如何選擇託管安全服務提供者和市場預測

已發表: 2019-09-10

網路威脅可不是鬧著玩的,但不用擔心,託管安全服務提供者 (MSSP) 隨時為您提供協助! 隨著市場的蓬勃發展,選擇合適的產品可能會很棘手。

這就是我們的指南派上用場的地方,指導您逐步找到完美的網路安全匹配來保護您的小型企業。

無論您是新創公司還是大型企業,我們都能滿足您的需求,幫助您輕鬆瀏覽您的選擇。 準備好潛入了嗎? 我們走吧!

跳至:

  • 什麼是託管安全服務提供者?
  • MSSP 市場成長預測
  • 選擇 MSSP 的指南(7 個步驟)

託管網路安全服務

Canva中建立的自訂圖像

什麼是託管安全服務提供者?

託管安全服務提供者是向外部企業提供高價值安全解決方案以及安全系統、設備和營運專業知識的組織。

MSSP 採用先進的技術和熟練的網路安全人員來管理客戶的安全功能。

MSSP 市場成長預測

  • 預計到 2030 年,全球託管安全服務市場將達到 770.1 億美元。2020 年至 2030 年的複合年增長率為 12.8%。(資料來源: Allied Market Research  
  • 北美託管安全服務市場預計將從 2022 年的 138.2 億美元躍升至 2027 年的 262.4 億美元,複合年增長率為 13.8%。 (資料來源: MarketsandMarkets

美國管理的安全服務市場

來源

選擇 MSSP 的指南(7 個步驟)

跳至:

  1. 進行內部安全審計
  2. 研究未來的 MSSP 公司
  3. 評估 MSSP 能力
  4. 了解 MSSP 方法
  5. 比較 MSSP 計費模型和合約
  6. 驗證 MSSP 合規性和認證
  7. 參觀 MSSP 設施

託管安全服務提供者  

1. 進行內部安全審計

首先,徹底評估系統中現有的安全漏洞並明確確定安全要求。

仔細檢查合規性法規、產業指示、網路風險等關鍵因素。

它可以識別滿足要求的 MSSP。 明確定義所需的服務 - 網路安全、端點保護、稽核報告、滲透測試、威脅情報、事件回應等。

指定任何行業特定需求,例如醫療保健領域的 HIPAA 合規性。

  • 識別需要保護的所有關鍵業務系統、資料資產和基礎設施。
  • 諮詢合規團隊和審計員以確定監管和合規要求。

2. 研究未來的 MSSP 公司

全面搜尋目錄並尋求建議,以建立廣泛的潛在 MSSP 合作夥伴清單 - 目標是在您的垂直行業和業務規模方面具有專業知識的公司。

分析他們的服務能力、合作夥伴關係、憑證和客戶參考資料 - 將能夠提供每個步驟所需服務的 MSSP 列入候選名單。

  • 維護至少 3-5 家公司的名單,以進行深入評估。
  • 從行業活動、同儕推薦、RFP 中收集有關 MSSP 的信息,
  • 確保 MSSP 在您的行業以及規模相似的客戶方面擁有豐富的經驗

3. 評估 MSSP 能力

根據所提供的服務、經驗、專業知識、基礎設施、可擴展性、靈活性、客戶滿意度等參數嚴格評估入圍的 MSSP。

頂級網路安全挑戰

來源

驗證他們能夠有效地滿足您定義的安全要求。 詢問提供相關託管安全服務的具體經驗。

評估威脅偵測、事件回應、合規性支援等的基礎設施、技術和流程。

  • 驗證 MSSP 的功能是否符合您所需服務的要求
  • 詢問您所在行業的客戶案例研究和參考資料

4. 了解 MSSP 方法

仔細檢查威脅監控、事件回應、漏洞管理、稽核報告和其他相關服務的流程。 檢查所使用的工具、技術和資源。

了解日常營運、自動化的使用、威脅識別程序、升級、事件遏制等。

此外,也要評估員工的經驗等級、職責和安全許可。

  • 請求有關 MSSP 使用的特定技術和工具的詳細信息
  • 詢問安全流程、工作流程和自動化功能

5.比較 MSSP 計費模型和合約

根據您的要求評估和比較 MSSP 成本,強調價值而不是定價。 仔細審查合約術語和服務等級協議。

確保明確定義可交付成果,例如服務範圍、回應時間、指標、責任和保險範圍。

協商合理、可預測的計費方式,例如月費與複雜的定價模式。

  • 比較計費模型 - 按設備、使用者、事件等。
  • 協商對您有利的 SLA、停機處罰和責任限制

6. 驗證 MSSP 合規性和認證

驗證 MSSP 是否擁有適當的安全認證(例如 ISO 27001)、遵守法規、遵循最佳實務、進行審核等。

確認他們的系統和流程符合適用於您的 PCI DSS HIPAA 等標準。 透過審計報告和文件徹底證實合規性。

  • 審查最新的獨立審計報告以確保合規性
  • 確保獲得 ISO 27001、PCI DSS、HITRUST 等標準認證

7. 參觀 MSSP 設施

參觀 MSSP 的安全營運中心可提供有關功能的第一手資料。

觀察運作中的系統、流程和員工—參觀設施以檢查基礎設施、實體安全和威脅監控/回應機制。

與人員互動以評估經驗、專業知識和專業精神。

  • 在設施參觀期間與領導團隊和一線分析師會面
  • 請求安全監控和事件回應的現場演示

結論

選擇熟練的 MSSP 對於強大的企業安全至關重要。 對經驗、服務、能力、方法、成本、合規性和設施等參數進行廣泛的盡職調查。

它驗證提供者是否滿足定義的要求並提供最大價值。

儘管耗時,但它是緩解風險的重要過程。 推薦的最佳實踐包括:

  • 它明確定義了內部安全要求。
  • 詳盡研究多個候選 MSSP
  • 比較服務能力、資格和專業化
  • 評估技術基礎設施、流程和員工能力
  • 密切了解營運和支援方法
  • 嚴格審查擬議的合約、成本和計費模型
  • 驗證合規性、認證和審計跟踪
  • 設施、技術、團隊現場檢查

系統、全面的 MSSP 選擇流程可確保為您的企業選擇值得信賴的長期安全合作夥伴。

詳盡的評估透過有效的安全解決方案來防禦不斷變化的網路威脅環境,從而帶來好處。

持續審查和關係管理對於維持所選 MSSP 的最大價值仍然至關重要。

作者簡介

Dmitry Kurskov,ScienceSoft 資訊安全部門負責人

Dmitry 是 IBM 認證部署專家,擁有 20 多年的資訊和網路安全系統架構師實務經驗。

他負責管理公司 IT 環境中安全策略和解決方案的設計和實施,並監督向 ScienceSoft 客戶提供託管安全服務。

德米特里主張網路防禦的一致性和持續改進是抵禦不斷演變的網路威脅的關鍵。 他為將 ScienceSoft 的安全管理系統與 ISO 27001 保持一致做出了重大貢獻。