首先呢,官方是这么定义MSS的,Gartner 于2011年提出,即网络安全厂商通过自身的安全运营服务,包括人员、工具、平台等,为其用户提供7*24小时的远程网络安全托管服务。MSS的提供者称为安全托管服务商-MSSP(Managed Security Service Provider)。
在2019年发布的《全球安全托管服务市场魔力象限》报告中,也明确定义了安全托管服务所需的基础内容:
1、对安全事件和安全相关数据的远程7*24H监控;
2、通过远程安全运营中心(SOC)的共享服务提供安全运营,而不是通过现场人
员或一对一的方式向单个客户提供服务;

简单来说MSS安全托管服务是指安全厂商通过统一的安全运营平台为客户提供一系列安全服务,以满足企业对安全人员、技术和流程的需要。

随着近些年通过国内外安全事件的不断升级,国家法律法规的逐步完善,安全行业的发展,MSS的定义也在不断发生着变化,如今情况下MSS主要包括
1、资产发现与脆弱性管理,这些就包括一些资产管理,漏洞扫描分析和防护措施
2、刚刚提到的远程7*24小时的对客户侧对接产品的安全事件和相关数据源,包括日志、流量登安全监控和威胁检测
3、对客户的安全设备以及运维工具进行统一管理,包括防火墙、IDS\IPS、端点安全、蜜罐等等
4、另外就是对安全事件的响应,其中也包括国内外新兴的威胁情报服务以及可扩展的托管检测与响应(MDR)的理念

可以解决什么问题

首先呢,我们可以思考一下,MSS的出现是为什么出现的以及当前大多数客户面临的网络安全的问题和困境,

随着实战攻防趋于常态化,安全设备数据碎片化,分析一个攻击事件可能要都登录IPS、WAF、EDR、异常流量、全流量等多个设备。然而,对于大多数企业而言,由于技术、人才、经验、成本等多方面的限制,对于突发安全事件无法做到快速响应和溯源,安全运营能力现阶段无法满足实际的业务需要,仅仅处于一个初级救火队员;但如果引入安全运营体系通过平台对接、安全数据整合、自动化脚本等方式来全面提升企业对自身信息安全的掌控能力,将收获1+1>2的效果
也就是当安全运营的建设与实际需要存在较大差距,那这个时候MSS也就出现了,

不同厂商的MSS实现的机制根据客户的服务也有所区别,比如安全监控和威胁检测服务主要由MSSP通过企业用户的本地连接器将原始日志、流量等数据传输到MSSP的安全运营中心进行分析和处置。像我们的MSS目前常见的数据源包括蜜罐、ndr、漏扫等,围绕主动性、持续性、对抗性来降低企业的安全风险。在收集信息后,对客户进行主动漏洞扫描,发掘危害漏洞,基于相关告警开展关联分析,挖掘容易被忽略的重要威胁线索,找到隐藏的攻击规律,并对相关客户(潜在被攻击者)进行联动告警和预防性加固,达到联防联控的效果。

另外我们基于近几年对攻防对抗场景下的探索与实践,也积累了已累计黑客画像,情报中心数据以及威胁事件追溯经验,我们基于这些情报在MSS上可以对检测出来的攻击事件和设备指纹等信息做进一步的细节关联查询。云端海量的信息和黑客组织等相关信息可以有效扩展本地设备的背景知识,更好满足威胁事件分析和溯源场景下的需求通过“人+流程+技术”最大程度呈现安全运营效果非常便于运营人员实时掌握宏观安全态势,及时响应微观安全事件,提升对网络整体的安全与运维能力。1685946284431.jpg