Forrester继续看好MSS市场

3月10日，Forrester发布了一份针对MSS（Managed Security Service，管理安全服务，或者安全管理服务）的 最新分析报告。报告认为尽管面对不景气的宏观经济形势，全球的MSS市场依然保持增长，去年全年增长了8%。想必Forrester的这个判断与之前CSO Online的调查有所不同，也许是因为去年下半年开始经济形势回暖的缘故所致。

Forrester认为，业绩增长主要原因包括：1）客户在人员配备和技能方面面临的压力；2）不断发展的威胁环境；3）还是那个巨大的合规驱动力。

由于这些因素的作用，使得客户对于MSS的需求有所变化，而MSSP们的服务方式亦有所改变。MSSP也不再仅仅局限于提供基于设备的管理服务（例如防火墙监控、 EMAIL和WEB过滤等），转而寻求为客户提供更多针对业务决策的深度分析与建议（例如SIEM服务、应用安全扫描、***测试）。Forrester表示：Organizations’ technology and processes churn out large amounts of data, ……some MSSPs can sift through it and even present findings in a neat dashboard.
此外，MSSP还在帮助客户采用更加基于风险的框架来进行安全保障，而非仅仅针对一两个合规规范，还有些MSSP 为客户提供安全效率和ROI的衡量指标。

另一方面，对于客户而言，使用MSSP的服务不再简单地为了追求低成本，而是有更多的考量。对 MSSP进行尽职（due diligence）调查成为了客户遴选供应商的一个很重要环节。企业需要认识到MSSP的优劣势，并要与该MSSP的已有客户进行沟通。最后，也是最重要的， Forrester认为客户要 自己 做出关键的策略和决策。你自己依然需要对自己所处的环境和需求去进行了解。

对此，我也有些自己的看法，与大家分享一下：对于客户而言，不论是否使用安全外包，或者MSS服务，你永远对自己企业或组织的安全负有最终的责任，你不可能通过实施MSS而转嫁所有的安全风险。很显然，如果出事了，你的服务商可能为你提供赔偿，但是你的公司，或者至少是你个人可能已经彻底完蛋了。反过来说，一个好的咨询师，包括安全咨询师（Consultant），从来都是 协助客户做出他自己的决定，绝非替代客户做出决定。并且，对于MSSP 而言， 如何制定一份可执行并可与客户达成共识的SLA是一个关键点。没有100%的安全，也不可能承诺任何一个未知的安全***确保在平均的反应时间内解决掉。也许，MSS首先可以做的是让客户更加了解他们自己的所处环境的安全状况及其面临的危险，从而为下一步双方的深入合作奠定基础。所以，要想帮客户解决问题，首先要帮客户适当的暴露问题。

在更高的阶段，如果能够为客户导入基于风险的安全模型那自然是更好，就像现在国外大型的MSSP所尝试的那样。这个模型的导入最大的价值，我认为在于帮助客户建立一个风险的文化氛围。在这个风险文化中，最重要的一点就是要意识到没有 100%的安全，而大家所要做的是尽职职责（due diligence, due care）。