Gartner：2013-2014年全球MSS市場分析

在沉寂了一年之後，Gartner于2014年2月份釋出了一份《Magic Quadrant for Globle MSSPs》（全球MSSP幻方圖）的報告。這次Gartner将北美和歐洲、亞太的MSSP分析合并成了一個全球報告。

報告顯示，第一象限的三強是Dell、Verizon和IBM，原先的三強之一Symantec被IBM替代，這也間接展現了近期兩個公司安全營收的走勢。

報告指出，2013年全球安全外包市場達到120億美元，并預測到2017年的年均複合增長率在15.4%。

Gartner一貫的MSS定義是：通過遠端的安全營運中心（SOC）而非駐場人員提供的一種對IT安全功能進行遠端監控和管理的服務。這就是說，Gartner的MSS不包括人員外包、資訊、開發與內建服務。通俗地講，Gartner給出了一個狹義（嚴格）的MSS定義，僅指在局端通過SOC對用戶端的IT安全進行監控和管理，不包括駐場服務、外包服務、安全咨詢服務、定制開發服務。這個定義跟Forrester的定義是不同的，需要注意。

我們來看看幾個重要的MSSP的SOC情況。

AT&T的SOC是自研和外購商業産品的結合體；

BT的SOC采用自研開發的技術建設；

CSC的SOC：SIEM是買的成熟産品，然後在上面自研包裝了一層；

DELL SecureWorks的SOC：自有技術；

HP的SOC：用到了Arcsight，以及一些自己的運維管理軟體，還有一些定制開發；

IBM的SOC：主要是自研技術，有些服務用到了QRadar；

Orange的SOC：自研和購買SIEM相結合；

Symantec的SOC：自研技術為主，輔以商業SIEM，并且工作流運維管理采用商業産品；

Trustwave：自有技術，他們2010年并購了SIEM廠商Intellitectics；

Verizon：自有技術為主，工作流運維這部分用到了商業産品；

Gartner的MSS服務類型包括：【對比2011年的】

1）FW和IPS的監控與管理；

2）IDS的監控與管理；

3）抗DDoS

4）安全消息網關（安全内容網關）管理；

5）安全WEB網關的管理；

6）SIEM；

7）網絡、伺服器、應用和資料庫的弱點掃描；

8）安全漏洞和威脅通知服務；

9）日志管理與分析；

10）與被監控或管理的裝置，以及突發事件響應相關的報告（通報）服務

在MSS服務方式（模式）上，Gartner分為：

1）對客戶的邊界安全裝置進行監控與管理，這些邊界安全安全裝置最典型地包含FW，IDP，UTM，NGFW，WAF。這些裝置可以是客戶自己的，也可能是MSSP的CPE裝置（租借的）。

2）對客戶的IT基礎設施（包括伺服器、應用、網絡裝置、安全裝置）進行監控與管理，尤其是日志監控、分析與管理，例如對客戶自有的SIEM進行遠端監控與管理服務，當然也可能是在用戶端部署SIEM CPE設施。

3）純粹通過雲和SaaS模式來為客戶提供服務，典型的服務例如抗D，郵件安全，WEB過濾，漏掃，基于網絡的FW和IDP等。這種模式下，即不需要客戶部署CPE設施，也無需客戶自購相關安全設施，而隻要給MSS開放相關的配置和線路，例如DNS配置、路由設定、某些基礎設施的通路控制權限等。

個人覺得Gartner的這種“劃分”有些亂，還不夠明晰，上面的劃分也不是Gartner的一個确切劃分。是以，結合我的了解，我對MSS模式的劃分如下：

模式1）對客戶現有IT安全機制的遠端監控與管理服務：客戶已經購買了IT安全設施，但是自己用不起來/用不好，這時讓MSSP遠端地對這些自有投資進行安全運維；

模式2）在客戶處部署IT安全機制，并在遠端對其進行監控和管理：客戶直接購買服務，無需自己建設某種IT安全機制，而以租借或者幹脆全部打包到服務費中的形式部署MSSP提供的IT安全機制（即CPE設施），并讓MSSP遠端對這些IT安全機制進行安全運維；

模式3）Cloud和SaaS模式：這種模式下，即不需要客戶部署CPE設施，也無需客戶自購相關安全設施，而隻要給MSS開放相關的配置和線路，例如DNS配置、路由設定、某些基礎設施的通路控制權限等。

模式3是目前最流行的模式。尤其是在國内，按理說，模式1和模式2是國際上最經典的和成熟，但是國内反而做不起來，倒是模式3在國内做的相對更多，也更好。

談到國内的MSS，目前新興的都是以模式3為主導的，正好也跟當下的雲安全、SaaS、SECaaS等合拍，很吸引眼球和投資人的青睐。例如安全寶、知道創宇都在開展模式3類型的服務，這種模式也可以算作是美國的舶來品，但是在中國貌似還比較受SMB的青睐。接着，BAT也借着自己在雲方面的深厚實力介入這塊MSS市場。

誠然，模式3對客戶來說是容易了解和實施的，尤其是針對SMB客戶，它相當于将企業群組織的部分安全基礎設施外包給MSSP，注意不是服務外包，而是安全基礎設施外包。譬如，很多模式3類的服務（例如抗D、流量檢測等）場景下，客戶的網絡出口流量（進和出）都被引導到MSSP（這時也可以叫SECaaS）那裡去了。如果我們将模式1和模式2了解為帶外管理（OOB）的話，那麼模式3就是帶内管理（IB）。

進一步地，模式3不是萬能的，隻對某些安全機制有效，即隻能對某些安全能力采取這種模式。此外，由于基礎設施已經外包給MSSP了，那麼受MSSP的限制（控制）程度就很高，因為是帶内管理模式，如果MSSP出現問題，例如當機了，那麼不僅僅是說客戶的安全沒法保障了，更麻煩的是客戶的業務要中斷了。盡管有些方法可以緩解這種風險，但終歸比模式1和模式2要危險些。典型的例子就是美國的cloudflare的服務中斷事件，足夠引起安全寶警惕。

再就是模式3的客戶，一般都是SMB，LE和關鍵基礎設施營運客戶則會特别謹慎。

最後，要做好模式3，需要較大的安全基礎設施投資，以及網絡帶寬投資，還要分布全球/全國的節點。這時，很多SECaaS會尋求在網絡基礎設施這塊有實力的合作夥伴。

回過頭來看模式1和模式2，國内開展的的确比較艱苦，一如我以前博文中經常提及的那樣，作為MSSP的主流業務，在中國有些水土不服。這兩種模式一般都是專業的安全廠商在做，例如啟明星辰、綠盟和天融信。

啟明星辰是有一個專門的M2S部門來承擔這個MSS的工作，方式主要就是模式1和模式2；

綠盟近幾年一直在投資建設一個“安全雲管理平台”，方式重點就是模式1，且限于自有品牌的安全設施；

天融信也一直在嘗試MSS，方式也集中在模式1和模式2上，然後還在借助合作夥伴的力量。

最後還要提一下360，他們目前在三種模式上都在探索，尚未有明确地方向。

BTW，更多國内廠商MSS方面的詳細分析不便在部落格上公開，各位同好如果感興趣，歡迎交流溝通，分享資訊。

必須看到，不論哪種模式，目前都不敢說在國内做到如何如何的成績了，都在試水階段，這種國内的現實環境密切相關。包括前面說道的模式3，貌似很火，其實也還是在燒錢階段。能否成功，還有待觀察。一方面，我們要根據國情尋找自己的創新模式，一方面，也要促進客戶自身認知的提升。

【參考】

Gartner：2012年北美MSS市場分析

Gartner：2011年北美MSS市場分析