组织安全运营抉择：内部SOC还是外包给MSSP及二者利弊分析

hwyzw

    一个组织面临着自建内部安全运营中心（SOC）或者将安全运营外包给管理安全服务提供商（MSSP）的选择，这是最为关键的决策之一。从长远的角度而言，此决策会在财务方面、运营方面以及风险管理方面带来巨大的影响。

    这两种选择都有其优势和劣势。组织选择哪一种，取决于组织的风险承受能力，取决于组织的资源可用性，也取决于组织的战略愿景。

    内部SOC：完全控制权与长期承诺

    建立内部 SOC 能够让组织在安全运营方面拥有极为强大的控制权。这种模式需要去雇佣专门的团队，需要对尖端工具进行投资，并且要根据独特的业务环境来开发定制化的流程。

    优势

    组织的内部团队对组织的系统、人员和工作流程更为了解。这种了解能够缩短响应时间，还能够实现精准补救。

    定制化意味着通过完全掌控，能够构建出与组织目标相契合的专门量身定制的安全协议。

    敏感数据完全被保留在组织内部，这样就消除了第三方能够访问的顾虑。

    挑战

    成本方面，财务负担极为巨大。招聘技术人才是昂贵的，维护技术也是昂贵的，提供持续培训同样是昂贵的。

    网络安全专业人员需求很旺盛，同时工作压力也是一个真实存在的威胁。关键员工如果流失，就有可能会导致运营中断。

    随着组织不断发展，您的 SOC 需要相应地扩大规模。这一过程可能会导致成本较高，并且也较为复杂。

    长期视角

    前期成本较高，不过内部 SOC 随着时间的推移能够成为一种战略资产，它可以提供对组织安全态势的深入认知，还能实现更精准的威胁管理。然而，组织必须为持续投资做好准备，以便能够跟上持续演变的网络威胁。

    MSSP：外包专业知识，内置灵活性

    对于那些寻求更简单且资源需求较低的解决方案的组织而言，把安全运营外包给 MSSP 或许是一个很有吸引力的选择。MSSP 能够提供 24 小时不间断的监控服务，还能提供事件响应以及先进工具的使用权限，并且通常前期的成本比较低。

    优势

   

    MSSP 能带来专业知识和尖端技术，这些知识和技术是按需的，其中通常包含 SOC 即服务（SOC-as-a-）的能力。

    托管 SOC 定价通常更具可预测性，且能提供与组织预算相符的灵活模式，从而实现经济高效。

    组织的安全需求会发展，MSSP 能够根据这种发展来调整其服务，以满足需求。

    挑战

    MSSP 可能因为缺乏背景知识，所以难以完全理解组织的独特环境，进而会延缓事件响应。

    过度依赖第三方，这意味着在关键安全决策方面会失去一部分控制权。

    工单过载的情况是，有一些 MSSP 更像是“工单安全服务提供商”（TSSP），它们会让您的内部团队去关闭工单，而不是直接去解决问题。

    长期视角

    MSSP 能够迅速提升组织的安全能力，然而其有效性依赖于良好的协作。倘若缺乏明确的沟通以及明确的授权，组织或许会在安全态势方面留下漏洞。

    成本影响

    在 MSSP 与 SOC 的辩论过程中，成本方面的考虑始终是一个重要的因素。有一项研究表明，运营内部的 SOC 每年的成本大概是 284 万美元，而将其外包给 MSSP 每年的成本大约是 142 万美元。这种巨大的成本差异使得 MSSP 成为那些想要寻求全面安全解决方案，同时又不想承担维护内部团队所带来的财务负担的组织的一个具有吸引力的选择。

    社区观点

    网络安全专业人员社区中，对于是选择内部安全运营中心（SOC）还是外包托管安全运营存在不同的看法。一位具备建立和管理 SOC 经验的专业人员表明了自己明确的倾向：如果您的组织规模不是很大且不复杂，那么您就应该 100%选择 MSSP。因为安全运营需要大量的资源，从一开始构建是很困难的。

    一方面，MSSP具备独特的优势。他们的团队对处理来自众多客户的、各异且复杂的安全环境已习以为常。这种经历使得 MSSP 需保持更宽泛的技能组合，从而能够有效地应对各种威胁和满足合规需求。然而，这也暗示着他们的团队承担着巨大的工作量，有可能会对他们提供个性化关注的能力产生影响。

    这些不同观点表明，组织在决定是建立内部 SOC 还是外包托管安全服务时，有必要对内部能力、风险偏好和长期目标进行权衡。内部 SOC 和外包托管安全服务这两种选择各自具有独特的优势，然而，正确的选择在于使您的安全方法与组织的需求相契合。

    市场增长与采用

    托管安全服务市场呈现出显著的增长态势。2022 年，此市场的价值达到 272 亿美元。预计从 2023 年起，它将以 15.4%的复合年增长率持续增长。这种扩张体现了组织将安全运营进行外包的趋势在不断增长，而这一趋势是由网络威胁日益复杂以及对专业知识的需求不断增加所推动的。

    合规考量：不容忽视的因素

   

    医疗、金融和能源等行业的合规要求既严格又不可回避。在内部 SOC 与 MSSP 之间进行选择，会对合规性以及运营弹性造成重大影响。

    1.审计准备：选择内部SOC的理由

    内部 SOC 能够对日志进行细致控制，这对合规审计很重要；内部 SOC 能够对报告进行细致控制，这对合规审计很重要；内部 SOC 能够对事件数据进行细致控制，这对合规审计很重要。

    2.防范第三方风险

    MSSP 能提供专业知识，然而它们也会带来第三方风险。所以在选择 MSSP 服务时，需要做好以下这些方面：

    两全其美可以吗?

    许多组织认为，混合方法实现了完美的平衡。将内部专业知识与外包支持相结合，组织就能根据特定需求来量身定制网络安全运营。比如：

    混合模式成功的关键在于将职责进行明确划分，并且要与您的 MSSP 构建起牢固的合作伙伴关系。

    MSSP的第三方风险

    MSSP 能提供专业知识且具有灵活性，然而它们也带来了第三方风险。若管理不善，其后果或许会是灾难性的。

    2020 年发生了一个典型的网络攻击事件。黑客入侵了 Orion 软件，许多 MSSP 都依靠该软件来监控客户的网络。这些使用 Orion 平台进行安全监控的 MSSP 在不知情的情况下，把漏洞传递给了客户，使得敏感系统和数据暴露了出来。原本应是安全的解决方案，却变成了绝佳的攻击媒介。

    这一事件表明，过度依赖第三方服务提供商（尤其是那些能深度访问组织系统的提供商），可能会出现重大漏洞。由此可见，彻底审查、持续监控以及明确合同协议，对于降低此类风险十分重要。在挑选 MSSP 时，确保其满足所有必要的合规标准至关重要。

    技术在决策中的作用

    技术在 SOC 即服务与 MSSP 的竞争中起到了很大的平衡作用。对于内部的 SOC 而言，像人工智能驱动的威胁检测以及自动化工作流这样的先进工具，能够让小型团队高效地开展工作。而面临的挑战是要确保持续进行投资，以跟上不断涌现出来的新威胁。

    MSSP 凭借其规模，能够为各种规模的客户提供企业级技术，其中包括扩展检测和响应（XDR）平台。然而，这种共享的基础设施或许会对定制化产生限制。不管组织选取何种模式，恰当的工具都可以填补专业知识方面的差距，使运营得以简化，并且确保合规性与敏捷性。

    选择时需要问的问题

    选择 SOC 或者 MSSP 时，不存在一种普遍适用的答案。恰当的选择依据在于组织所特有的需求、所面临的风险以及其长期的目标。无论是决定进行内部建设，还是选择外包，亦或是采用混合模式，重要的是要让网络安全战略与业务目标相互契合。