【51CTO.com快譯】引言：下列清單可幫助您鑒別安全即服務類(security-as-a-service，即SECaaS)提供商的專業技術,并且評估出哪個提供商能夠最好的滿足您的需求。

安全即服務(security-as-a-service)的概念已逐漸根植于許多人的思想中。其實這也不難理解。越來越多的組織已經意識到：除了需要經常性滿足傳統的合規以外，安全運營和持續事件響應同樣不容忽視。與此同時,如今許多組織也進一步意識到構建出成熟的且具備應對各種現代威脅的安全能力并非是簡單的一蹴而就之事。它實際上是一個復雜的且持續的努力過程，而且需要相當的付出和對于風險及威脅發展與變化的持續關注。

[[173855]]

大家對安全的概念已經是今非昔比了。現在許多審計人員想知道的是一個組織是否有事件響應計劃,以及它是否行之有效。隨著各個組織將其業務和基礎設施等部件轉移到了云計算模式，他們已經在尋找與云計算相配套的安全解決方案了。不過貌似這一切還并不夠，客戶們現在也開始定期詳查其云服務提供商、以及其他各類提供商們對其數據保管工作的踐行情況。正所謂“道高一尺、魔高一丈”，攻擊者同樣越來越善于在不使用任何惡意軟件的條件下盜取各類證書，并偽裝成合法用戶去訪問數據。

考慮到上述這些因素，毫無疑問，組織需要利用“安全即服務”提供商所提供的專業技術，來幫助他們在很短的時間內滿足各種各樣的安全需求。正所謂：哪一塊市場有方案需求，魚龍混雜式的炒作就會跟風而至。那么各個組織如何才能看穿這些“炒作”與“雜音”，從而了解到“安全即服務”提供商的真正能力，并且評估出哪個提供商能夠最好的滿足他們的需求呢?

在讓提供商“進場”之前，就讓我們用20道問答游戲的方式來對他們的能力進行一番探索吧。正如之前提到的，這可能并非一個詳盡的問題清單，但卻是一個很好的開始。

1. 提供商的整體理念和愿景是什么?

注：潛在客戶要求“安全即服務”提供商用一、兩句話來闡述其奮斗的技術目標和內驅力。在我看來，這是非常合理的開啟詢問的方式。畢竟明確目標決定著后續的發展方向。

2. 除了基本的合規之外，你們還能提供什么?

注：誠然按照各種既定的規范去收集到用戶的數據是比較容易的事情，但是對這些數據實施合理且有價值的管控卻完全是另外一回事了。

3. 哪些是他們進行內容開發處理和日常操作流程等問題的驅動力?

注：實際上圓滿的回答應該是：通過對我們組織所面臨的風險和威脅深入理解，并進行了優先級排序后,尋找控制措施來幫助我們降低風險與威脅，才是其工作的驅動力。

4. 各類報警是如何制定、實現和維護的?

注：系統監控到了安全事件一般都會觸發各類報警。但是如果你想監控到我們的組織運營，我理應清楚的知道你們是如何及時的產生出可行的、不失真的、而且是“低噪音”的報警的。而且該報警不會在本組織已經處于人手資源有限的情況下，產生誤報或者反而增添更多的工作量。

5. 你將如何解析我們的網絡環境和數據流?

注：畢竟，即使是使用了最好的內容開發流程和報警邏輯，也需要搜集和獲得足夠的網絡數據來進行識別等后繼操作。因此能夠長邏輯上解析清楚我們的網絡環境及數據流就顯得非常重要了。

6. 你將如何解析我的各種終端呢?

注：這其中也包括了如臺式機和筆記本電腦之類的傳統終端，以及如智能手機、平板電腦、瘦客戶機等那些新型的終端。因此具有跨各種設備的“可視”能力，對我們來說是非常重要的。

7. 你能幫我監視到Web應用和服務器嗎?

注：總在黑暗處窺視我們的那些攻擊者是不會僅限于攻擊終端的。如果Web應用程序或服務器本身是脆弱的，那他們肯定會施以攻擊。如果發生此類情況，我想盡快第一時間知道。當然，更理想的狀態是：在我碰到該問題之前，你是否能提供一種服務，以幫助我去主動的識別出那些易受到攻擊的資產呢?

8. 你將如何提供針對我的云基礎設施的可視性呢?而且能達到我以前傳統企業模式下的那樣監控程度嗎?

9. 你能提供給我那些已外包出去的軟件即服務(SaaS)應用的可視性嗎?

注：對于來自外部的針對數據犯罪、欺詐、竊取等活動，或是來自內部安全威脅等問題，我需要是全面的可視性，而不要有任何的盲區。

10. 你能有一個集中管理的門戶入口來方便我及時高效的存取自己的數據嗎?

注：這樣可以幫助我便捷的查看并了解到的本組織內部的當前安全狀態。

11. 你的門戶入口支持什么類型的數據壓縮、聚合和可視化的標準?

注：如果需要的話，你會允許我來自定義數據的識別模式和深入挖掘模型嗎?

12. 你提供什么工具來允許我創建自己的報警?

注：我可以按自己所需來定義數據采集和安全事件等方面的深入調查嗎?

13. 除了檢測和響應，你還能提供什么樣的幫助來避免我的組織受到安全侵犯呢?

14. 我怎么能夠確定：你可以根據我所提供的數據的總量和復雜程度，來迅速檢測出我的組織是否受到安全侵犯呢?

15. 你如何分析和調查所產生的警報?

注：我希望你憑借的是專業知識，并且使用的是企業級的技術與方法。

16. 針對不同類型的事件，你是否有不同的文檔化處理流程?

注：我是希望在不同的事件場景發生時，你都能有所準備且處理得當。

17. 如果檢測到一個安全侵犯，你將如何去控制并糾正該侵犯呢?

注：響應流程固然重要，但是除此之外，必要的綜合技術支撐使得響應操作能順利實施也是至關重要的。

18. 你能提供什么樣的報告呢?

注：我需要將你的服務報告和績效指標呈報給我的管理層。包括：你開具的服務單數量和過濾出了多少防病毒報警等。如有更多，則對我更有幫助。

19. 你如何提供事后教訓總結來幫助我從過往的錯誤中進行學習，從而不斷提高和保持本組織的安全狀態?

20. 作為一個“安全即服務”的提供商，你是如何不斷進行迭代、改進并成熟和完善自己的能力，以確保我所獲得的“安全即服務”能跟上并能應對不斷變化的威脅態勢。

實際上，市場上是沒有所謂的“安全即服務”提供商緊缺之說的。只要哪里有業務需求的出現，市場和營銷就會跟進到哪里。各個組織的業務和安全領導層需要運用鮮明且有效的方法去篩掉“炒作”與“雜音”因素，并最終能做出理性且明智的決定。如您所見，我就是這么一個愛用“20道問答游戲”來厘清問題的“粉絲”。

原文標題：20 questions to explore with security as a service providers          作者：Joshua Goldfarb

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】