Gartner：2015年全球MSS市场分析

2015年12月23日，Gartner发布了2015年的全球MSS市场的MQ分析。

Gartner对MSS（可管理安全服务）的定义是：the remote monitoring or management of IT  security functions delivered via shared services from remote security operations centers (SOCs), not through personnel on-site. 透过远程安全运营中心（而非驻场人员）以共享服务模式提供的IT安全功能的远程监测与管理。

下图是2015的MSSP MQ：

对比一下2014年的：

可以看到IBM和Symantec又追了回来。

Gartner依然将威胁管理与合规视为MSS市场的基本驱动力。值得一提的是，今年Gartner对威胁管理的重要新兴动力的表述发生了变化。去年，Garnter认为高级威胁检测是重要动力，而今年则将对高级威胁的检测和响应作为了重要动力，增加了“响应”这个关键点。Gartner表示：主流MSSP纷纷采取了一些新技术来进行新型威胁检测与响应，这些技术包括：收集并分析有关***者及其***方法和动机的信息；通过对全球范围客户的大规模安全事件的分析得到相关的洞见；对安全事件、IT日志、网络流量和终端活动使用高级分析方法来识别行为上的或统计上的异常；提供包括***缓解、取证调查服务在内的事件响应能力。

今年的报告Garnter特别提及数据存放地点（Data Residency）和隐私需求是MSSP发展的制约因素。随着云计算和云服务的兴起以及大数据的成型，数据存储地点（Data Residency）和数据主权（Data Sovereignty）问题日益突出。

MSS早已是个成熟市场，MSS的经典服务内容包括：

• 对客户边界网络安全设备（譬如NGFW、IDS/IPS、UTM、SWG、WAF等）的监控管理

• 日志分析，包括对客户已有SIEM的代维

• SaaS服务（经典的安全云服务。无需部署客户侧设备、也无需上传安全数据，而是将客户网络流量传给MSSP），譬如抗D、邮件安全、WEB过滤、漏扫（这个不需引流，而是MSSP发起主动扫描）、网络FW/IDP
  

MSS的新兴服务内容还包括：

• 高级威胁监测与分析，譬如恶意代码的检测、对网络和终端的可疑活动及行为的监测，等

• 威胁情报服务。威胁情报首先是MSSP自用，然后也可以分享给客户。为了获得威胁情报，大部分MSSP都自建研究团队

• 针对移动终端和云的安全服务，成为潜在增长点
  

在2015年，MSS业界发生了一些并购，包括：

BAE收购SilverSky，新加坡电信（Sintel）收购Trustwave，雷神收购Foreground Security。Gartner预计在2016年，为了获得高级威胁检测能力，MSSP将对此展开并购、同时加强专家团队建设和威胁情报运营。

【参考】

Gartner：2014年全球MSS市场分析

Gartner：2013年全球MSS市场分析

Gartner：2012年北美MSS市场分析

Gartner：2011年北美MSS市场分析

Forrester: 2012年北美MSS市场分析报告

Frost：2011年全球MSSP市场分析