传统乙方安全运营服务

在传统的乙方安全运营模式中，最常见的莫过于直接派遣员工进行驻场的安全服务。对于驻场服务而言，客户对象一般是国企事业单位居多。驻场员工除了处理一般的安全事件外，更多的是为甲方提供多种不同的信息安全方面的支持，包括但不限于技术，也有很多汇报，文档等类工作。

在这一阶段的乙方安全运营，水平可谓是参差不齐，服务能力严重依赖于驻场人员的个人能力。实际上很多驻场人员能解决的问题有限，更多的需要依赖于远程的专家团队进行支持。

但是不可否认，驻场模式的安全服务能够更好的去跟客户沟通，充分了解客户的需求，更容易赢得客户的信赖，能为后续的续约成单打下坚实的基础。

互联网的安全运营解决方案

17年笔者实习时曾接触过公司的一个安全运营项目，主要是为客户建立起一套基于OSSIM的安全架构体系。笔者认为这也是一种安全运营的方式，乙方通过为甲方提供安全产品来进行安全运营，后续也有可能是乙方派人驻场运维这套系统。

这一阶段有很多优秀的解决方案，很大程度上提升了安全运营的水平。其中不得不说的就是soc的方案，但是笔者接触到的人大多对于soc的方案持中立态度，认为设想很好但是落地很难。因为大家可能因为采购等多种原因，购买了多个厂商的多种不同产品，而再想将这些产品的日志等产出物都集成到一个soc中可能就会出现多种不同的问题。

从笔者接触到的情况来看，现在更多的互联网企业都采用了自建安全运营平台的方案，没钱就基于ELK来不断完善日志收集功能和报警规则，有钱就购买更好的splunk等商业产品，自建安全运营平台，招收专门的安全运营人才成为目前互联网企业的主流解决方案。

新出现的安全运营服务思路

MDR(Managed Detection & Response)Gartner在2016年首次提出了了“(MDR)”一词。笔者简单的理解，该服务的重点为Managed，甲方直接将安全运营业务托管给了专业的乙方。这很符合专业的人做专业的事的逻辑，23333。乙方自建系统，收集来自不同的企业的日志，并提供7*24小时的安全监控服务。

这一服务类型的出现极大的提高了安全运营的专业化水平。对于双方而言都是有所裨益的：

• 甲方可以更专注在安全建设上来，安全人员不用为了报警而疲于奔命;
• 乙方可以通过多个甲方的情况来完善自身服务，打造出一套完整的标准流程;
• 通过乙方的标准流程，可以极大降低安全运营水平对于个人能力的依赖;
• 从市场角度而言，将安全运营服务进一步推向了极致，后续甲方对MDR提供商的依赖将会进一步升高。