高枫

随着组织发展其安全程序，安全环境的复杂性也在增长。复杂性和变化要求采用一种全新的方式来应对现代安全运营中心（SOC）。根据Gartner的数据，到2022年，50 %的SOC将转变为具有集体事件响应、威胁情报和主动搜寻威胁能力的现代运营中心，而2015年这一比例还不到10 %。

安全和风险领导者正在寻找合作伙伴来帮助他们建立内部能力或将其全部外包出去。因此，安全服务的整体市场正处于一个快速的发展阶段，从传统的监控和管理发展到更先进的、由人工智能（AI）领导（但以人为驱动）的安全服务。更不用说，公司正在进行全组织范围的数字转型，这需要一种全新的方法来实现跨混合多云平台的安全。

如何实现安全托管服务的现代化

传统上，安全托管服务提供商（MSSP）专注于最大容量的日志监视和警报，但缺乏调查和外围防御。传统的MSSP在调查过程中提供的信息有限，无法透明化，定义哪些进行了升级，哪些没有升级。随着攻击载体的发展和数据量及准确性的提高，MSSP正处于安全的关键时刻。

接下来让我们更深入地探讨MSSP应该推动安全托管现代化的3个方面：

1.托管检测和响应（MDR）

对传统MSSP来说，最重要的变化之一是涉及到托管检测和响应功能。Gartner表示，到2024年，超过25 %的组织将使用MDR服务，40 %的中型企业将使用MDR作为唯一的安全托管服务。客户对更主动的响应和补救的需求是主要驱动因素。

传统的MSSP，重点放在日志管理、威胁情报、合规性和设备管理上。MDR侧重于一种主动的方法来检测和管理安全事件，从而限制安全事件的影响。

MDR结合了人类专业知识和分析、人工智能和机器学习（ML）之间的平衡方法，以加速检测和响应。改善这2个关键领域意味着将花费更少的时间并尽可能减少损害。此外，MDR背后的人力资源专业知识使组织能够主动捕捉威胁并识别攻击者用于攻击的工具和技术。

2. AI驱动的安全管理

AI和ML是下一代MSSP增長的关键领域。根据Forrester的数据显示，64 %的企业安全决策者担心使用AI的网络罪犯。此外，54 %的企业通过雇佣或外包AI专家来实现或扩展AI能力。

安全和风险领导者必须熟悉AI技术和安全研究的构建模块。第一个原因是，威胁行动者正在积极利用AI和ML来瞄准组织，并发现了大量的可识别个人信息数据集（PII）。其次，如果没有通过AI和ML进行实时安全分析和管理，组织就无法在不断增加警报量时获得安全状态的上下文，得出有意义的见解。

物联网（IoT）和运营（OT）等技术也为安全生态系统增加了更多设备和数据。这反映了一种新的威胁，许多首席信息安全官从未处理过这种威胁。随着数据量和准确性的增加，安全托管提供者需要AI来提升它们的检测、响应和修复的能力。

AI和ML允许第三方安全提供商筛选噪音并有效地为客户减少误报。AI驱动的安全管理可帮助分析人员快速分析大型数据集并关联数据，从而使分析师能够在快速升级之前发现潜在威胁和异常行为。

AI和ML也有助于加快响应速度，将完成一项调查所需的时间从几天或几个月缩短到几小时甚至几分钟。基于AI和ML的检测和响应可以利用先前的攻击数据，帮助识别新威胁中的类似特征。

3.将合规性和风险转化为可行的见解

组织不仅面临安全环境的复杂性，还面临着合规性和监管要求。管理风险的最大障碍包括成本增加、难以找到合适的技术以及缺乏恰当管理风险与合规职能的专业人员。

安全和风险领导者经常告诉我们，他们发现很难对组织风险进行量化和报告。他们要么没有正确的风险背景，要么不确定如何处理新法规。

现代MSSP需要在与客户的每次互动中，将有意义的合规性和风险管理放在首位。为此，现代MSSP应该从事件、关联数据、漏洞和威胁情报中综合遥测，以帮助客户评估、检测新风险和现有风险并确定其优先等级。服务提供者需要作为合作伙伴了解业务，以帮助客户了解相关的业务信息。

当今安全形势要求对安全规则采取一种全新的方法。MSSP应该不断寻求领先于对其客户构成的威胁和风险。

新出现的威胁、风险和技术可能会带来不确定性。一个全球性的、现代化的安全合作伙伴可以帮助组织管理企业安全功能，并解放安全人员，专注于整体计划监督。