一直以來，企業網絡安全能力在需求和建設兩端都存在較大差距，隨著企業數字化轉型的不斷深入，這種差距正在變得更加明顯。企業既需要應對不斷增長的安全威脅，同時又必須面對專業人才匱乏、防護經驗缺失、安全預算有限的現實。

　　安全建設的困惑與挑戰

　　在安全牛近期開展的行業調研中，有多位企業CSO都表達了同樣的困惑：企業對網絡安全建設的重視度不斷提升，安全投入也逐步增長，采購并建設了態勢感知系統、SOC平臺、威脅檢測系統等新一代安全管控平臺，但新技術的應用卻帶來了更多問題，讓安全管理團隊陷入了日志分析、事件響應和問題處置等大量事務性工作中，疲于應對，實際效果難以達到建設預期。

　　網絡安全產品碎片化嚴重，企業在構建自身安全能力時，需要通過工程化方法將多種基礎安全能力進行科學組合，才能形成有效的整體防護能力。當企業應用和服務云化后，多云業務、泛終端應用場景越來越普遍，企業業務的安全暴露面越來越大。企業從系統防護、數據防護再到云應用的防護，安全能力建設的壓力越來越重，僅依靠企業自身能力積累，實在難以滿足目前的安全防護需求。

　　在最新發布的《企業高級威脅防護能力構建指南》報告中，安全牛也對目前我國企業安全建設的主要挑戰進行了調研梳理，主要表現為：

　　43%的調研者認為其面對的高級威脅攻擊已經常態化。對企業用戶而言，高級威脅的應對嚴重依賴外部情報的更新和防護檢測手段的先進性，如多源情報分析、行為學習建模等；

　　面對高級威脅檢測會有較高誤報率，需要有力的運營團隊來維護安全策略、管理安全告警、響應處置風險事件并定期評估風險，以保證安全能力建設與暴露面增長帶來的風險可以抗衡；

　　安全的長效運營對企業是一場持久戰，這使得安全設備、人員的投入與企業利潤的追求也總是令企業管理者難以權衡。

　　從產品思維到服務思維

　　當安全防護模式從事件性處理演進到常態化運營階段時，對安全運營者專業知識的依賴度更高、問題分析能力需求更強、處置響應要求更快。如何在縱深的網絡安全防護中使人、技術和操作保持高效協同，將更多的安全能力釋放出來，減輕企業整體安全防控壓力是現代企業必須面對的挑戰。

　　Gartner自2011年開始持續關注并提出了MSS（Managed Security Service，托管安全服務）的理念，目前在北美等地區已經有較成熟的落地，以SecureWorks、Trustwave、Symantec、Verizon、IBM等國際廠商為代表，通過全球化的安全運營中心，為企業提供安全托管服務，有效解決了企業自身安全能力不足的難題。MSS主要覆蓋的安全能力包括：

　　安全技術管理與編排

　　安全事件響應服務（遠程和現場）

　　漏洞評估和托管漏洞管理服務（例如掃描、分析和建議/補救）

　　全球化的威脅情報服務（例如機器可讀的威脅情報源、客戶指定的暗網和社交媒體監控）

　　面對未知威脅的檢測和響應（MDR）服務

　　在我國，托管式安全運營理念也開始受到行業更多關注。一方面是因為用戶安全需求的驅動，另一方面也歸功于云計算等新興技術的成熟，為MSS這種遠程服務取代駐場運維奠定了技術基礎。MSS的核心是提供7*24小時的針對威脅檢測的安全事件監控和響應，對威脅響應時間、處置效率、建設成本以及安全系統可用性等指標項，都提出了更高的要求。

　　對比傳統的安全建設與運營模式，托管安全服務對于需要多少成本、多少人力、多少時間資源是可以清晰評估并量化的，能夠實現安全服務商和企業用戶在安全資源和成本投入方面的優化，給企業的安全建設減負，讓企業可以把重心和思考放在業務發展上。

　　回歸對安全最本質的訴求

　　從2018年開始，我國主流國內安全廠商開始基于其優勢單點產品能力，嘗試為用戶提供遠程安全托管服務，如MDR、FWaaS等，推動傳統安全建設方式的轉型。隨著云計算技術的應用發展，越來越多的安全防護能力被整合到MSS服務體系中，形成了更具特色的安全托管服務。

　　以國內較早發布MSS服務的深信服科技為例，其在不久前舉辦的“深信服智安全創新峰會”上，正式推出了成熟度更高、可用性更廣的MSS 2.0方案，嘗試構建隨需可得的托管安全運營能力，為用戶提供日常安全運營、實戰攻防運營、等保合規運營、勒索專項運營等綜合安全服務。

　　深信服科技CEO何朝曦表示：“在云計算時代，要用云化的安全來保護企業云化的業務。我們希望幫助企業回到對安全最本質的訴求，在更加復雜、變化更加快速環境下，讓安全更加的簡單有效，讓用戶更省心，讓業務更可靠?！?/p>

　　據安全牛了解，在深信服MSS 2.0版中，其核心能力包括資產管理、漏洞管理、威脅監測與響應、事件預防與響應，涵蓋了資產、脆弱性和威脅三個傳統安全要素。此外，還結合國內實踐化運營的特色需求，在常態化安全運營的基礎上挖掘了實戰攻防運營、等保合規運營、勒索專項運營等特殊場景的運營服務。其中，事件預防與響應通過大量安全實戰經驗總結后的知識沉淀，經過專業團隊的研究分析后形成預防模型、知識庫以及處置預案，為用戶后續的安全防護能力建設提供指導。

　　圖1 深信服MSS 2.0 能力架構圖

　　我國企業安全的能力建設已經經歷了從人工防護到產品技術防護，從產品技術防護再到系統化持續運營防護三個階段。先進的安全產品和技術只有被充分運營起來，各種安全威脅才能被盡早發現，并得到及時處置。某種意義上說，安全托管服務的發展代表著企業安全能力建設正在步入一個新的階段。

　　圖2 2021 Gartner安全運營成熟度曲線

　　在Gartner發布的《Hype Cycle for Security Operations, 2021》中，對多項安全運營服務涉及到的技術進行了成熟度評價，我們可以看到：漏洞評估、安全信息和事件管理（SIEM）、CASB、EDR 已進入成熟和準成熟階段；托管檢測和響應 （MDR） 、網絡威脅檢測及響應NDR 、SOAR的技術泡沫也正在逐漸消退。隨著這些基礎性安全技術的成熟，安全托管服務廣泛應用的時代或將很快到來。