2023年7月12日,Safe Security宣布收购CRQ(Cyber Risk Quantification)网络风险量化供厂商RiskLens,揭示出这一赛道中的暗流涌动。
这家总部位于硅谷的风险管理供应商表示,对RiskLens的收购将帮助CISO回答最高管理层、董事会成员或监管机构提出的有关风险的基本问题,而无需谈论产品或合规性。董事会和高级管理人员每天都会提出有关风险的问题,但回答这些问题的工作可能很困难,因为数据通常分布在风险管理和安全团队之间。
在Safe Security CEO Saket Modi看来,这次交易将使RiskLens通过Safe Security的自动化能力,从单点转向持续评估。
Safe Security表示,将通过购买RiskLens来帮助客户提高整个企业风险的可见性、管理和沟通。RiskLens是业界唯一的网络风险量化开放标准的创建者。
Modi说:“我们不知道是否还有任何其他平台能够提供这种价值。在网络安全风险量化和更广泛的风险管理市场方面,这绝对创造了一个超级能力和杀手级应用类别。”
2023年7月18日,Forrester发布了「The Forrester Wave™: Cyber Risk Quantification, Q3 2023」报告,分析了这一赛道的最新动态,并对比分析了其中的8个厂商,RiskLens在这一报告排名中脱颖而出,夺得了榜首位置。
Forrester的高级分析师Cody Scott表示,近10年来,CRQ网络风险量化主要集中在理论方法上,但在过去的五年里,由于CISO们面临着越来越大的压力来证明他们的安全投资的价值,使得CRQ开始转向了实际应用。将网络风险量化纳入广泛的威胁情报平台的收购,使得这一商业模式变得更加可行,Scott表示。
"在客户关注和行业兴趣方面,这是目前增长最快的市场之一",Scott表示,"许多关键的参与者已经开始脱颖而出,证明CRQ不仅是一个可行的商业模式,而且对于他们的客户来说它取得了积极的成果。"
Cody Scott指出,历史上,网络风险量化更多地以合规性为导向,专注于帮助公司报告状态,而不是在决策过程中提供帮助。但由于与资产管理和漏洞管理能力的紧密集成,提供商今天可以使用预测分析来生成与特定安全漏洞利用相关的损失预期。
"CRQ从根本上改变了组织对风险管理的思考方式,以及他们从风险管理计划中获得的效益",Scott说道。
在网络风险量化战略方面,Forrester将RiskLens的策略评为最佳,而Axio、ThreatConnect和Balbix分别在战略类别中获得第二、第三和第四高分。在当前产品优势方面,ThreatConnect在最高得分方面略胜RiskLens,而Axio、KPMG和Balbix分别在Forrester的排名中获得第三、第四和第五的位置。
Cody Scott表示,最成功的网络风险量化提供商可以对风险情景进行建模,并将其分解为具体的变量,同时还可以从多种不同的工具中提取数据,并为客户进行自动计算。网络风险量化工具必须追踪第三方数据的来源,并能够对不同类型的勒索软件攻击进行建模,以解决高管的关切。
未来,Scott预计网络风险咨询服务公司将采取更加以产品为导向的方式进行网络风险量化,同时GRC、ASM以及风险评级公司将首次进入这个领域。新增的网络风险量化功能将使GRC公司不再以合规为中心,同时允许ASM和风险评级公司利用已经收集的数据。
“终端用户的需求仍然是一个他们可以独立使用的产品,而无需持续的专业服务支持或参与以进行维护”,Scott表示。
除了领导者之外,以下是Forrester对CRQ市场的看法:
强劲表现者:Balbix、Mastercard、KPMG
竞争者:X-Analytics
挑战者:Deloitte
RiskLens帮助企业以细粒度、汇总方式评估风险
RiskLens推出了针对大型企业客户的工具,使他们能够在规模上受益。一个例子是投后公司管理功能,允许企业按业务单元或部门查看顶级网络风险,同时还可以跨整个企业查看,Safe Security的总裁Nick Sanna表示。此前,全球企业无法以细粒度和汇总的方式评估风险,只能获得风险的隔离视图。
该公司还投资于将控制测量标准与风险自动连接起来,以帮助组织确定控制配置错误的后果,以及如何将其转化为风险。客户以前依赖分析师来代表他们控制的状态,Sanna表示,这引入了一定程度的主观性,因为分析师会解释工具发现的内容。
“机器完成了大部分的繁重工作。机器现在可以自动识别风险、计算风险,并持续提供风险的可视性仪表盘“,Sanna说道,“我们还没有看到其他参与者能够像Safe和RiskLens那样,在所有这些阶段都提供这种自动化水平,而且范围广泛。”
Forrester批评RiskLens在采集风险输入数据方面采用自动化方法的速度较慢,并且定价模型和成本难以让高管接受。Sanna表示,成为Safe Security的一部分将使RiskLens在风险评估和分析方面获得更强的自动化输入水平,以及一个更简单、更整合的定价模型。
Sanna说:“我认为实际上所有这些被强调的弱点在与Safe的结合中得到了很好的解决。Safe极大地加速了RiskLens在路线图上的发展,缩短了数年的时间。”
Axio通过创建针对特定部门的威胁的新手场景来应对行业特定威胁
过去一年,Axio对其产品进行了重新设计,通过创建针对一般性威胁(如勒索软件和数据泄露)以及医疗保健、公用事业和关键基础设施等行业特定挑战的新手场景,以简化入门和使用。首席产品官Nicole Sundin表示,组织可以在不到15分钟内实现五到八个场景的真实性。
该公司还在控制和报告方面进行了投资,以帮助组织将法规控制映射到其风险环境,并推动更多的采用以及实施Axio技术的快速价值实现。Sundin表示,这包括提供有关PAM、MFA和EDR工具如何降低特定组织风险的可见性,以及用于董事会成员的假设分析和报告。
Axio的联合创始人兼总裁David White认为:"我们的方法更加注重影响。我们的平台使您能够在47个标准影响类别中进行非常透明和简单的影响建模,您还可以根据需要添加其他影响类别。"
Forrester批评了Axio在自动获取风险数据输入方面的薄弱本地第三方集成,以及在其本地报告中面向非技术受众的威胁建模和可视化。Sundin表示,Axio最近添加了五到七个新的自动化集成,正在开发新的报告引擎,并将在未来三年内为非技术受众提供更多功能。
Sundin说:“我们还想拉拢那些希望参与CRQ发展,但现在觉得自己没有被纳入其中的红队成员。”
ThreatConnect旨在消除风险评估中的主观性
ThreatConnect正在加倍努力将机器学习应用于规模化的金融量化,以消除主观性,加快和扩展防御能力。风险量化总经理Jerry Caponera表示,增强数据驱动使ThreatConnect能够提供客观发现的数学证据和更详细的答案,同时保持简单性。
“该公司还可以将相同的技术应用于自动化FAIR方法,向客户提供有关他们可以采取的减轻风险的行动建议,以及与每项行动相关的成本”,Caponera说道,“这使客户更容易追踪在其生态系统的各个部分用于风险缓解的资金以及实际缓解的风险量,从而更容易追踪投资回报率“。
Caponera说:“我们构建了CRQ,以帮助组织根据金融风险来确定在网络安全方面的投资优先级。我们所说的是,"看,我们没有以有效的方式在安全上花费资金。"我们想要帮助确定公司应该在哪里进行支出。”
Forrester批评ThreatConnect缺乏外部基准、基于CVSS的漏洞评分存在局限性,而且它的愿景更注重战术。Caponera 表示,鉴于组织被攻破时产生的信息有限,通用基准意义不大。ThreatConnect 选择与合作伙伴合作,对漏洞严重性和可利用性进行技术排名,这样就可以专注于与利用相关的损失上。
Caponera说:"我们的方法并不是战术与战略的对立。我们的方法是技术性的,因为我们想要找到攻击者能够进入并执行操作的根本原因。只有在您知道攻击者能够进入并执行操作的根本原因之后,您才能真正构建出一个防御策略或减轻策略,防范不好事情发生。"
未来国内会出现CRQ领域的明星创业者吗?我们拭目以待。
相关链接:
https://www.careersinfosecurity.com/safe-security-buys-cyber-risk-quantification-vendor-risklens-a-22515
https://www.inforisktoday.com/risklens-axio-lead-cyber-risk-quantification-forrester-wave-a-22833
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。