验应该在商定流程的一致性和可重复性方面得到改善。从理论上讲,如果MSSP SOC分析师有更多时间来调查和分类可疑事件(例如,减少对客户的误报警的数量),那么威胁的检测应该会有所改善。将来,MSS针对客户自己的技术发起的自动响应行动可能会减少平均响应时间(但目前还处于婴儿期)。

全球安全托管服务(MSS)的魔力象限

Categories:

managed security service

Tags:

No Tag

Comments are closed