管理安全服务提供商的演变与机遇

关键要点

管理安全服务提供商MSSPs正逐渐采用先进技术，提高反应速度和精准度，帮助小型组织应对复杂的安全挑战。威胁情报可以帮助企业预防攻击，但管理和理解这些信息对于许多小型安全团队来说并不容易。行业特定的信息共享与分析中心ISACs在集成和传播威胁情报方面起着重要作用，为多个行业提供安全支持。

在过去，许多组织由于缺乏内部安全团队的技能和人员，依赖于早期的管理安全服务提供商MSSPs进行人力补充。然而，简单的人员增补并未必能提高流程或效率，结果常常只是昂贵的外包。

近年来，服务提供商逐渐采纳更先进的技术，这些技术能够帮助减少警报疲劳、提高准确性，并为小型组织提供他们无法独自管理的复杂自动化解决方案。最近出现的一波管理检测与响应MDR服务，使得更高级的检测和响应能力得以面向更广泛的市场。

威胁情报承诺能够帮助企业保持对攻击的前瞻性思考，而不仅仅是被动应对警报和事件。然而，管理和理解威胁情报 对许多安全团队来说，尤其是小团队来说，显得较为困难。

根据行业分析公司Gartner的报告，如今只有少数组织对自身的威胁环境有准确的了解。他们表示，安全和风险管理的领导者在识别哪些威胁应构成真正的忧虑方面面临挑战。

目前，市面上不乏来自开源数据、商业提供商、行业协会及内部安全流程的威胁数据。然而，将海量数据进行汇总、关联及优先级排序以创建“单一真实来源”显然是一个更大的挑战。最终，威胁情报只有在能够及时向适当的人传递相关信息时，才能发挥作用，以便他们能够迅速采取行动。

根据GuidePoint Security的数字取证和事件响应及威胁情报高级总监Tony Cook的说法，小型和中型安全团队在管理威胁情报时可能会感到不堪重负。这通常需要专业知识，以及复杂的系统，这些系统仅对拥有专门威胁情报分析师的大型企业实用。

市场上提供的威胁情报平台TIP能够自动从威胁源中提取相关指标，为相关数据添加背景信息和上下文，并与现有的安全控制系统集成。但许多安全团队发现这些平台价格昂贵且难以部署。传统的TIP也难以与其他安全运营中心SOC的编排、自动化及协作工具有效集成。

这为服务提供商提供了帮助客户管理威胁情报的机会，帮助他们在噪声中筛选出重要信息，并向客户传递简洁、可操作的威胁警报。通过共享资源的模式，MSSPs能够在可扩展的TIP平台、专家分析师和高效协作工具方面进行投资，将相关情报迅速自动地传递给合适的人。

水母加速器下载

“通过提供威胁情报作为服务，MSSPs可以在帮助组织检测和缓解新兴威胁、漏洞及影响其网络和系统的妥协指标方面发挥重要作用，”Cook表示。“在潜在威胁和漏洞被利用之前识别出来，企业可以显著减少严重安全事件及相关的财务与声誉损失的可能性。”

行业特定的信息共享与分析中心ISACs同样能发挥重要作用。目前涌现出大量覆盖金融服务、医疗、能源、汽车、航空、航运、教育等多个行业的ISACs。ISACs可以帮助从多个来源聚合威胁情报及其他安全数据，并根据现有的威胁水平协议TLP分类迅速、准确地向其成员传播这些信息。更先进的ISACs还开始实施双向分享使会员能够共享实际情报，造福整个社区。

这种“中心辐射”的情报共享模式在其他类型的社区和服务提供商中也得到了应用例如在医疗、制造供应链及