怎样评估安全运营中心即服务(SOCaaS)？

需要安全运营中心(SOC)的公司企业未必负担得起相应的设备和人员开支。很多提供商都推出了安全运营中心即服务(SOCaaS)业务，该怎么衡量和选择呢?

如果你目前还没有自己的安全运营中心，那你可能正在考虑怎么样才能不自己动手就拥有相同的功能。打造公司自己的SOC可能花费不菲，如果考虑进24小时运营的员工成本，那开销就更大了。

过去几年里，托管安全服务提供商(MSSP)提出了云SOC概念，可用于监视客户的网络和计算基础设施，并提供漏洞修复和恶意软件缓解等一系列服务。我们不妨来考察一下这种SOC即服务(SOCaaS)行业的成长历程，看看他们所提供的功能，考虑如何选择适合自己特定需求的提供商。

何谓SOCaaS?

SOCaaS的定义是动态发展的，从提供基本的24小时网络监控，到全功能的威胁检测与缓解，都包含在内。这意味着每家供应商都有自己可以被标注为SOCaaS或传统MSSP的服务集。纠结于是SOCaaS还是MSSP会耗去很多不必要的时间。有时候这不过是每个首字母缩略词的定义不同，有时候这只是个理解问题，有时候要归结到具体的产品和服务上，还有时候跟供应商的出身有关。

SOCaaS的定义问题部分源于供应商来自于专注不同安全领域的行业。有些是从托管安全事件承包商(AlertLogic)起家，有些则是托管检测承包商(Network Technology Partners)或托管终端安全供应商(赛门铁克和Trustwave)。有些开发了自己的SOC类控制端以管理自身产品，然后将其改为更加通用的工具，可以连接更多的应用。有些则脱胎自大型计算机制造商(IBM、戴尔和惠普)的服务部门。

还有的从运营自己的托管网络运营中心(NOC)开始，然后拓展至安全领域。托管NOC和托管SOC之间有何区别?前者更关注保障数据包在网络管线中顺畅流通。后者则几乎只关心你是否在用正确的管线和正确的数据包。二者所用的工具集也完全不一样：网络延迟 vs. 吞掉CPU的处理过程。关键点就在于他们提供的到底是什么服务?他们监视的是什么?他们的东西如何与你现有的服务器和网络基础设施相互操作?

采用SOCaaS的目标是要拥有能够警示数据泄露或其他安全事件的设备，让你不用构建自己的SOC，也不用雇佣高端技术人才来运营防护性安全设备。理想状况下，供应商应该能够及时 (及时程度与其服务水平协议有关) 发现事件，并做出必要的修正以缓解威胁。

Gartner在2018年2月发布的托管安全服务报告包含了SOCaaS类事务，比如安全事件监视、网络层威胁监视与检测、日志分析、漏洞扫描及事件响应——所有这些的交付形式都是来自中央SOC类实体的托管服务。这还只是此类事务中最基础的部分，然而需要管理的工具集已然很庞大了。该报告列出了17家全球提供商，包括AT&T/AlienVault、英国电信(BT)、Century Link 和NTT，全都是电信公司，也就是最了解如何保障全球大型网络基础设施随时在线的那些供应商。

如果你的公司员工和服务器遍布多个大洲，那上述大型电信公司理应耳熟能详。如果你的公司规模较小，那你可能想要采用专精于SOCaaS的几十家供应商中的一家，比如说ArcticWolf、RadarServices或DigitalHands。

怎样评估SOCaaS?

SOCaaS评估中最令人沮丧的部分或许是算出自己到底该付出什么或者多少钱 。考虑到云服务的本质，定价模型从一开始就很复杂，而且在这个市场板块中会变的更加晦涩难懂。

AlertLogic是为数不多的几家有着明确定价页面的供应商之一，有每月花费从550美元到4,500美元不等的三个定价层次。但其他供应商就没那么乐于提供定价信息了。

目前来看，Network Technology Partners和AccountabilIT的起步价都很低，最基础的服务定价分别为每月1,500美元和每月1,600美元，且价格随客户添加的需监视资产数量及网络流量规模的增加而升高。绝大多数情况下，其他供应商要么对自己的定价含糊其辞，要么对定价问题特别敏感。很多供应商只向愿意签署保密协议的潜在客户提供定价信息。很明显SOCaaS的价格需要更加透明。

还有个问题是你可能不清楚自己有多少服务器、终端和应用是需要保护、监视，或者说放到SOCaaS供应商手下的。很多公司会从概念验证开始，先把少数终端交托SOCaaS以观察其运作机制和SOC捕获的流量内容，然后再扩展至较大范围的部署。