【51CTO.com快译】引言:下列清单可帮助您鉴别安全即服务类(security-as-a-service,即SECaaS)提供商的专业技术,并且评估出哪个提供商能够最好的满足您的需求。
安全即服务(security-as-a-service)的概念已逐渐根植于许多人的思想中。其实这也不难理解。越来越多的组织已经意识到:除了需要经常性满足传统的合规以外,安全运营和持续事件响应同样不容忽视。与此同时,如今许多组织也进一步意识到构建出成熟的且具备应对各种现代威胁的安全能力并非是简单的一蹴而就之事。它实际上是一个复杂的且持续的努力过程,而且需要相当的付出和对于风险及威胁发展与变化的持续关注。
大家对安全的概念已经是今非昔比了。现在许多审计人员想知道的是一个组织是否有事件响应计划,以及它是否行之有效。随着各个组织将其业务和基础设施等部件转移到了云计算模式,他们已经在寻找与云计算相配套的安全解决方案了。不过貌似这一切还并不够,客户们现在也开始定期详查其云服务提供商、以及其他各类提供商们对其数据保管工作的践行情况。正所谓“道高一尺、魔高一丈”,攻击者同样越来越善于在不使用任何恶意软件的条件下盗取各类证书,并伪装成合法用户去访问数据。
考虑到上述这些因素,毫无疑问,组织需要利用“安全即服务”提供商所提供的专业技术,来帮助他们在很短的时间内满足各种各样的安全需求。正所谓:哪一块市场有方案需求,鱼龙混杂式的炒作就会跟风而至。那么各个组织如何才能看穿这些“炒作”与“杂音”,从而了解到“安全即服务”提供商的真正能力,并且评估出哪个提供商能够最好的满足他们的需求呢?
在让提供商“进场”之前,就让我们用20道问答游戏的方式来对他们的能力进行一番探索吧。正如之前提到的,这可能并非一个详尽的问题清单,但却是一个很好的开始。
1. 提供商的整体理念和愿景是什么?
注:潜在客户要求“安全即服务”提供商用一、两句话来阐述其奋斗的技术目标和内驱力。在我看来,这是非常合理的开启询问的方式。毕竟明确目标决定着后续的发展方向。
2. 除了基本的合规之外,你们还能提供什么?
注:诚然按照各种既定的规范去收集到用户的数据是比较容易的事情,但是对这些数据实施合理且有价值的管控却完全是另外一回事了。
3. 哪些是他们进行内容开发处理和日常操作流程等问题的驱动力?
注:实际上圆满的回答应该是:通过对我们组织所面临的风险和威胁深入理解,并进行了优先级排序后,寻找控制措施来帮助我们降低风险与威胁,才是其工作的驱动力。
4. 各类报警是如何制定、实现和维护的?
注:系统监控到了安全事件一般都会触发各类报警。但是如果你想监控到我们的组织运营,我理应清楚的知道你们是如何及时的产生出可行的、不失真的、而且是“低噪音”的报警的。而且该报警不会在本组织已经处于人手资源有限的情况下,产生误报或者反而增添更多的工作量。
5. 你将如何解析我们的网络环境和数据流?
注:毕竟,即使是使用了最好的内容开发流程和报警逻辑,也需要搜集和获得足够的网络数据来进行识别等后继操作。因此能够长逻辑上解析清楚我们的网络环境及数据流就显得非常重要了。
6. 你将如何解析我的各种终端呢?
注:这其中也包括了如台式机和笔记本电脑之类的传统终端,以及如智能手机、平板电脑、瘦客户机等那些新型的终端。因此具有跨各种设备的“可视”能力,对我们来说是非常重要的。
7. 你能帮我监视到Web应用和服务器吗?
注:总在黑暗处窥视我们的那些攻击者是不会仅限于攻击终端的。如果Web应用程序或服务器本身是脆弱的,那他们肯定会施以攻击。如果发生此类情况,我想尽快第一时间知道。当然,更理想的状态是:在我碰到该问题之前,你是否能提供一种服务,以帮助我去主动的识别出那些易受到攻击的资产呢?
8. 你将如何提供针对我的云基础设施的可视性呢?而且能达到我以前传统企业模式下的那样监控程度吗?
9. 你能提供给我那些已外包出去的软件即服务(SaaS)应用的可视性吗?
注:对于来自外部的针对数据犯罪、欺诈、窃取等活动,或是来自内部安全威胁等问题,我需要是全面的可视性,而不要有任何的盲区。
10. 你能有一个集中管理的门户入口来方便我及时高效的存取自己的数据吗?
注:这样可以帮助我便捷的查看并了解到的本组织内部的当前安全状态。
11. 你的门户入口支持什么类型的数据压缩、聚合和可视化的标准?
注:如果需要的话,你会允许我来自定义数据的识别模式和深入挖掘模型吗?
12. 你提供什么工具来允许我创建自己的报警?
注:我可以按自己所需来定义数据采集和安全事件等方面的深入调查吗?
13. 除了检测和响应,你还能提供什么样的帮助来避免我的组织受到安全侵犯呢?
14. 我怎么能够确定:你可以根据我所提供的数据的总量和复杂程度,来迅速检测出我的组织是否受到安全侵犯呢?
15. 你如何分析和调查所产生的警报?
注:我希望你凭借的是专业知识,并且使用的是企业级的技术与方法。
16. 针对不同类型的事件,你是否有不同的文档化处理流程?
注:我是希望在不同的事件场景发生时,你都能有所准备且处理得当。
17. 如果检测到一个安全侵犯,你将如何去控制并纠正该侵犯呢?
注:响应流程固然重要,但是除此之外,必要的综合技术支撑使得响应操作能顺利实施也是至关重要的。
18. 你能提供什么样的报告呢?
注:我需要将你的服务报告和绩效指标呈报给我的管理层。包括:你开具的服务单数量和过滤出了多少防病毒报警等。如有更多,则对我更有帮助。
19. 你如何提供事后教训总结来帮助我从过往的错误中进行学习,从而不断提高和保持本组织的安全状态?
20. 作为一个“安全即服务”的提供商,你是如何不断进行迭代、改进并成熟和完善自己的能力,以确保我所获得的“安全即服务”能跟上并能应对不断变化的威胁态势。
实际上,市场上是没有所谓的“安全即服务”提供商紧缺之说的。只要哪里有业务需求的出现,市场和营销就会跟进到哪里。各个组织的业务和安全领导层需要运用鲜明且有效的方法去筛掉“炒作”与“杂音”因素,并最终能做出理性且明智的决定。如您所见,我就是这么一个爱用“20道问答游戏”来厘清问题的“粉丝”。
原文标题:20 questions to explore with security as a service providers 作者:Joshua Goldfarb
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】
