怎样评估安全运营中心即服务(SOCaaS)？

需要安全运营中心的公司可能负担不起相应的设备和人员费用。许多提供商已经推出了SOCA(安全运营中心即服务)服务。他们应该如何衡量和选择？

如果您目前没有自己的安全操作中心，那么您可能正在考虑如何不用自己来实现同样的功能。建立一家公司自己的足球俱乐部可能要花很多钱，如果考虑到24小时运营的员工成本，就更是如此。

在过去几年中，托管安全服务提供商(MSSP)提出了云SOC的概念，它可以用来监控客户的网络和计算基础设施，并提供一系列服务，如漏洞修复和恶意软件缓解。让我们来看看这一SOC即服务(SOCaaS)行业发展，看看它们提供的功能，并考虑如何选择适合您特定需求的提供商。

何谓SOCaaS?

SOCAs的定义是一个动态发展，涵盖从提供基本的24小时网络监控到全功能威胁检测和缓解。这意味着每个供应商都有自己的一套服务，可以标为SOCaaS或传统MSSP。足球协会和MSSP之间的斗争将消耗大量不必要的时间。有时它只是每个缩略词的不同定义，有时它只是一个理解的问题，有时它归结为特定的产品和服务，有时它与供应商的来源有关。“SOCaaS”定义的部分问题源于专注于不同安全领域的行业供应商。有些是从托管安全事件承包商(警报公司)开始的，其他是托管检测承包商(网络技术合作伙伴)或托管终端安全提供商(赛门铁克和Trustwave)。有些开发了自己的SOC类控制终端来管理自己的产品，然后将它们变成更通用的工具来连接更多的应用程序。有些来自大型计算机制造商(IBM、戴尔和惠普)的服务部门。

其他公司从运营自己的托管网络运营中心开始，然后扩展到安全领域。托管国家奥委会和托管足球有什么区别？前者更关心的是确保数据包在网络管道中的顺畅流动。后者几乎只关心您是否使用了正确的管道和正确的数据包。两者使用的工具集也完全不同:网络延迟与吞噬中央处理器的过程。关键在于他们提供什么样的服务。他们在监视什么？他们的东西如何与您现有的服务器和网络基础设施互操作？

SOCAs的目标是拥有能够提醒数据泄露或其他安全事件的设备，这样您就不必构建自己的SOC或雇佣高端技术人员来操作保护性安全设备。理想情况下，供应商应该能够及时发现事故(及时性与其服务水平协议相关)，并做出必要的修改以减轻威胁。

Gartner于2018年2月发布的托管安全服务报告包括SOCaaS类型的事务，如安全事件监控、网络层威胁监控和检测、日志分析、漏洞扫描和事件响应——。所有这些都是作为托管服务从中央SOC类型的实体交付的。这只是这种事务最基本的部分，但是需要管理的工具集已经很大了。该报告列出了17家全球提供商，包括ATT/艾伦沃特、英国电信、世纪链接和NTT，它们都是电信公司，也就是说，它们最知道如何确保全球大型网络基础设施始终在线。

如果贵公司在许多大洲都有员工和服务器，上述大型电信公司应该对它们很熟悉。如果你的公司很小，你可能想使用几十个专门从事SOCaaS的供应商中的一个，比如牛蒡子沃尔夫、雷达服务(RadarServices)或数字之手(DigitalHands)。也许在

怎样评估SOCaaS?

向SOCaaS提供商提问

AlertLogic是为数不多的几个定价页面清晰的供应商之一，每月有三个定价级别，从550美元到4500美元不等。但是其他供应商不太愿意提供价格信息。

目前，网络技术合作伙伴和问责制的起价非常低。最基本的服务定价分别是每月1500美元和1600美元，价格随着要监控的资产数量和客户增加的网络流量规模的增加而增加。在大多数情况下，其他供应商要么对自己的定价含糊不清，要么对定价问题特别敏感。许多供应商只向愿意签署保密协议的潜在客户提供定价信息。显然，SOCaaS的价格需要更加透明。

另一个问题是，您可能不知道有多少服务器、终端和应用程序需要受到保护、监控或置于SOCaaS供应商之下。许多公司将从概念验证开始，将少量终端委托给SOCaaS来观察其运行机制和SOC捕获的流量内容，然后扩展到更大范围的部署。

下一个。公司SOC的地理分布有多重要？一些供应商专注于中央系统芯片。其他供应商已经部署在不同的大陆，每周7天、每天24小时运行，或者充分利用互联网连接。网络技术合作伙伴在距离圣路易斯总部几个小时的地方部署了第二个SOC，因为他们可以更容易地在那里招聘到所需的技术人员。波顿实验室专注于亚洲市场，因此其所有3家公司都部署在亚洲。

供应商的秘密是什么？了解每个供应商的不同背景有助于了解他们的技术，以便在您遇到停机或数据泄漏时对您进行监控、修复和警告。一些供应商已经聚合了一系列开源工具，但是已经为用户编写了自己的专有控制面板来查看这些工具的性能和安全性。一些供应商开发了自己的工具包，用于威胁跟踪或其他任务。AccountabillIT是AlienVault的技术分包商，这是另一种型号。当

1. 所提供的功能与纯监视服务方法有何不同?

编辑招标书或问卷时，可咨询以下问题。

2. 支持多少遗留SIEM及服务桌面系统?

这个问题的答案将帮助你识别供应商之间的细微差别，并从最好的中选择最好的。警报策略从SIEM开始，然后基于其自身的全球遥测和威胁监控程序逐渐增加其他保护技术。你可能想从纯粹的MSSP开始，看看你的经历，然后决定是否切换到全社会行动计划。

3. 客户需要在自家公司安装什么代理和服务器?

一些供应商希望转向他们的现场解决方案。其他供应商(如DigitalHands.com)为您的传统系统提供更广泛的支持，而一些供应商(如网络技术合作伙伴)为客户或他们自己的程序提供自己的应用编程接口集。

4. 供应商重新评估/扫描你基础设施的频率是多少?

大多数供应商需要两件事来监控您的基础架构:代理服务器和自定义服务器——收集流量并运行供应商的专有应用程序。一些供应商还要求安装多个代理来处理不同的任务，例如一个专用于监控，另一个专用于修复。

5. 怎样产生合规审计?

监控可以是连续的，也可以每季度只扫描一次。云和现场设备评估的频率可能差异很大。

6. 供应商有没有分销或直销模式?

一些供应商在定价中包含审计，而另一些供应商收取额外费用。一些供应商会向第三方推荐您进行审计，以获得完全独立的评估。博尔顿实验室等一些供应商根本不提供任何合规服务。每种方法都有其被采用的理由，只要你知道你支付的费用可以得到什么样的服务。

7. 供应商的目标客户规模有多大?

一些供应商拥有非常成熟的合作伙伴网络。一些公司选择与英格拉姆微公司等大型分销商拓展业务。其他人想直接与顾客打交道。一些SOCaaS提供商也将他们的服务转售给其他MSSP ——，这是一个有趣的商业模式。无论采用哪种方法，都要确保自己很好地适应了这种模式。

8. 供应商的SOC员工来自哪里?

一些供应商更加关注中型市场，甚至小型企业。有些适用于跨越许多大陆的超大型网络。因此，有必要知道增长间隔和供应商最擅长处理的间隔。

你应该想知道照看你网络的人接受了什么样的培训？你有什么证书？你还有其他什么技能？在许多情况下，人比设备更重要。毕竟，你雇佣soca的原因是你不再需要自己的SOCA员工。