Gartner：2013-2014年全球MSS市场分析

在沉寂了一年之后，Gartner于2014年2月份发布了一份《Magic Quadrant for Globle MSSPs》（全球MSSP幻方图）的报告。这次Gartner将北美和欧洲、亚太的MSSP分析合并成了一个全球报告。

报告显示，第一象限的三强是Dell、Verizon和IBM，原先的三强之一Symantec被IBM替代，这也间接体现了近期两个公司安全营收的走势。

报告指出，2013年全球安全外包市场达到120亿美元，并预测到2017年的年均复合增长率在15.4%。

Gartner一贯的MSS定义是：通过远程的安全运营中心（SOC）而非驻场人员提供的一种对IT安全功能进行远程监控和管理的服务。这就是说，Gartner的MSS不包括人员外包、资讯、开发与集成服务。通俗地讲，Gartner给出了一个狭义（严格）的MSS定义，仅指在局端通过SOC对客户端的IT安全进行监控和管理，不包括驻场服务、外包服务、安全咨询服务、定制开发服务。这个定义跟Forrester的定义是不同的，需要注意。

我们来看看几个重要的MSSP的SOC情况。

AT&T的SOC是自研和外购商业产品的结合体；

BT的SOC采用自研开发的技术建设；

CSC的SOC：SIEM是买的成熟产品，然后在上面自研包装了一层；

DELL SecureWorks的SOC：自有技术；

HP的SOC：用到了Arcsight，以及一些自己的运维管理软件，还有一些定制开发；

IBM的SOC：主要是自研技术，有些服务用到了QRadar；

Orange的SOC：自研和购买SIEM相结合；

Symantec的SOC：自研技术为主，辅以商业SIEM，并且工作流运维管理采用商业产品；

Trustwave：自有技术，他们2010年并购了SIEM厂商Intellitectics；

Verizon：自有技术为主，工作流运维这部分用到了商业产品；

Gartner的MSS服务类型包括：【对比2011年的】

1）FW和IPS的监控与管理；

2）IDS的监控与管理；

3）抗DDoS

4）安全消息网关（安全内容网关）管理；

5）安全WEB网关的管理；

6）SIEM；

7）网络、服务器、应用和数据库的弱点扫描；

8）安全漏洞和威胁通知服务；

9）日志管理与分析；

10）与被监控或管理的设备，以及突发事件响应相关的报告（通报）服务

在MSS服务方式（模式）上，Gartner分为：

1）对客户的边界安全设备进行监控与管理，这些边界安全安全设备最典型地包含FW，IDP，UTM，NGFW，WAF。这些设备可以是客户自己的，也可能是MSSP的CPE设备（租借的）。

2）对客户的IT基础设施（包括服务器、应用、网络设备、安全设备）进行监控与管理，尤其是日志监控、分析与管理，例如对客户自有的SIEM进行远程监控与管理服务，当然也可能是在客户端部署SIEM CPE设施。

3）纯粹通过云和SaaS模式来为客户提供服务，典型的服务例如抗D，邮件安全，WEB过滤，漏扫，基于网络的FW和IDP等。这种模式下，即不需要客户部署CPE设施，也无需客户自购相关安全设施，而只要给MSS开放相关的配置和线路，例如DNS配置、路由设置、某些基础设施的访问控制权限等。

个人觉得Gartner的这种“划分”有些乱，还不够明晰，上面的划分也不是Gartner的一个确切划分。因此，结合我的理解，我对MSS模式的划分如下：

模式1）对客户现有IT安全机制的远程监控与管理服务：客户已经购买了IT安全设施，但是自己用不起来/用不好，这时让MSSP远程地对这些自有投资进行安全运维；

模式2）在客户处部署IT安全机制，并在远程对其进行监控和管理：客户直接购买服务，无需自己建设某种IT安全机制，而以租借或者干脆全部打包到服务费中的形式部署MSSP提供的IT安全机制（即CPE设施），并让MSSP远程对这些IT安全机制进行安全运维；

模式3）Cloud和SaaS模式：这种模式下，即不需要客户部署CPE设施，也无需客户自购相关安全设施，而只要给MSS开放相关的配置和线路，例如DNS配置、路由设置、某些基础设施的访问控制权限等。

模式3是当前最流行的模式。尤其是在国内，按理说，模式1和模式2是国际上最经典的和成熟，但是国内反而做不起来，倒是模式3在国内做的相对更多，也更好。

谈到国内的MSS，目前新兴的都是以模式3为主导的，正好也跟当下的云安全、SaaS、SECaaS等合拍，很吸引眼球和投资人的青睐。例如安全宝、知道创宇都在开展模式3类型的服务，这种模式也可以算作是美国的舶来品，但是在中国貌似还比较受SMB的青睐。接着，BAT也借着自己在云方面的深厚实力介入这块MSS市场。

诚然，模式3对客户来说是容易理解和实施的，尤其是针对SMB客户，它相当于将企业和组织的部分安全基础设施外包给MSSP，注意不是服务外包，而是安全基础设施外包。譬如，很多模式3类的服务（例如抗D、流量检测等）场景下，客户的网络出口流量（进和出）都被引导到MSSP（这时也可以叫SECaaS）那里去了。如果我们将模式1和模式2理解为带外管理（OOB）的话，那么模式3就是带内管理（IB）。

进一步地，模式3不是万能的，只对某些安全机制有效，即只能对某些安全能力采取这种模式。此外，由于基础设施已经外包给MSSP了，那么受MSSP的限制（控制）程度就很高，因为是带内管理模式，如果MSSP出现问题，例如宕机了，那么不仅仅是说客户的安全没法保障了，更麻烦的是客户的业务要中断了。尽管有些方法可以缓解这种风险，但终归比模式1和模式2要危险些。典型的例子就是美国的cloudflare的服务中断事件，足够引起安全宝警惕。

再就是模式3的客户，一般都是SMB，LE和关键基础设施运营客户则会特别谨慎。

最后，要做好模式3，需要较大的安全基础设施投资，以及网络带宽投资，还要分布全球/全国的节点。这时，很多SECaaS会寻求在网络基础设施这块有实力的合作伙伴。

回过头来看模式1和模式2，国内开展的的确比较艰苦，一如我以前博文中经常提及的那样，作为MSSP的主流业务，在中国有些水土不服。这两种模式一般都是专业的安全厂商在做，例如启明星辰、绿盟和天融信。

启明星辰是有一个专门的M2S部门来承担这个MSS的工作，方式主要就是模式1和模式2；

绿盟近几年一直在投资建设一个“安全云管理平台”，方式重点就是模式1，且限于自有品牌的安全设施；

天融信也一直在尝试MSS，方式也集中在模式1和模式2上，然后还在借助合作伙伴的力量。

最后还要提一下360，他们目前在三种模式上都在探索，尚未有明确地方向。

BTW，更多国内厂商MSS方面的详细分析不便在博客上公开，各位同好如果感兴趣，欢迎交流沟通，分享信息。

必须看到，不论哪种模式，目前都不敢说在国内做到如何如何的成绩了，都在试水阶段，这种国内的现实环境密切相关。包括前面说道的模式3，貌似很火，其实也还是在烧钱阶段。能否成功，还有待观察。一方面，我们要根据国情寻找自己的创新模式，一方面，也要促进客户自身认知的提升。

【参考】

Gartner：2012年北美MSS市场分析

Gartner：2011年北美MSS市场分析

Forrester: 2012年北美MSS市场分析报告

Frost：全球MSSP市场分析