一、什么是MSS

        MSS安全托管服务Managed Security Service指安全厂商通过统一的安全运营平台为客户提供一系列安全服务，以满足企业对安全人员、技术和流程外包的需要。MSS的提供者称为安全托管服务商-MSSP(Managed Security Service Provider)。

        通常情况下MSS主要包括：

1. 远程24/7小时对客户侧的安全事件和相关数据源包括日志、流量等进行安全 监控和威胁检测（Threat Detection）；

2. 漏洞弱点评估与管理（Vulnerability Management）服务，包括漏洞扫描分析和补救；

3. 对客户的IT安全设备和工具，包括防火墙、IDPS、SIEM、端点安全等进行管理；

4. 对客户的安全事件进行响应。目前许多新兴的MSS服务已经超出了传统MSS的边界，包括威胁情报服务，托管检测和响应（MDR）服务等。

资料来源：Gartner

        MSS实现的机制根据服务的类型有所区别，比如安全监控和威胁检测服务主要由MSSP通过企业用户的本地收集器将原始日志、流量等数据传输到MSSP 的安全运营中心以进行分析和处置。常见的数据源是企业的日志管理系统，其他数据源还包括安全信息和事件管理SIEM平台以及端点安全工具EPP、EDR 等，在收集信息后，MSSP对数据进行处理以识别恶意事件和行为。最后通过 MSSP的门户网站、电子邮件、移动应用和电话等方式来对客户进行告警。而 漏洞管理服务一般由MSSP对客户进行主动漏洞扫描，MSSP必须获取管理企业内部的特定安全工具的权限，例如入侵检测防护系统（IDPS），防火墙和端点安全产品使他们能够更改设置来禁用或更改权限等。

资料来源：Gartner

        安全托管服务（MSS）的主要职能在于支撑企业安全运营中心（SOC）有效运行。安全运营中心（SOC）并非简单由安全产品或工具组成，而是人员、工具、技术、场地、流程的有机结合。SOC通过集中统一管理安全工具，并且搜集所有IT资产的安全信息不断监视和改善组织的安全状况，以及预防，检测，分析和响应企业所面临的网络安全事件。目前大部分中大型企业已经具备了基础的安全防护措施，包括防火墙，IDS/IPS，防病毒，VPN等工具已经成 为标配，因此搭建SOC将安全工具进行统一管理的必要性也在逐渐提升。SOC的底层平台称为SIEM（安全信息和事件管理 )，SIEM的主要功能在于搜集来自企业内部所有IT资源的异构数据源的信息（包括日志，事件，流量、行为等）使用户对整个网络的运行状态进行实时监控和管理，并及时发布预警，提供快速响应能力。在国内安全行业习惯直接称SIEM为SOC或安全管理平台，实际上更加突出了SIEM作为安全运营中心底层支撑平台的功能。

资料来源：Techstory

SIEM的基本架构

        一般情况下只有一些超大型企业会选择自建安全运营中心，并且能够持续有效运营，因为这类企业能够保证足够的IT安全预算和资源的投入，且对安全性和 数据保护的要求非常严苛，因此对安全外包的选择上也会比较谨慎。对于大多数企业和政府机构而言，自建，实施，运行和维护24/7SOC的成本都会过高 ，而且在专业性和实际效果上会明显逊色于外部托管服务提供商 MSSP。

首先从

        成本角度来看，构建SOC首先需要满足三个最核心的要素：人员，流程 和技术，三者缺一不可。目前SOC功能也在不断扩展，现在一个全功能的SOC至少需要配置8至12名全职员工，包含了各级安全分析师，事件处置/调查人员，安全专家及经理， 这还不包括人员流动及休假等特殊情况。除了人 员之外，构建SOC还包括了流程的建设，比如人员如何实现有效协同，如何 分配权限等等，而且对SIEM的实施和管理都需要IT资源的持续投入。构建一个完善的SOC至少需要耗费上百万美金，而且短期还不一定能见到明显成效。对于一个专业的MSSP而言，因为能够同时服务多个客户，具有一定的规模效应，因此能够降低向客户提供安全服务的成本。

        其次从专业性上来看，大多数企业实施、管理和应用安全管理平台（安

全信息和事件管理SIEM）的门槛都非常高。目前主流的安全管理平台，比如 LogRhythm的NextGen SIEM，IBM的Qradar SIEM，Splunk的Analytics Driven SIEM，都会有合作的托管服务提供商MSSP来提供相应的运营服务，能够降低企业的实施和使用的门槛，而且MSSP能够帮助企业用户以相对较低的成本来利用一些新兴的安全技术。安全托管服务的另一个好处在于，企业自 身的IT团队是很难实现24/7的安全检测，而对于像IBM这类大型MSSP，他们的SOC都是分布在全球各个地区，能够横跨多个时区轮流传递工作任务，真 正实现24/7的全时间段覆盖。

        因此全球范围内大多数企业通过与外部托管服务提供商MSSP合作，将自身的安全运营流程、人员、技术外包，已经成为了非常主流的选择。在采购 MSS服务后，企业仅需要搭建一些基础的功能如LogManagement（日志管理系统），即可通过采购MSS+MDR服务来构建SOC，或者企业在本地部署 SIEM，但采购第三方的SIEM管理服务（Co-managed SIEM）模式，让第三方来构建和运行SOC。安全托管服务供应商作为企业安全团队的延伸，能够 帮助企业搭建更加成熟的网络安全体系，减轻安全运营团队的工作压力，使 其更加专注于自身的核心业务。

资料来源：Gartner

        MSS作为百亿美金级的大赛道，近年来基本维持在10%以上的快速增长。IDC、Gartner两大机构对MSS的口径存在一定差异，其中Gartner对MSS有非常严格的定义，即MSSP必须通过统一的平台进行远程交付，且具备明显的多租户特征，对于一对一的定制化的模式，比如利用客户自己的SIEM解决方案交付的托管的SIEM服务则不包含在内,可以看做狭义的MSS。相较而言IDC所定义的MSS的范围更加宽泛。根据IDC的口径MSS 2018年的市场规模达到 211亿美金（Gartner的口径下2018年MSS市场规模为107亿美元）。

IDC：MSS行业规模

        在欧美MSS市场已经形成了非常成熟的定价和交付模式，安全服务商通过服务等级协议SLA（Service level agreements），能够量化所交付的 MSS的等级和质量。标准且清晰的行业规范和定价模式是支撑MSS持续发展的重要基础。安全托管服务提供商根据不同等级的SLA提供不同级别的服务 ，定价基准包括安全设备数量和规模、数据量、端点数量、员工数量、事件数 量等，并且根据平均检测时间、平均响应时间、平均报告时间等要求制定服务 等级。企业客户也会评估SLA的报价对自身的可承受风险和成本进行权衡取舍，确定是否可以接受较低等级的服务，因此一般更昂贵的服务具有更短的 响应时间和更高的服务质量。而在违反了约定的SLA时，服务提供商也将按 照合同要求提供相应的额外服务或罚款。除了供需双方量化服务等级的要求之 外，合规要求也是驱动SLA不断完善的重要因素，比如通用数据保护法规（GDPR） 和支付卡（ PCI）行业标准中都包含了SLA相应的规范要求 。

MSS服务的SLA参考

        从定价情况看，以全球知名的安全服务商Alert Logic为例，Alert Logic针对 客户提供基于SIEM的远程安全运营服务，包含了Essentials，Professional 和Enterprise三条业务线，覆盖从中型企业到大型全球化跨国企业的一系列 客户，公司针对这三类业务的定价参考（实际价格会根据SLA有所调整）为：Essential主要包括漏洞管理和资产可视化等一些基础服务，价格在550美元/月；Professional在Essential的基础上增加了安全威胁监测和事件管理等服务，价格在2400美元/月；Enterprise在Professional基础上增加了托管WAF或SOC等服务，价格为4500美元/月。

资料来源：官网

二、MSS的竞争格局及发展趋势

        MSS市场整体竞争格局较为分散，全球前十的MSSP市场份额合计为

32.6%，前二十的MSSP 市场份额为47.2%，跟安全咨询相比，MSS的集中度偏低。在MSS市场头部的厂商中，前二十大厂商仅Symantec，Trustwave是独立安全厂商，占主导的一类是IT服务商，包括IT咨询厂商、IT外包服务商，主要有IBM、埃森哲、Atos、DXC Technology、Wipro、HCL、凯捷等，另一类是电信运营商，包括ATT、NTT、BT、Verison、DT 等。无论是IT服务商还是电信运营商，均将MSS业务作为其IT整体解决方案的一部分向用户提供。

        MSS行业集中度偏低的原因一方面在于，MSS的业务模式已经非常成熟，且随着安全编排和自动化等技术的不断发展，MSS中包括安全事件监控等基础业务变得逐渐标准化和同质化，门槛也有所下降，导致行业参与方在不断增加。全球来看绝大多数的大型电信公司，IT外包商（ITO）和系统集成商（SI）都有涉及MSS的一些基础业务，而且许多企业因为各种原因，更愿意向综合型IT服务厂商采购一揽子服务，而非向专业MSSP进行采购；另一方面在许多国家和地区，受限于一些数据本地化相关的法律合规要求，用户只能向本地服务商进行采购。因此相较于安全咨询，MSS厂商在全球化布局上会遇到更多的限制。

MSS行业前十大厂商（亿美元）

        早期头部MSSP通过不断并购整合来完善产品线和区域覆盖能力，目前全球MSS 市场竞争格局逐渐趋于稳定。从MSS 行业的发展历程来看，MSS 在上世纪90 年代末开始萌芽，并在2001 年前后行业开始整合，大型的IT 服务商和电信运营商包括IBM、Verizon、BT、HP、NTT 开始收购垂直领域的安全厂商。到2010 年，MSS 市场逐渐从北美向全球其他区域拓展，Secureworks，Verizon，Symantec 开始确立自己的领导地位，而随后IBM 和AT＆T 凭借综合型IT 服务厂商的优势逐渐赶超并且成为了行业份额排名前二的厂商，独立的MSS 厂商随着市场不断的整合数量越来越少。目前来看MSS 的竞争格局已经非常稳固，在最近几年内，大部分场的市场份额也一直相对停滞，大多在0.1％和0.2％之间波动。

MSS 市场的重大兼并收购

        随着安全技术的发展和安全形势的变化，MSS 在近年来也正在向更高层次不断演进。早期MSS 主要是针对一线安全人员的基础安全运营工作，包括防火墙、入侵检测等安全工具的管理和配置等，主要处置设备管理和合规问题。随着安全技术的不断进步，MSS 也开始向安全信息与事件管理系统（SIEM）的管理，7 x 24 小时的持续监控和告警等服务演进，以提供安全分析、情报、响应、编排的闭环服务为主。目前MSS 正在向高级行为分析、大数据分析、托管检测与响应（MDR）、威胁情报、威胁狩猎等新兴领域不断发展。

全球安全托管服务的发展阶段

        随着传统的MSS市场整体增长趋缓，以托管检测及响应（MDR) 为代表的新兴MSS业务正在快速兴起。根据Gartner的统计，新兴MSS服务包括（MDR，IaaS、SaaS、Iot、OT等新型IT环境下的安全监测，以及托管的网络流量分 析及威胁情报等服务）在整体MSS市场的占比达到了11%，其中占主导的是托管检测及响应（MDR）服务，年均增长在20%以上，目前渗透率还不到5%。相较于传统的MSS服务，MDR能够为用户提供更深入更全面的安全服务，并和EDR（端点检测与响应）等新兴技术相互融合，进一步增强了安 全威胁检测和响应的能力。随着用户对MDR需求的不断增加，专业安全厂商在安全服务市场相较于综合型厂商的竞争力也有所增强，目前MDR服务的大部分提供者都是专业安全厂商。

MSS市场的发展趋势

        为什么MDR能够成为全球安全托管服务行业的重要趋势，主要原因在于M DR能够有效应对传 统MSS在威胁检测和响应能力上存在的不足。MSS业务重点在日志管理和设备管理上，而MDR的侧重点在威胁检测和响应上，会采取更主动的方法来检测安全事件。MDR充分利用客户部署在端点及网络层 的工具通过行为分析，网络流量分析，威胁情报以及与安全专家的组合，为 客户提供更加深度和全面的威胁监视，检测和响应的服务 ，而不像MSS主要 依靠客户现有安全工具生成的日志来监视和检测威胁。因此MDR非常适用于 许多安全框架不完善以及内部IT安全资源投入不足的企业。

MSS与MDR的区别

三、IBM：网络安全行业的蓝色巨人

        IBM作为全球知名的信息技术产业巨头，以蓝色巨人之名享誉全球。在网络安全产业，IBM同样有着非常独特的地位。在2019年底Symantec的企业安全业务被博通收购之后，从收入规模来看，IBM正式成为了全球规模最大的网络安全厂商，而且能够同时在安全产品市场和安全服务市场均占据头部位置。

        根据IBM财报数据，2018年IBM公司全年实现营收796亿美金，四大战略新兴业务"云、分析、移动、安全"占接近一半的比重。IBM的网络安全业务作为四大战略新兴业务之一，2018年全年实现收入41亿美金，同比增长28%，成为IBM公司近年来的重要增长点。IBM的安全业务除了规模体量大 之外，在综合安全能力上IBM也是业内最强的安全厂商之一。2019年IBM有 5大业务线都处在Gartner魔力象限的领导者象限：分别为IGA（身份管理）、AM（访问管理）、SIEM（安全信息与事件管理）、IRM（集成风险管理） 和MSS（安全托管服务）领先于各安全厂商。

IBM拥有完善的网络安全产品线

    在网络安全行业，IBM借助自身强大的品牌影响力，全球化的布局和完整的安 全产品线，能够向客户提供完整的IT及网络安全解决方案，同时IBM分布在 全球的运营中心和情报网络，也是其网络安全业务的重要支撑。IBM在全球拥有5个全天候运行的XForce指挥中心，以及4个非24/7的SOC分布在美国的乔治亚州和科罗拉多州，欧洲的波兰和比利时，印度班加罗尔、哥斯达 黎加爱雷迪雅、巴西霍托兰达、以及日本东京等地。这些SOC能够向客户提供多种语言的支持，例如英语、西班牙语、葡萄牙语和日语向分布在全球1 33个国家和地区的客户提供本土化语言支持。根据IBM与许多客户的协议，SOC会将客户在运营中遇到的安全事件共享到XForce平台，这形成了IBM安全大数据的来源，同时再通过IBM的9大安全运营中心，共1400多名网络安全专家，每天对200亿以上的安全事件进行梳理。IBM遍步全球的9个SOC，12个安全研究中心及14个安全开发实验室构建了全球顶尖的网络安全服务交付平台和情报网络。

        以IBM位于波兰弗罗茨瓦夫XForce中心为例。IBM的波兰弗罗茨瓦夫中 心在2017年6月正式启动，雇用了超过160名网络安全专家，与亚特兰大和哥斯达黎加的SOC并列为IBM的前三大的XForce中心。弗罗茨瓦夫中心完全遵从欧盟的相关法规交付安全服务，客户数据驻留不会超出欧盟所要求的范围。主要任务是支持客户应对网络安全事件，以应对GDPR法规并提供专业服务，并充当IBM全球网络中心的枢纽。弗罗茨瓦夫的中心与其他八个IBM XForce 指挥中心通过全球网络相连，每个月平均处理一万亿次网络事件，覆盖来自 133个国家地区的客户，构建了IBM的全球网络安全情报网络和交付平台。除了情报及服务交付之外IBM的XForce中心还承 担了安全培训、安全研究等相 关的职能。

        IBM的安全服务业务基于IBM的安全大脑QRadar SIEM平台，能够为用户提供全生命周期的安全管理服务。无论客户是需要共享多租户服务，本地服务，还是混合服务，都可以通过QRadar对整个客户群进行统一管理。除了IBM自己的QRadar平台服务之外IBM，还能够支持多种其他SIEM平台，包括 Splunk和ArcSight的SIEM平台。IBM主要MSS业务还包括漏洞评估和管理 服务事件响应和情报服务（IRIS)， 以及综合威胁管理服务（XFTM)， 而且IBM的认知计算系统Watson也会服务于网络安全业务，以增强IBM的MSS能力。此外IBM的XForce的平台整合了強大的合作伙伴生态体系，包含了Car bon Black、Crowdstrike、Cisco、Palo Alto Networks、Fortinet、Chec k point等顶级安全厂商，为用户提供全生命周期的安全服务。

IBM XForce Threat Management解决方案