在沉寂了一年之后，Gartner于2014年2月份發(fā)布了一份《Magic Quadrant for Globle MSSPs》（全球MSSP幻方圖）的報告。這次Gartner將北美和歐洲、亞太的MSSP分析合并成了一個全球報告。

報告顯示，第一象限的三強是Dell、Verizon和IBM，原先的三強之一Symantec被IBM替代，這也間接體現(xiàn)了近期兩個公司安全營收的走勢。

報告指出，2013年全球安全外包市場達到120億美元，并預測到2017年的年均復合增長率在15.4%。

Gartner一貫的MSS定義是：通過遠程的安全運營中心（SOC）而非駐場人員提供的一種對IT安全功能進行遠程監(jiān)控和管理的服務(wù)。這就是說，Gartner的MSS不包括人員外包、資訊、開發(fā)與集成服務(wù)。通俗地講，Gartner給出了一個狹義（嚴格）的MSS定義，僅指在局端通過SOC對客戶端的IT安全進行監(jiān)控和管理，不包括駐場服務(wù)、外包服務(wù)、安全咨詢服務(wù)、定制開發(fā)服務(wù)。這個定義跟Forrester的定義是不同的，需要注意。

我們來看看幾個重要的MSSP的SOC情況。

AT&T的SOC是自研和外購商業(yè)產(chǎn)品的結(jié)合體；

BT的SOC采用自研開發(fā)的技術(shù)建設(shè)；

CSC的SOC：SIEM是買的成熟產(chǎn)品，然后在上面自研包裝了一層；

DELL SecureWorks的SOC：自有技術(shù)；

HP的SOC：用到了Arcsight，以及一些自己的運維管理軟件，還有一些定制開發(fā)；

IBM的SOC：主要是自研技術(shù)，有些服務(wù)用到了QRadar；

Orange的SOC：自研和購買SIEM相結(jié)合；

Symantec的SOC：自研技術(shù)為主，輔以商業(yè)SIEM，并且工作流運維管理采用商業(yè)產(chǎn)品；

Trustwave：自有技術(shù)，他們2010年并購了SIEM廠商Intellitectics；

Verizon：自有技術(shù)為主，工作流運維這部分用到了商業(yè)產(chǎn)品；

Gartner的MSS服務(wù)類型包括：【對比2011年的】

1）FW和IPS的監(jiān)控與管理；

2）IDS的監(jiān)控與管理；

3）抗DDoS

4）安全消息網(wǎng)關(guān)（安全內(nèi)容網(wǎng)關(guān)）管理；

5）安全WEB網(wǎng)關(guān)的管理；

6）SIEM；

7）網(wǎng)絡(luò)、服務(wù)器、應(yīng)用和數(shù)據(jù)庫的弱點掃描；

8）安全漏洞和威脅通知服務(wù)；

9）日志管理與分析；

10）與被監(jiān)控或管理的設(shè)備，以及突發(fā)事件響應(yīng)相關(guān)的報告（通報）服務(wù)

在MSS服務(wù)方式（模式）上，Gartner分為：

1）對客戶的邊界安全設(shè)備進行監(jiān)控與管理，這些邊界安全安全設(shè)備最典型地包含F(xiàn)W，IDP，UTM，NGFW，WAF。這些設(shè)備可以是客戶自己的，也可能是MSSP的CPE設(shè)備（租借的）。

2）對客戶的IT基礎(chǔ)設(shè)施（包括服務(wù)器、應(yīng)用、網(wǎng)絡(luò)設(shè)備、安全設(shè)備）進行監(jiān)控與管理，尤其是日志監(jiān)控、分析與管理，例如對客戶自有的SIEM進行遠程監(jiān)控與管理服務(wù)，當然也可能是在客戶端部署SIEM CPE設(shè)施。

3）純粹通過云和SaaS模式來為客戶提供服務(wù)，典型的服務(wù)例如抗D，郵件安全，WEB過濾，漏掃，基于網(wǎng)絡(luò)的FW和IDP等。這種模式下，即不需要客戶部署CPE設(shè)施，也無需客戶自購相關(guān)安全設(shè)施，而只要給MSS開放相關(guān)的配置和線路，例如DNS配置、路由設(shè)置、某些基礎(chǔ)設(shè)施的訪問控制權(quán)限等。

個人覺得Gartner的這種“劃分”有些亂，還不夠明晰，上面的劃分也不是Gartner的一個確切劃分。因此，結(jié)合我的理解，我對MSS模式的劃分如下：

模式1）對客戶現(xiàn)有IT安全機制的遠程監(jiān)控與管理服務(wù)：客戶已經(jīng)購買了IT安全設(shè)施，但是自己用不起來/用不好，這時讓MSSP遠程地對這些自有投資進行安全運維；

模式2）在客戶處部署IT安全機制，并在遠程對其進行監(jiān)控和管理：客戶直接購買服務(wù)，無需自己建設(shè)某種IT安全機制，而以租借或者干脆全部打包到服務(wù)費中的形式部署MSSP提供的IT安全機制（即CPE設(shè)施），并讓MSSP遠程對這些IT安全機制進行安全運維；

模式3）Cloud和SaaS模式：這種模式下，即不需要客戶部署CPE設(shè)施，也無需客戶自購相關(guān)安全設(shè)施，而只要給MSS開放相關(guān)的配置和線路，例如DNS配置、路由設(shè)置、某些基礎(chǔ)設(shè)施的訪問控制權(quán)限等。

模式3是當前最流行的模式。尤其是在國內(nèi)，按理說，模式1和模式2是國際上最經(jīng)典的和成熟，但是國內(nèi)反而做不起來，倒是模式3在國內(nèi)做的相對更多，也更好。

談到國內(nèi)的MSS，目前新興的都是以模式3為主導的，正好也跟當下的云安全、SaaS、SECaaS等合拍，很吸引眼球和投資人的青睞。例如安全寶、知道創(chuàng)宇都在開展模式3類型的服務(wù)，這種模式也可以算作是美國的舶來品，但是在中國貌似還比較受SMB的青睞。接著，BAT也借著自己在云方面的深厚實力介入這塊MSS市場。

誠然，模式3對客戶來說是容易理解和實施的，尤其是針對SMB客戶，它相當于將企業(yè)和組織的部分安全基礎(chǔ)設(shè)施外包給MSSP，注意不是服務(wù)外包，而是安全基礎(chǔ)設(shè)施外包。譬如，很多模式3類的服務(wù)（例如抗D、流量檢測等）場景下，客戶的網(wǎng)絡(luò)出口流量（進和出）都被引導到MSSP（這時也可以叫SECaaS）那里去了。如果我們將模式1和模式2理解為帶外管理（OOB）的話，那么模式3就是帶內(nèi)管理（IB）。

進一步地，模式3不是萬能的，只對某些安全機制有效，即只能對某些安全能力采取這種模式。此外，由于基礎(chǔ)設(shè)施已經(jīng)外包給MSSP了，那么受MSSP的限制（控制）程度就很高，因為是帶內(nèi)管理模式，如果MSSP出現(xiàn)問題，例如宕機了，那么不僅僅是說客戶的安全沒法保障了，更麻煩的是客戶的業(yè)務(wù)要中斷了。盡管有些方法可以緩解這種風險，但終歸比模式1和模式2要危險些。典型的例子就是美國的cloudflare的服務(wù)中斷事件，足夠引起安全寶警惕。

再就是模式3的客戶，一般都是SMB，LE和關(guān)鍵基礎(chǔ)設(shè)施運營客戶則會特別謹慎。

最后，要做好模式3，需要較大的安全基礎(chǔ)設(shè)施投資，以及網(wǎng)絡(luò)帶寬投資，還要分布全球/全國的節(jié)點。這時，很多SECaaS會尋求在網(wǎng)絡(luò)基礎(chǔ)設(shè)施這塊有實力的合作伙伴。

回過頭來看模式1和模式2，國內(nèi)開展的的確比較艱苦，一如我以前博文中經(jīng)常提及的那樣，作為MSSP的主流業(yè)務(wù)，在中國有些水土不服。這兩種模式一般都是專業(yè)的安全廠商在做，例如啟明星辰、綠盟和天融信。

啟明星辰是有一個專門的M2S部門來承擔這個MSS的工作，方式主要就是模式1和模式2；

綠盟近幾年一直在投資建設(shè)一個“安全云管理平臺”，方式重點就是模式1，且限于自有品牌的安全設(shè)施；

天融信也一直在嘗試MSS，方式也集中在模式1和模式2上，然后還在借助合作伙伴的力量。

最后還要提一下360，他們目前在三種模式上都在探索，尚未有明確地方向。

BTW，更多國內(nèi)廠商MSS方面的詳細分析不便在博客上公開，各位同好如果感興趣，歡迎交流溝通，分享信息。

必須看到，不論哪種模式，目前都不敢說在國內(nèi)做到如何如何的成績了，都在試水階段，這種國內(nèi)的現(xiàn)實環(huán)境密切相關(guān)。包括前面說道的模式3，貌似很火，其實也還是在燒錢階段。能否成功，還有待觀察。一方面，我們要根據(jù)國情尋找自己的創(chuàng)新模式，一方面，也要促進客戶自身認知的提升。

【參考】

Gartner：2012年北美MSS市場分析

Gartner：2011年北美MSS市場分析

Forrester: 2012年北美MSS市場分析報告

Frost：全球MSSP市場分析

總結(jié)

以上是生活随笔為你收集整理的Gartner：2013-2014年全球MSS市场分析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。