环顾四周，我们已经生活在“下一代”的世界了，哪天一觉醒来可能生活在元宇宙时代了…小众细分的安全行业亦是如此。下一代防火墙、下一代端点保护、下一代SOC，常常上一代我们诚实的身体还没用明白，眼球就不自觉地被下一代的性感词汇吸引过去。赶在有人抛出云宇宙MSSP之前，让我们抓紧时间聊一聊下一代MSSP这个话题，权当博个眼球😜

        MSSP在国际市场可是已有10年+的发展历史，在2019年Gartner MSSP魔力象限中，可以看到一干耀眼的巨头们的身影，在某咨询机构的榜单，甚至看到top250的排序。

        反观国内，MSSP市场目力所及还处于萌芽阶段，前路漫漫。根本原因是安全服务总是滞后于安全产品的发展，同时企业自身能力参差不齐，一些前置性的灵魂拷问还在不断被重复：安全的价值是什么？安全运营管理的价值是什么？乙方安全服务的价值是什么？我们为什么不能自己做？不出事要你有什么用，出了事你能做什么？当MSSP们需要同时不断回答以上问题时，市场的成熟度一定尚有很大空间…🤷‍♂️

        事实也是如此，MSSP在国内市场一直和者甚寡。时间走到了2021年，情况似乎开始有了变化，我们惊喜地看到超巨们纷纷在国内市场开始为“MSS”发出了声音：

        2021年初，第三方咨询公司沙利文做了一篇关于MSSP的国内市场竞争报告（见下图）；之后便不断响起各种声音：一线安全大厂布局推出MSS安全运营服务、BAT发布MSS服务战略、老牌四大发布安全运营服务… 一时间甚嚣尘上，锣鼓喧天！似乎该领域的细分赛道开始逐步形成了，莫非中国大陆的“MSSP”元年开始了吗？

        相比也许随之而来的竞争和内卷，超巨们共同出手教育市场，反而更让人感到鼓舞，信心倍增。

         相对于国际市场较为成熟完备的发展，国内的“初代”MSSP们面对的市场是广大且极具挑战的。当市场一夜觉醒、需求大量爆发，传统意义上MSSP需要积累、沉淀及试错的时间变得无比紧张，因此很难复制老牌MSSP们慢慢成长的过程；同时，需求虽然刺激了供给，但需方模棱两可的要求和供方似是而非的输出，必然会在很长一段时间内造成巨大的认知差异。所以我想，所谓的“下一代”MSSP并不是指MSSP市场入局者们，而是大家所在的这个蓬勃奔涌的“下一代”大环境。如何去应对这样的形势，以下是一些小小的思考。

        如果说SOC和MSSP的核心依然是人（当然，有任何一个企业的核心不是人吗？），那人的mindset决定了“下一代”MSSP的内核。

        当我们stakeholder真正开始意识到信息安全对于企业的意义，开始不断觉醒、投入资源、积极关注时，作为MSSPer ，能否突破形式上的输出、不仅仅只作为中低层面技术支持，而是能在战略层面、对业务目标、安全治理方针、风险决策等方面给予支持？

        在很多甲方管理者还无法统一对称安全价值之时，MSSP们可能不止只覆盖技术端的工作。由于甲方人员和资源的欠缺，应该也不得不承担起咨询、建议和管理的职责；真正使运营对称至业务目标和管理方针，即使这真的很难。

        我们需要意识到安全市场的快速变化，来自于信息威胁的快速变化，而这些变化又基于需方业务形态的快速变化而不断变化。同时，我们的资产不再固定在线下、越来越依赖于云原生；我们的防御边界日益模糊；层出不穷的新型威胁和新型检测技术、按传统思维防御体系的托管，常常处于“皮之不存、毛将焉附”的扭曲境地。在这种趋势下，MSSP们必须、也不得不需要更快地跟上节奏。没有敏捷的思维方式，只以标准、流程、公式化的输出很可能会价值受限、甚至无法输出。

         硬币的另一面是，我们才刚刚开始“敏捷”，就已经面临“过敏”。。。敏捷在很多组织里，常常为一些“浮夸”、一些“粗糙”背锅，在MSSP业务领域亦是如此。敏捷思维很可能又与服务交付的标准化和效率天然矛盾。在圈内已经能看到、甚至可能愈演愈烈的浮夸风之下，不仅能保持内心坚定，还能真正敏捷地跟上时代，成为了MSSP的自我修养。     

        面对MSSP业务中各种离散的痛点和诉求，如何在更短的周期实现类似下图的创新闭环成了我们不断思考的问题。

        这几年我们听到了太多新名词，上一次的名词还没被消化运用，忽然就被下一个更性感的名词淘汰。新技术的演进速度和MSSP希望标准化输出方式形成了天然冲突，敏捷思维并无法解决服务交付的标准化和效率问题，而无法产品化交付的MSSP必然总是会陷入一个个项目黑洞，难以保障运营效果和客户满意度。        

       同时，由于用户诉求和MSSP的多样性，每个MSPP的Skillset可能都不一样，除了经典能力要求，“下一代”MSSP技术集该如何扩展提升，以下是一些小小判断：

        基于威胁的检测和分析永不过时，只是需要积累；本质上，MSSP围绕SOC帮助用户建立威胁检测，所以围绕攻击链、攻击面是必须不断掌握和积累的技能集。mitre att&ck已经给了我们非常体系且不断演进中的技术框架，但理解、实践、运用则是MSSP们需要不断积累的工作。        

        公有云化、云原生、安全左移、数据保护……凡此种种。老话题、新声音都在用各种方式提醒我们现在用户核心资产的位置。优先围绕企业核心资产和业务，建立我们的技能集，可能是MSSP提升价值和竞争力的理想姿势。为此，我们可能不止要了解防火墙、IPS、杀毒软件…还需要去了解公有云和云原生安全、数据安全、IoT安全…

        技能树无尽，技能点却有限，每家“下一代”MSSP练级打怪前路漫漫。

       从大环境来看，组织（供需双方都是）面临日益严重的技能短缺，缺乏网络安全技能和资源。因而，MSSP业务的复用性必然很高，由此，优化人员效率比的自我驱动天然强烈。更自动化的检测和更自动化的响应必然成为MSSP必须去关注的领域，而不只是热点词条。

        即使全世界都在吹AI驱动和SOAR却无法切实落地的时候，拥有自我修养的MSSP也应该不断实践、不断探索，找到适合自己的自动化运营和管理道路。MSSP需要从整体上提升自己的能力和带宽，尽量减少所需的资源，在可重复的任务上减少人工浪费，使分析师能够腾出时间并专注于更重要的操作。

        需方企业对于信息安全的关注也许是合规驱动的、风险驱动的、勒索事件驱动的；安全厂商对于安全防御的定义也许是AI驱动的、威胁驱动的、性感话题驱动的；但服务基因的MSSP一定应该是价值驱动的——对于有要求但缺人力的企业需方的真实价值。

        从基础细碎的点滴工作开始，在自身服务的深度和广度上不断积累自身能力和经验，帮助用户切实改善日常运营和管理，这也许就是MSSP一个不那么性感却每天发生着的成长故事。