较早几年，把一些重要网络和系统服务资产进行外包安全管理几乎不敢想像，但现在，面对每天频繁多变的网络攻击，很多公司认为，这种方式更能有效减少安全风险。这种把安全控制权完全交由第三方来管理的手段可不可行？我们随着Freebuf来听听各位专家的观点。

对于公司采用安全外包管理的前提，很多厂商企业表示这取决于公司的人员配备水平。如果公司内部缺乏相应的专业技能，或是因成立安全管理团队而缺乏预算资金的中小企业，可以采用这种方式。因此，在面对数据窃取和BYOD（员工携带自己设备办公）的风险担忧时，与安全管理服务提供商（安全外包服务商，MSSP）的合作成为使然。

各路专家观点：企业内部安全团队 VS 安全外包服务商（MSSP）如何选择？

Alertsec公司CEO Ebba Blitz表示，安全管理服务商MSSP由各类IT安全专家组成，必须具备快速响应和解决复杂问题的技术能力要求。人力资源充足的大公司可能会成立自己的安全团队，但对一些中小型企业来说，选择与安全管理服务商合作可能是其最好的选择。

选择MSSP服务商不是甩包袱

Optiv战略架构副总裁Pat Patterson认为，企业在选择安全管理服务商进行外包服务时，不应该简单粗鲁地认为这样就可以把安全责任完全甩给MSSP。企业安全负责人应该明白，选择安全外包服务不是简单地把安全监控和事件响应交给第三方运维，并寄希望于此。事实上，安全外包服务很容易凸显出企业自身信息安全机制存在的不足和缺点，但最终不会修复一个存在问题的信息安全机制。

OneLogin首席安全官Alvaro Hoyos：说到安全外包服务时，企业自身与第三方外包商的关系，就像软件即服务（SaaS）与本地部署APP，或最近谈及较多的基础设施及服务（IaaS）与自建数据中心的问题，它们之间都存在着一些类似的争议，但就大多数企业目前的选择趋势来看，还是比较倾向于第三方云服务提供商，当然，安全服务也会朝着第三方外包的方向发展。

安全外包服务是未来的发展趋势

Trustwave连续两年对大量企业进行了调查采访，其最近的一份报告显示，企业安全完全由自身安全团队和IT部门进行建设运维的比例较前一年有所下降，为67%；26%的受访企业建立了内部安全团队和第三方安全外包商的合作服务关系，5%的企业则完全把安全问题委托授权给第三方安全外包商进行管理；2%的企业采取其它方式进行安全管理。

Trustwave报告还指出，正计划与安全外包商合作的比例从去年的39%上升到43%。在美国，企业选择与安全外包商进行合作的趋势较为明显，美国本土受访企业中大约有53%已经采用安全外包服务，这一比例较上一年有14%的增长。另外，总体来说，有40%的美国企业计划在未来会选择与MSSP合作，而有17%的企业表示不会选择安全外包服务。

　　综合考虑企业内部安全团队与安全外包服务商MSSP的各种因素

Verint System网络产品管理和业务发展的副总裁Yitzhak Vager：

安全外包服务与内部安全运维之间的关系，是企业具体安全操作实施之前的一种战略问题。企业管理层需要明白，对内部安全运维团队的人力和工具进行投资，将会进一步充实企业安全，并能确保安全管理机制可控，而把这些相同的成本投资于一个完全只关注安全的第三方公司身上之后，这种安全模式可能会造成对企业自身商业关系的考量不足。当企业选择与MSSP合作时，MSSP必须清楚受保护企业特定资产与其商业风险之间的关系，以便能提供更好的安全服务。

容器应用安全公司Aqua Security CTO Amir Jerbi：

MSSP服务商都具有一定的成熟度水平，其能力应该不亚于或高于企业内部安全团队。企业选择将部分或全部安全业务外包给MSSP服务商时，应该基于几方面因素的考虑：企业内部安全团队技术水平是否能够保持在一个足够高的层次、系统和数据的灵敏度和合规性需求、战略性安全对企业的意义（如是否把其考虑为一种长期的核心竞争力）、经济成本。

“从经验上来看，一些监管性质较强的行业大型企业都具备优秀的技能和内部安全团队，他们更倾向于自行管理控制企业安全。而在中端市场和中小型企业领域，使用MSSP服务商来满足部分或所有安全需求是很合理的方式。只不过，在选择MSSP服务商时应该明确一个观点：MSSP的技能应该集中在一些共同或成熟的领域，同时，并能掌握或拥有某些新兴技术能为客户所使用”。

Bluelock安全公司工程总监Derek Brost：

对很多企业来说，在采购、开发、集成、部署、操作和运维安全控制方面的投资成本远远不会超过其资产的总风险状况。对于这类型公司，尽管投资风险管理是一项必需持续的支出，但采用MSSP服务更具成本效益；对于那些青睐于内部安全管理的机构，它们可能具备一些稳健的风险管理机制，并能有效预测潜在风险以证明内部安全管理的价值意义，这些公司机构在内部资源管理方面甚至达到或超过MSSP服务商的定位和水平。

在思科（Cisco）的年度安全报告中，2014年有21%的受访企业表示他们不会选择任何安全外包服务，而在2015年，这一比例下降到12%。53%的受访企业认为安全外包服务是一件具备成本效益，值得投资的事，而49%的企业表示，选择外包服务是为了在安全方面获得来自第三方更多客观的管理。

Sungard Availability公司安全经理Asher DeMetz：

尽管一个公司非常希望管控自身信息安全，但像724小时全天候安全运营中心（SOC）、安全事件管理系统（SEIM）或IDS/IPS等昂贵的必需架构不是每个公司都能承担得起的。关键是，具有一定规模和风险状况的企业选用了这些服务之后，将会具备724小时的全天候攻击监测。你可以想像，如果晚上9点发生的入侵攻击，到第二天早上上班9点还没被识别发现，当公司人员正常办公之后这将会是一个灾难性事件。当然，具备深厚功底和经验的MSSP服务商必须能清楚地判断“真实攻击”和“误报攻击”。

安全服务商Radware副总Carl Herberger：

随着威胁环境态势的快速发展，中小型企业已经成为当今频繁攻击的首要目标，有43%的攻击把目标指向中小型企业，对企业内部安全团队来说这就是一种挑战。例如，面对日益显现的攻击，一些零售电子商务企业没有能力投资组建一个稳健优秀的安全团队，那么，MSSP服务商可以弥补这种缺口，使企业更能专心发展自身的核心竞争力。

Viewpost公司首席安全官Chris Pierson：

在选择第三方的MSSP服务时，应该综合考虑信息技术环境的复杂性、设备控制类型、数据中心的位置和类型、地理范围跨度、全球指纹数据、成本和技术资源，以及每周/每年的安全需求等。

值得注意的是，公司内部最了解数据流布局和操作的人，往往是那些创建体系结构（不管网络还是安全）并熟悉商业流程和产品的人。而这些人员模式的成功形成，是公司内部至少有一个核心团队的长期发展结果。目前，仅就一些关注威胁指标（IoC）和行为取证的专业设备来说，安全管理已经成为其产品特色的一部份，而对企业来说，发展安全管理也是一种明智的投资和运营举措。

　　几个选择标衡量准

Coalfire公司总裁和创始人Kennet Westby：

外包服务在诸如主机托管、云服务和应用服务等方面比较常见。提供安全外包服务的第三方更了解网络安全的不同范畴，作为企业来说，其最有价值的资产可能将不再由自身雇员以网络管理方式，单纯地驻留在公司防火墙之后。

Westby认为，面对企业信息安全运维，在内部安全团队和第三方MSSP服务商之间进行选择时，应该充分考虑以下几个重要标准：

能力/成本–就像组织内部的大多数职能标准一样，相比于内部实现来说，该服务是否能以较低成本形成较高的能力水平；

组织兼容性–确保你选择的合作伙伴能与你的IT、安全和管理团队并肩工作，而不仅仅是躲在“安全服务”的围墙后向你提供或推送一些厂商服务；

信任–这是任何第三方处理敏感事务的重要考虑，对于MSSP服务商来说尤为关键，企业需要确保安全控制的运行标准高于内部控制要求，并能做到完全信赖第三方员工。

Absolute全球安全战略专家Richard Henderson：

信任绝对是一个大问题，需要很多的信任和说服力才能进入安全外包模式，我们在MSSP领域看到的一些成功案例和不可思议的化学反应，一般都是在使用基础上慢慢发展起来的。任何中小型企业内的安全团队组织都应该评估与MSSP整合的可能性。

在现实中，安全人才很难发现，而且很难实现双方满意的长期合作。很多安全职位是吃力不讨好的工作，然而一旦出事，这些员工承受的压力又是巨大的。所以二三线城市的小公司，很难招聘到顶尖的技术人才。

2017年思科安全能力基准调研报告显示，有20%的企业机构采用第三方外包商提供的信息安全服务，这些依赖利用外在资源进行管理的企业，在未来还可能会继续扩大其外包服务范畴。

　　另外一些中肯的专家建议

CrowdStrike产品管理副总裁Rod Murchison：

企业组织必须应对越来越频繁和复杂的网络威胁，与MSSP服务商进行部分或全部的安全合作都是一件有意义的事。一些MSSP服务商能够通过API与安全解决方案提供商合作，创造出真正独特的解决方案，为最终用户降低复杂性，实现真正的安全服务价值。这种复杂度和集成度的协同合作关系，将为MSSP服务商客户提供特定网络资产保护能力，最终实现技术保护和方案解决的完美结合。

FireEye产品营销总监Trish Tobin：

在一些初创企业或处于挣扎阶段的公司，MSSP服务商可以协助企业安全领导进行整体方案设计、建设SOC、培训员工或提供事件响应建议等。之后，随着企业安全方案的演化完善，将逐步向威胁检测和事件响应能力方面发展。更多时候，这些企业由于缺乏过硬的安全专业知识和对新型攻击技术的了解掌握，而陷入被动发展的局限。

AppRiver网络安全管理员Scottie Cole：

在安全外包服务和一个训练有素的内部安全团队之间，我更倾向于后者。因为内部安全团队更了解企业安全需求和企业实现目标。对很多企业来说，运行内部安全团队的缺点就是长期的维护成本，一些有能力的优秀人才可以通过高薪聘用，而且，安全团队也需要持续教育成本，这些成本投入将体现在培训、研讨会或技能证书的重新认证等方面。

如果不考虑成本问题的话，安全外包服务算是一种不错的方案。很多外包公司提供训练有素的专业人才为客户现场解决安全问题，此外，使用安全外包服务的另一个好处是，客户公司可以有一个相对大的人才库进行备选使用，而外包公司可以根据客户要求或监管需求，提供相应的专家或团队技术支持。

Komodo公司安全顾问Boaz Shunami：

MSSP服务商还可以在模拟攻击的红队演练中凸显优势，这些演练包括红蓝双方的对抗、渗透渗透、威胁情报中心服务、应急响应以及调查取证技术支持等。这种模拟攻击如果完全换作内部员工来进行的话，效果将不会太好，毕竟这需要较长时间学习曲线，时间和价值成本不成正比。

CounterTack公司营销副总裁Tom Bain：

大多数企业都希望对服务和产品进行“精简拆分”，企业实际希望后台真正可用的代理和服务商不要太多，达到少而精的供应商和平台服务。技术托管外包方式将给那些能帮助客户企业实现技术减负的MSSP服务商足够的发展空间，MSSP服务商可以通过攻击事件监测和威胁情报响应等具体方式为客户进行托管服务。

不能操之过急的选择安全外包服务模式（MSSP）

从以上采访可以看出大部分专家都比较支持MSSP服务方式，但也有专家表示，如果盲目放弃安全控制权将会出现问题。

Coalfire公司总裁和创始人Kennet Westby：

市面上有很多可以提供和实施安全服务的外包公司，在外包服务商选择方面，应该花时间去了解这些外包商所提供的服务是否能真正有效适合自身企业。另外， 针对安全领导机制或流程/供应商实行内部监督也非常重要。

AlienVault安全顾问Javvad Malik：

企业的总体要求和需求非常重要，比如，如果一个公司需要针对很多定制化应用程序需要进行特定监控需求，那么内部安全团队可能比外部的MSSP服务商更适合。其它考虑因素可能还包括专门人员或条例的偏好倾向，以及安全服务数据是否需要本地存储化等。

如果一个公司希望选择MSSP服务模式时，应该对MSSP服务商的有效性和执行能力进行评估。当然，选择一个能与企业自身文化相适应的MSSP服务商，和选择具有合适技术能力的MSSP服务商同样重要。

关于对内部安全团队和安全外包服务商的选择，没有简单或正确的答案，两种方案都有各自的优缺点，但最好根据企业自身的成本预算、专业知识和期望结果做出明智的决定。

Bitglass公司产品经理Salim Hafid：

对很多有安全意识的行业和组织来说，内部安全团队是必须的。一个具备合规性专业知识能力的内部安全团队，可以有效评估多种安全解决方案以满足企业要求。

OneLogin首席安全官Alvaro Hoyos：

内部安全团队可以建立属于自身企业的专业知识储备，这些都是不能转移到任何第三方的企业资产。内部团队更能清楚地了解企业自身所面对的风险，包括来自内部人员的威胁，这些都不是MSSP服务商轻易就能掌握的，必须经过一番脚踏实地的工作才能获得。

Alvaro Hoyos认为，可以采取内部安全团队和MSSP服务商的混合模式，MSSP服务商负责基本的安全服务，内部安全团队可以负责一些复杂有差别或MSSP不了解的任务。这种模式一方面能减少失误，另外还能有机地增强安全流程，对内部安全团队来说也是一种挑战锻炼。

如果公司与其它服务供应商签有合适的合同，或是具备清楚知晓内外安全环境的安全团队，那么可能不会使用MSSP服务模式。MSSP模式可以说是一刀切的服务， 在计划初期必须考虑很多服务的迁移，同时还需认识到，企业所有数据将会通过MSSP，所以一些涉及保密协议的数据、专利和用户数据需要慎重考虑。

Barracuda业务发展高级总监Neal Bradbury也认为，作为一种服务模式“as-a-service”，企业应该尽管选择适合自己发展的服务模式。

KnowBe4总裁Stu Sjouwerman：

决定使用内部团队时需要考虑的因素是企业环境的复杂性，对MSSP服务商来说，一些非常复杂的环境和因素无疑是一种挑战，特别是当MSSP服务商具有很高的离职率时。了解复杂环境需要时间，所以要尽量减少重复学习曲线。

另一个重要因素是公司自身的地理位置。当地是否有专门的安全人才库，或是处于供不应求状态？如果你的企业薪水、福利和津贴都位于低水平位置，那么雇用外包商人才也将是个问题。

内部安全团队的优点是，企业具有一个深入到日常，比MSSP服务商知晓企业具体环境的专门资源库。对于不想外部组织参与的项目或建议，可以任意利用这种内部资源。

最终，企业还需对任何形式的MSSP服务和雇用模式进行调研，以便作出进一步决策。需要清楚的是，选用的安全服务商将是企业信息资源的守护者，但同时，他们还能获取很多企业顾客数据的访问权限，因此，选择那些拥有良好记录和可信赖的公司或个人至关重要。

*参考来源：NetworkWorld，freebuf小编clouds编译，转载请注明来自FreeBuf.COM。