在沉寂了一年之后，Gartner于2014年2月份發布了一份《Magic Quadrant for Globle MSSPs》（全球MSSP幻方圖）的報告。這次Gartner將北美和歐洲、亞太的MSSP分析合并成了一個全球報告。

報告顯示，第一象限的三強是Dell、Verizon和IBM，原先的三強之一Symantec被IBM替代，這也間接體現了近期兩個公司安全營收的走勢。

報告指出，2013年全球安全外包市場達到120億美元，并預測到2017年的年均復合增長率在15.4%。

Gartner一貫的MSS定義是：通過遠程的安全運營中心（SOC）而非駐場人員提供的一種對IT安全功能進行遠程監控和管理的服務。這就是說，Gartner的MSS不包括人員外包、資訊、開發與集成服務。通俗地講，Gartner給出了一個狹義（嚴格）的MSS定義，僅指在局端通過SOC對客戶端的IT安全進行監控和管理，不包括駐場服務、外包服務、安全咨詢服務、定制開發服務。這個定義跟Forrester的定義是不同的，需要注意。

我們來看看幾個重要的MSSP的SOC情況。

AT&T的SOC是自研和外購商業產品的結合體；

BT的SOC采用自研開發的技術建設；

CSC的SOC：SIEM是買的成熟產品，然后在上面自研包裝了一層；

DELL SecureWorks的SOC：自有技術；

HP的SOC：用到了Arcsight，以及一些自己的運維管理軟件，還有一些定制開發；

IBM的SOC：主要是自研技術，有些服務用到了QRadar；

Orange的SOC：自研和購買SIEM相結合；

Symantec的SOC：自研技術為主，輔以商業SIEM，并且工作流運維管理采用商業產品；

Trustwave：自有技術，他們2010年并購了SIEM廠商Intellitectics；

Verizon：自有技術為主，工作流運維這部分用到了商業產品；

Gartner的MSS服務類型包括：【對比2011年的】

1）FW和IPS的監控與管理；

2）IDS的監控與管理；

3）抗DDoS

4）安全消息網關（安全內容網關）管理；

5）安全WEB網關的管理；

6）SIEM；

7）網絡、服務器、應用和數據庫的弱點掃描；

8）安全漏洞和威脅通知服務；

9）日志管理與分析；

10）與被監控或管理的設備，以及突發事件響應相關的報告（通報）服務

在MSS服務方式（模式）上，Gartner分為：

1）對客戶的邊界安全設備進行監控與管理，這些邊界安全安全設備最典型地包含FW，IDP，UTM，NGFW，WAF。這些設備可以是客戶自己的，也可能是MSSP的CPE設備（租借的）。

2）對客戶的IT基礎設施（包括服務器、應用、網絡設備、安全設備）進行監控與管理，尤其是日志監控、分析與管理，例如對客戶自有的SIEM進行遠程監控與管理服務，當然也可能是在客戶端部署SIEM CPE設施。

3）純粹通過云和SaaS模式來為客戶提供服務，典型的服務例如抗D，郵件安全，WEB過濾，漏掃，基于網絡的FW和IDP等。這種模式下，即不需要客戶部署CPE設施，也無需客戶自購相關安全設施，而只要給MSS開放相關的配置和線路，例如DNS配置、路由設置、某些基礎設施的訪問控制權限等。

個人覺得Gartner的這種“劃分”有些亂，還不夠明晰，上面的劃分也不是Gartner的一個確切劃分。因此，結合我的理解，我對MSS模式的劃分如下：

模式1）對客戶現有IT安全機制的遠程監控與管理服務：客戶已經購買了IT安全設施，但是自己用不起來/用不好，這時讓MSSP遠程地對這些自有投資進行安全運維；

模式2）在客戶處部署IT安全機制，并在遠程對其進行監控和管理：客戶直接購買服務，無需自己建設某種IT安全機制，而以租借或者干脆全部打包到服務費中的形式部署MSSP提供的IT安全機制（即CPE設施），并讓MSSP遠程對這些IT安全機制進行安全運維；

模式3）Cloud和SaaS模式：這種模式下，即不需要客戶部署CPE設施，也無需客戶自購相關安全設施，而只要給MSS開放相關的配置和線路，例如DNS配置、路由設置、某些基礎設施的訪問控制權限等。

模式3是當前最流行的模式。尤其是在國內，按理說，模式1和模式2是國際上最經典的和成熟，但是國內反而做不起來，倒是模式3在國內做的相對更多，也更好。

談到國內的MSS，目前新興的都是以模式3為主導的，正好也跟當下的云安全、SaaS、SECaaS等合拍，很吸引眼球和投資人的青睞。例如安全寶、知道創宇都在開展模式3類型的服務，這種模式也可以算作是美國的舶來品，但是在中國貌似還比較受SMB的青睞。接著，BAT也借著自己在云方面的深厚實力介入這塊MSS市場。

誠然，模式3對客戶來說是容易理解和實施的，尤其是針對SMB客戶，它相當于將企業和組織的部分安全基礎設施外包給MSSP，注意不是服務外包，而是安全基礎設施外包。譬如，很多模式3類的服務（例如抗D、流量檢測等）場景下，客戶的網絡出口流量（進和出）都被引導到MSSP（這時也可以叫SECaaS）那里去了。如果我們將模式1和模式2理解為帶外管理（OOB）的話，那么模式3就是帶內管理（IB）。

進一步地，模式3不是萬能的，只對某些安全機制有效，即只能對某些安全能力采取這種模式。此外，由于基礎設施已經外包給MSSP了，那么受MSSP的限制（控制）程度就很高，因為是帶內管理模式，如果MSSP出現問題，例如宕機了，那么不僅僅是說客戶的安全沒法保障了，更麻煩的是客戶的業務要中斷了。盡管有些方法可以緩解這種風險，但終歸比模式1和模式2要危險些。典型的例子就是美國的cloudflare的服務中斷事件，足夠引起安全寶警惕。

再就是模式3的客戶，一般都是SMB，LE和關鍵基礎設施運營客戶則會特別謹慎。

最后，要做好模式3，需要較大的安全基礎設施投資，以及網絡帶寬投資，還要分布全球/全國的節點。這時，很多SECaaS會尋求在網絡基礎設施這塊有實力的合作伙伴。

回過頭來看模式1和模式2，國內開展的的確比較艱苦，一如我以前博文中經常提及的那樣，作為MSSP的主流業務，在中國有些水土不服。這兩種模式一般都是專業的安全廠商在做，例如啟明星辰、綠盟和天融信。

啟明星辰是有一個專門的M2S部門來承擔這個MSS的工作，方式主要就是模式1和模式2；

綠盟近幾年一直在投資建設一個“安全云管理平臺”，方式重點就是模式1，且限于自有品牌的安全設施；

天融信也一直在嘗試MSS，方式也集中在模式1和模式2上，然后還在借助合作伙伴的力量。

最后還要提一下360，他們目前在三種模式上都在探索，尚未有明確地方向。

BTW，更多國內廠商MSS方面的詳細分析不便在博客上公開，各位同好如果感興趣，歡迎交流溝通，分享信息。

必須看到，不論哪種模式，目前都不敢說在國內做到如何如何的成績了，都在試水階段，這種國內的現實環境密切相關。包括前面說道的模式3，貌似很火，其實也還是在燒錢階段。能否成功，還有待觀察。一方面，我們要根據國情尋找自己的創新模式，一方面，也要促進客戶自身認知的提升。

【參考】

Gartner：2012年北美MSS市場分析

Gartner：2011年北美MSS市場分析

Forrester: 2012年北美MSS市場分析報告

Frost：全球MSSP市場分析

總結

以上是生活随笔為你收集整理的Gartner：2013-2014年全球MSS市场分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。