解锁安全运营：低成本高收益 托管式安全服务备受市场关注

安全运营作为链接安全工具、安全人员以及安全流程和安全场景的纽带，通过识别威胁、快速分析、精准响应、协同防御，让安全建设中的能力得以施展并提升，已成为现代安全体系中必不可少的环节。

此前的中，我们通过介绍扩展和强化在感知识别、检测分析、决策响应方面的能力，来建立安全运营体系，获得更加高效、自动化和智能化的安全保障。对于用户来说，获取这些核心能力可以通过多种方式实现，本期，我们将从服务模式的角度来探讨安全运营的业态。

在一些风险严峻且监管严苛的头部企业，因具备较强的安全意识和充足的安全预算，较早开始搭建安全架构并逐渐体系化，无论是安全管理流程还是安全人员和技术都相对成熟，CSO携专业的安全运营团队保障企业的业务发展和资产安全，并为安全效果负责。

但在目前的市场中，这样高度自建自筹的用户比例只占很小的一部分，更多的企业受制于组织体制、成本预算、技术能力和人员规模等因素，会优先采购安全产品来建立安全防护体系，必要时通过驻场运维服务或者以人力外包的方式补充安全运营人员，自身需要建立一定的安全管理流程以支撑运转。

随着网络空间整体安全态势愈加严峻，不仅是有预算有能力的大型企业会遭遇网络攻击，中小微企业也会面临层出不穷的安全挑战，更重要的是，在网络威胁变得愈加频繁和复杂的现在，企业需要全天候不间断的监控和覆盖，快速且精准的分析和响应，安全运营走向常态化，对技术、流程、人员等成本和资源都是更大的考验。托管模式的安全运营服务开始受到大量关注，MSS（托管安全服务）、MDR（托管检测与响应）都是目前的热门方向。

追溯起来，MSS的服务模式并不是新生事物，早在20世纪90年代后期，就开始有Internet服务提供商（ISP）为用户提供防火墙设备并代为管理，安全厂商也开始提供商业化的安全监控和管理服务，MSS的概念逐渐形成并付诸实践。2000年以后，安全信息和事件管理（SIEM）等技术体系兴起，安全运营逐渐发展，越来越多的企业采用MSS服务。

Gartner对MSS的定义，是以共享服务模式提供IT安全功能的远程监测与管理，通过远程安全运营中心（SOC）提供7X24小时的安全服务，而非驻场人员的线下一对一服务，通过检测企业的安全工具及日志，发现威胁并做出告警。比较常见的服务包括托管防火墙、入侵检测、虚拟专用网络、漏洞扫描以及反病毒，包括了对整个安全基础设施的管理和监控，是较为传统而广泛的安全服务。

显而易见，MSS可以帮助企业节省雇佣和培训专业安全人员的成本，同时让企业更轻松地获得稳定的安全技术能力与经验，以保证企业自身安全处在可接受范围之内。

顺应威胁趋势发展，对许多企业而言，仅仅监控设备发出警报已经不够了，对高级、未知威胁的检测和响应成为重要的安全动力，以MDR为代表的新兴业务模式快速兴起，Gartner将其描述为通过7x24小时全天候不间断的监控和覆盖，建立起快速威胁检测与有效响应的服务。绝大多数MDR服务是通过主机层与网络层的技术，生成、收集安全事件以及上下文数据，支持威胁检测与事件分析。

MDR充分利用部署在终端、边界、流量等防护设备，通过行为分析、流量分析、威胁情报以及与多级专家的组合，提供更加快速和全面的威胁监视、检测、狩猎和响应服务。其具有现代安全运营中心远程交付的能力，专注于精准检测、调查分析、积极遏制事件，旨在通过持续运营以减少威胁发现和威胁响应之间的时间。它还可以为不堪重负的安全团队提供主动防御情报和高级威胁洞察，其提供的有关各种法规和标准的完整报告和日志保留，也方便企业应对合规的监管挑战。

因此，业界通常也将MDR看作进阶版的MSS，更加注重对威胁的深度分析和处理，更加强调对安全事件的主动响应。具体来说，在实现原理和部署方式上均有所区别，MSS服务通常需要企业提供自己的技术，从而识别关键事件来源，将日志转发到中央采集设备；对于MDR服务，企业现有安全设备生成的日志通常只是用作上下文分析时的辅助数据，提供服务的安全厂商会将自有技术堆栈工具部署在客户场所，如通过网络流量分析工具、终端活动监测与欺骗技术等实现威胁的监测与响应，因此具备更快、更有规模的交付效果。为了最大化利用现有安全能力，节约成本，如今的MDR服务也倾向于支持客户原有的技术，比如通过API接口，能够简化服务集成。

随着托管安全服务的发展，MSS和MDR之间的界限已经越来越模糊，融合发展趋势明显，很多传统的MSS厂商也开始提供MDR服务。Gartner认为两者是交集的关系，尚不会完全彼此覆盖，MDR服务市场在中国处于扩张状态，预计到2026年，中国60%拥有安全运营中心的组织都将会使用MDR服务增强安全运营能力。《2023年中国网络安全运营市场研究报告》亦指出，从国内市场需求来看，由合规、实战和效果多驱动因素叠加，客户在选择MSS服务时，通常针对重要的IT资产和应用系统也会要求提供高级别MDR服务，而从供给侧来看，为了提升MSS服务价值，增强市场竞争力，MSS服务商也在不断细化和升级服务内容，推出配套的MDR服务。

企业在选择托管安全运营服务时，首先需要清楚定义这项服务在企业整体安全战略中的定位，比如是一个短期的临时项目还是长期的解决方案。其次服务供应商是否具备稳定、可靠的威胁检测和响应等安全能力，合作、协同等支持能力，以及行业服务经验都是硬核指标。再者网络安全防护是一个综合体系，如何保护现有的安全投资，如何将服务有效融合在成本评估中也十分重要。国内市场中，综合型安全厂商、以传统MSS起家的厂商、云安全厂商等等都有相关托管模式的安全运营服务提供，在此介绍一二供大家参考。

安恒信息提出一种广泛适用于国内政企用户的安全运营服务框架模型-IPDRO模型，针对企业防护对象框架，构建安全组织体系、安全管理体系、安全技术体系，通过事前对互联网资产暴露面风险识别（Identify），事中不断验证和增强安全防御能力（Protect）和持续开展安全检测（Detect&MDR），事后积极组织开展安全响应（Response），日常有序开展安全运营管理（Operation&Management）有效控制安全风险，同步指导开展安全合规建设工作，从技术和管理层面快速提升、持续改进安全能力。

基于该模型推出了三类安全运营服务包，轻量级的MSS服务侧重于基于远程方式强化安全边界防御能力，增强型的MDR服务侧重于基于产品安全的安全威胁的深度检测与响应处置，综合型的安全运营中心建设Cyber SOC侧重于体系化、常态化的综合安全保障体系规划、建设和运行。

其服务优势在于打造的是集云端安全支撑能力（天）、标准化和数字化运营工作落地执行（地）、持续提升的安全运营团队能力（人）和智能化运营支撑技术体系（机）的“天地人机一体化”复杂安全保障体系，多年经验沉淀了资深的安服团队和云服务团队，安服团队累计用户20000+，参与全国百场国家安保，具备多维安全服务能力，人员多，经验足，在全国设立了4大运营服务中心，能够真正和本地安服团队配合，构筑辐射全国的服务能力。

以安全托管服务作为主营业务的聚铭网络打造了聚铭云端安全管家，定位为企业提供集安全检测、监控、运维、个性化服务等功能于一体的全方位安全服务。对于企业应对恶意程序、网络钓鱼、网络黑产等威胁，以及系统漏洞检测、资产管理等主动安全防御需求，以内置的八合一分析引擎，通过“云+网+端”模式，全面发现用户威胁、脆弱性、资产、安全事件等风险问题，形成360度立体检测，确保无安全死角；对于企业被动安全需求，提供全方位的智能监控，实现用户日常运营监控、安全预测预警以及安全策略的定制等。

据悉，平台具备大量的安全数据积累，基于自动化、人工智能以及机器学习等技术，平台托管服务已完全从过去依靠大量的人工服务转变成智能化的在线服务，能够达到97%的机器处置与3%的人工干预，实现人机共智。并且，3%的人工分析成果又能成为平台机器自动学习的样本，不断优化安全服务，以此能够节约大量人力成本与时间成本，为用户提供高性价比的安全托管服务。

此外，平台可兼容企业部署的其他安全厂商的设备，并覆盖数据库、应用系统、网络设备、主机服务器、配置信息等各类环境，提供全方位的云上安全防护。以此，能够减少企业重复采购安全设备的成本，减少线下驻点、线下巡检、建设本地服务团队的成本，减少信息化建设安全服务管理的成本。

经过多年发展，我国网络安全产业逐渐进入到建设与运营并重的新发展阶段，成功的安全在于运营，尤其对于中小企业来说，很难像大企业一样按照自身业务贴身自筹自建安全体系，MSS、MDR之类的托管型安全运营服务不仅提供了更完整、更优质的安全防护水平，还极大程度地解决了企业在安全建设及运营方面预算不足、能力有限的问题。在目前，产业成熟度较低，尚处于早期阶段，但是市场潜力较大，人才与成本的挑战、企业上云增加的安全管理难度、政策引导带来的接受度提高，都在不断扩宽托管安全运营服务的市场机会，希望优质且普惠的安全能力能够通过托管服务的模式走进千行百业。