Gartner最近的报告中出现了一种网络安全领域的新概念——安全评级服务(SRS, Security Rating Services),Gartner将其定义为“为组织实体提供持续的、独立的、量化的安全分析和评级服务”。
到底什么是SRS?
说的直白一点,SRS就是一种以大数据分析和威胁情报为基础,对企业的信息资产,进行量化的快速的安全风险评估。这种评估通过主动和被动(均无需打扰被评价方)两种形式,从各种公开和私有资源收集数据,使用特定的分析方法分析数据并使用实体自身的标准评级方法论来打分。可用来做企业内部的安全报告,以及对第三方合作伙伴的风险管理。此外,企业本身也常常需要向管理层提供,自身安全状态与友商和竞争对手的比较标准。SRS正是这样一种基于独立数据资源的第三方评估工具。
作为国内首个安全评价服务商,安全值正式发布了适用于国内的六个典型的应用场景解决方案:
1. 行业态势分析
为行业主管部门和研究分析机构提供行业网络安全态势分析报告,对比行业网络安全状况的差异。
服务对象:行业主管部门和研究分析机构
互联网技术的发展带来了新的威胁,各行业的安全风险与自身业务特点有直接的关系,这让网络安全变得更加复杂,快速、全面了解行业网络安全态势成为迫切需求。随着大数据技术和威胁情报的发展,可以通过大数据技术与威胁情报数据结合,发现各行业的安全风险。安全值整合了100多家外部数据资源,为行业主管部门提供自动化的风险评估,并作出定量评价。无需部署任何设备,即可从业务、隐私、应用、主机、网络、环境6个方面识别多种风险类型(目前更新到12类)。通过安全值不仅可以帮助行业机构完成定量化安全评价,还可以与其它行业进行对比,揭示行业共性风险,提高行业安全风险预警能力。
同时,您可以获取安全值发布的各行业网络安全分析报告。
2. 安全绩效测量
让总部管理层掌握下级单位的安全风险,并对安全状况进行客观评价,辅助开展安全绩效测量。
服务对象:总部管理层
各组织对网络安全工作益发重视,越来越多的组织希望通过将信息安全重点工作纳入绩效考核的方式强化责任落实。但传统的安全绩效测量方法存在很大局限性,一方面通过调查问卷形式只展示了某个时间点的风险状态,无法提供持续性的安全状态评估,而且结果的准确性还要取决于被调查者回答的客观性;另一方面通过技术检查需要依赖部署各种检查设备获取信息,实施成本高、周期长、分析难度大。
很多集团型企业总部使用安全值,无需部署任何设备实现了对各单位网络安全持续的、客观的外部安全评价,用定量化的方法完成安全状况的测量。并通过和内部结合,构建了内、外两个维度的大数据安全评价模式,为安全绩效考核工作提供了良好的支撑。
3. 第三方风险管理
为风险管理部门提供合作伙伴或供应商的安全评价报告,实现对第三方风险进行持续监测。
服务对象:风险管理部门
多数公司忽视了由合作伙伴或供应商带来引发的第三方安全风险。《2015年的网络犯罪报告》中指出只有16%的受访者表示评估过第三方的安全,23%的受访者从不不评估第三方安全。
在《银行业金融机构信息科技外包风险监管指引》中指出“银行业金融机构对关联外包服务提供商定期进行的安全检查,不得以服务提供商的自评估替代,不得因关联关系而影响检查的独立性、客观性及公正性。”第三方安全风险已经逐渐成为国内外共同关注的主要风险领域。
为应对大量的合作伙伴和供应商带来的安全风险,风险管理部门需要能够及时获取对其客观的安全评价报告,完成风险评估,采用人工检测和调查的方法势必会带来巨大工作量,并且无法做到及时性和持续性。安全值可以实现保护业务和品牌的完整性,同时对合作伙伴、供应商网络安全状况进行持续监测。
4. 企业安全评级
为征信机构和保险公司提供企业安全评级报告,帮助挖掘潜在客户并提高业务竞争力。
服务对象:征信机构、保险公司
网络安全评价可以引入企业信用评价体系,构建更完整的企业信用评价体系,提供更客观、准确、定量化的报告,反映出更真实的企业信用现状。
购买网络保险是全球的一大趋势,当您的客户需要网络保险,如果不能调查出他真实世界的IT安全风险问题是很难签署协议的。通过安全值平台,比较您的投保人所在行业标准,在不影响客户网络运行的前提下,既获得一个详尽、深入的网络安全评级报告,能够快速有效的支持网络保险的业务办理和帮助对潜在客户的挖掘。
5. 大数据风险评估
面向CSO管理层提供大数据风险评估方法,以补充传统手段的不足,识别互联网安全风险。
服务对象:CSO管理层
你可能还没有意识到,你的合作伙伴因法律要求或担心第三方风险的影响,必须对你的安全风险进行审计,正在通过各种方式了解你的安全状况。安全值可以帮助你从外部发现安全风险,并持续监测。
管理层想了解企业的安全投入是否让企业变得更安全,也需要向客户和监管机构积极证明你的网络安全现状,安全值提供了一个快速、独立的审计程序来验证你的安全措施和安全投入的有效性。
大数据风险评估弥补了传统方法的不足,发现被忽略的互联网风险,了解你的安全在自身行业中的位置,基于各项安全指标与垂直行业进行差异比较。帮助你做出理性的、基于事实数据的参考,在安全管理和风险控制过程中做出更明智的投资决策。
6. GRC&SIEM的扩展
为合作伙伴的GRC&SIEM产品提供外部威胁情报数据集成,提升产品整体能力
服务对象:GRC&SIEM产品
安全值已经整合国内外100多家数据资源,能够发现任何企业互联网资产的风险,并提供API接口,为合作伙伴和客户的GRC和SIEM提供外部风险数据接入。
SRS应用中的关键点
SRS要在行业中更好的得以应用,一方面分析的数据应确保准确性和及时性,另一方面需要考虑国家不同的政策要求和行业特点实现可定制的风险指标计算体系。
国内外SRS产品并没有统一的计算标准,数据类型也各不相同,均根据各自的数据类型特点建立了各自的评价模型和算法来应对客户需求,这些数据类型包括僵尸网络、垃圾邮件、恶意代码、安全漏洞、DNS、信息泄露、异常流量攻击等。
另外SRS提供商的服务方案所面向的对象不同,分别定位在行业安全主管部门、集团管理层、风险管理部、信息安全管理部、保险公司、征信机构。
目前,SRS的市场认可度和成熟度尚处于早期阶段,国外主要的提供商有BitSight、FICO、SecurityScorecard等,国内目前仅有一家正式推出并已拥有多个成功案例的SRS服务,安全值。
附:安全值行业研究报告(银行、证券、保险、互联网金融、医疗、教育等)
https://www.aqzhi.com/themes/default/anquandownload.html