如何选择托管安全服务提供商和市场预测

已发表: 2019-09-10

网络威胁可不是闹着玩的,但不用担心,托管安全服务提供商 (MSSP) 随时为您提供帮助! 随着市场的蓬勃发展,选择合适的产品可能会很棘手。

这就是我们的指南派上用场的地方,指导您逐步找到完美的网络安全匹配来保护您的小型企业。

无论您是初创公司还是大型企业,我们都能满足您的需求,帮助您轻松浏览您的选择。 准备好潜入了吗? 我们走吧!

跳至:

  • 什么是托管安全服务提供商?
  • MSSP 市场增长预测
  • 选择 MSSP 的指南(7 个步骤)

托管网络安全服务

Canva中创建的自定义图像

什么是托管安全服务提供商?

托管安全服务提供商是向外部企业提供高价值安全解决方案以及安全系统、设备和运营专业知识的组织。

MSSP 采用先进的技术和熟练的网络安全人员来管理客户的安全功能。

MSSP 市场增长预测

  • 预计到 2030 年,全球托管安全服务市场将达到 770.1 亿美元。2020 年至 2030 年的复合年增长率为 12.8%。 (来源: Allied Market Research  
  • 北美托管安全服务市场预计将从 2022 年的 138.2 亿美元跃升至 2027 年的 262.4 亿美元,复合年增长率为 13.8%。 (来源: MarketsandMarkets

美国管理的安全服务市场

来源

选择 MSSP 的指南(7 个步骤)

跳至:

  1. 进行内部安全审计
  2. 研究未来的 MSSP 公司
  3. 评估 MSSP 能力
  4. 了解 MSSP 方法
  5. 比较 MSSP 计费模型和合同
  6. 验证 MSSP 合规性和认证
  7. 参观 MSSP 设施

托管安全服务提供商  

1. 进行内部安全审计

首先,彻底评估系统中现有的安全漏洞并明确确定安全要求。

仔细检查合规性法规、行业指令、网络风险等关键因素。

它可以识别满足要求的 MSSP。 明确定义所需的服务 - 网络安全、端点保护、审计报告、渗透测试、威胁情报、事件响应等。

指定任何行业特定需求,例如医疗保健领域的 HIPAA 合规性。

  • 识别需要保护的所有关键业务系统、数据资产和基础设施。
  • 咨询合规团队和审计员以确定监管和合规要求。

2. 研究未来的 MSSP 公司

全面搜索目录并寻求建议,以创建广泛的潜在 MSSP 合作伙伴列表 - 目标是在您的垂直行业和业务规模方面具有专业知识的公司。

分析他们的服务能力、合作伙伴关系、凭证和客户参考资料 - 将能够提供每个步骤所需服务的 MSSP 列入候选名单。

  • 维护至少 3-5 家公司的名单,以进行深入评估。
  • 从行业活动、同行推荐、RFP 中收集有关 MSSP 的信息,
  • 确保 MSSP 在您的行业以及类似规模的客户方面拥有丰富的经验

3. 评估 MSSP 能力

根据所提供的服务、经验、专业知识、基础设施、可扩展性、灵活性、客户满意度等参数严格评估入围的 MSSP。

顶级网络安全挑战

来源

验证他们能够有效地满足您定义的安全要求。 询问提供相关托管安全服务的具体经验。

评估威胁检测、事件响应、合规性支持等的基础设施、技术和流程。

  • 验证 MSSP 的功能是否符合您所需服务的要求
  • 询问您所在行业的客户案例研究和参考资料

4. 了解 MSSP 方法

仔细检查威胁监控、事件响应、漏洞管理、审计报告和其他相关服务的流程。 检查所使用的工具、技术和资源。

了解日常运营、自动化的使用、威胁识别程序、升级、事件遏制等。

此外,还要评估员工的经验水平、职责和安全许可。

  • 请求有关 MSSP 使用的特定技术和工具的详细信息
  • 询问安全流程、工作流程和自动化功能

5.比较 MSSP 计费模型和合同

根据您的要求评估和比较 MSSP 成本,强调价值而不是定价。 仔细审查合同术语和服务水平协议。

确保明确定义可交付成果,例如服务范围、响应时间、指标、责任和保险范围。

协商合理、可预测的计费方式,例如月费与复杂的定价模型。

  • 比较计费模型 - 按设备、用户、事件等。
  • 协商对您有利的 SLA、停机处罚和责任限制

6. 验证 MSSP 合规性和认证

验证 MSSP 是否拥有适当的安全认证(例如 ISO 27001)、遵守法规、遵循最佳实践、进行审核等。

确认他们的系统和流程符合适用于您的 PCI DSS HIPAA 等标准。 通过审计报告和文件彻底证实合规性。

  • 审查最新的独立审计报告以确保合规性
  • 确保获得 ISO 27001、PCI DSS、HITRUST 等标准认证

7. 参观 MSSP 设施

参观 MSSP 的安全运营中心可提供有关功能的第一手资料。

观察运行中的系统、流程和员工——参观设施以检查基础设施、物理安全和威胁监控/响应机制。

与人员互动以评估经验、专业知识和专业精神。

  • 在设施参观期间与领导团队和一线分析师会面
  • 请求安全监控和事件响应的现场演示

结论

选择熟练的 MSSP 对于强大的企业安全至关重要。 对经验、服务、能力、方法、成本、合规性和设施等参数进行广泛的尽职调查。

它验证提供商是否满足定义的要求并提供最大价值。

尽管耗时,但它是缓解风险的重要过程。 推荐的最佳实践包括:

  • 它明确定义了内部安全要求。
  • 详尽研究多个候选 MSSP
  • 比较服务能力、资质和专业化
  • 评估技术基础设施、流程和员工能力
  • 密切了解运营和支持方法
  • 严格审查拟议的合同、成本和计费模型
  • 验证合规性、认证和审计跟踪
  • 设施、技术、团队现场检查

系统、全面的 MSSP 选择流程可确保为您的企业选择值得信赖的长期安全合作伙伴。

详尽的评估通过有效的安全解决方案来防御不断变化的网络威胁环境,从而带来好处。

持续审查和关系管理对于维持所选 MSSP 的最大价值仍然至关重要。

作者简介

Dmitry Kurskov,ScienceSoft 信息安全部门负责人

Dmitry 是 IBM 认证部署专家,拥有 20 多年的信息和网络安全系统架构师实践经验。

他负责管理公司 IT 环境中安全策略和解决方案的设计和实施,并监督向 ScienceSoft 客户提供托管安全服务。

德米特里主张网络防御的一致性和持续改进是抵御不断演变的网络威胁的关键。 他为将 ScienceSoft 的安全管理系统与 ISO 27001 保持一致做出了重大贡献。