行業(yè)動(dòng)態(tài)

安全值:國(guó)內(nèi)首個(gè)網(wǎng)絡(luò)安全評(píng)價(jià)服務(wù)

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2016-10-29    瀏覽次數(shù):
 

信息來(lái)源:比特網(wǎng)

Gartner最近的報(bào)告中出現(xiàn)了一種網(wǎng)絡(luò)安全領(lǐng)域的新概念——安全評(píng)級(jí)服務(wù)(SRS, Security Rating Services),Gartner將其定義為“為組織實(shí)體提供持續(xù)的、獨(dú)立的、量化的安全分析和評(píng)級(jí)服務(wù)”。

到底什么是SRS?

說(shuō)的直白一點(diǎn),SRS就是一種以大數(shù)據(jù)分析和威脅情報(bào)為基礎(chǔ),對(duì)企業(yè)信息資產(chǎn),進(jìn)行量化的快速的安全風(fēng)險(xiǎn)評(píng)估。這種評(píng)估通過(guò)主動(dòng)和被動(dòng)(均無(wú)需打擾被評(píng)價(jià)方)兩種形式,從各種公開(kāi)和私有資源收集數(shù)據(jù),使用特定的分析方法分析數(shù)據(jù)并使用實(shí)體自身的標(biāo)準(zhǔn)評(píng)級(jí)方法論來(lái)打分??捎脕?lái)做企業(yè)內(nèi)部的安全報(bào)告,以及對(duì)第三方合作伙伴的風(fēng)險(xiǎn)管理。此外,企業(yè)本身也常常需要向管理層提供,自身安全狀態(tài)與友商和競(jìng)爭(zhēng)對(duì)手的比較標(biāo)準(zhǔn)。SRS正是這樣一種基于獨(dú)立數(shù)據(jù)資源的第三方評(píng)估工具。

安全值,作為國(guó)內(nèi)首個(gè)安全評(píng)價(jià)服務(wù)商,正式發(fā)布了適用于國(guó)內(nèi)的六個(gè)典型的應(yīng)用場(chǎng)景解決方案

1. 行業(yè)態(tài)勢(shì)分析

為行業(yè)主管部門(mén)和研究分析機(jī)構(gòu)提供行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)分析報(bào)告,對(duì)比行業(yè)網(wǎng)絡(luò)安全狀況的差異。

服務(wù)對(duì)象:行業(yè)主管部門(mén)和研究分析機(jī)構(gòu)

互聯(lián)網(wǎng)技術(shù)的發(fā)展帶來(lái)了新的威脅,各行業(yè)的安全風(fēng)險(xiǎn)與自身業(yè)務(wù)特點(diǎn)有直接的關(guān)系,這讓網(wǎng)絡(luò)安全變得更加復(fù)雜,快速、全面了解行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)成為迫切需求。隨著大數(shù)據(jù)技術(shù)和威脅情報(bào)的發(fā)展,可以通過(guò)大數(shù)據(jù)技術(shù)與威脅情報(bào)數(shù)據(jù)結(jié)合,發(fā)現(xiàn)各行業(yè)的安全風(fēng)險(xiǎn)。安全值整合了100多家外部數(shù)據(jù)資源,為行業(yè)主管部門(mén)提供自動(dòng)化的風(fēng)險(xiǎn)評(píng)估,并作出定量評(píng)價(jià)。無(wú)需部署任何設(shè)備,即可從業(yè)務(wù)、隱私、應(yīng)用、主機(jī)、網(wǎng)絡(luò)、環(huán)境6個(gè)方面識(shí)別多種風(fēng)險(xiǎn)類(lèi)型(目前更新到12類(lèi))。通過(guò)安全值不僅可以幫助行業(yè)機(jī)構(gòu)完成定量化安全評(píng)價(jià),還可以與其它行業(yè)進(jìn)行對(duì)比,揭示行業(yè)共性風(fēng)險(xiǎn),提高行業(yè)安全風(fēng)險(xiǎn)預(yù)警能力。

同時(shí),您可以獲取安全值發(fā)布的各行業(yè)網(wǎng)絡(luò)安全分析報(bào)告。

2. 安全績(jī)效測(cè)量

讓總部管理層掌握下級(jí)單位的安全風(fēng)險(xiǎn),并對(duì)安全狀況進(jìn)行客觀評(píng)價(jià),輔助開(kāi)展安全績(jī)效測(cè)量。

服務(wù)對(duì)象:總部管理層

各組織對(duì)網(wǎng)絡(luò)安全工作益發(fā)重視,越來(lái)越多的組織希望通過(guò)將信息安全重點(diǎn)工作納入績(jī)效考核的方式強(qiáng)化責(zé)任落實(shí)。但傳統(tǒng)的安全績(jī)效測(cè)量方法存在很大局限性,一方面通過(guò)調(diào)查問(wèn)卷形式只展示了某個(gè)時(shí)間點(diǎn)的風(fēng)險(xiǎn)狀態(tài),無(wú)法提供持續(xù)性的安全狀態(tài)評(píng)估,而且結(jié)果的準(zhǔn)確性還要取決于被調(diào)查者回答的客觀性;另一方面通過(guò)技術(shù)檢查需要依賴部署各種檢查設(shè)備獲取信息,實(shí)施成本高、周期長(zhǎng)、分析難度大。

很多集團(tuán)型企業(yè)總部使用安全值,無(wú)需部署任何設(shè)備實(shí)現(xiàn)了對(duì)各單位網(wǎng)絡(luò)安全持續(xù)的、客觀的外部安全評(píng)價(jià),用定量化的方法完成安全狀況的測(cè)量。并通過(guò)和內(nèi)部結(jié)合,構(gòu)建了內(nèi)、外兩個(gè)維度的大數(shù)據(jù)安全評(píng)價(jià)模式,為安全績(jī)效考核工作提供了良好的支撐。

3. 第三方風(fēng)險(xiǎn)管理

為風(fēng)險(xiǎn)管理部門(mén)提供合作伙伴或供應(yīng)商的安全評(píng)價(jià)報(bào)告,實(shí)現(xiàn)對(duì)第三方風(fēng)險(xiǎn)進(jìn)行持續(xù)監(jiān)測(cè)。

服務(wù)對(duì)象:風(fēng)險(xiǎn)管理部門(mén)

多數(shù)公司忽視了由合作伙伴或供應(yīng)商帶來(lái)引發(fā)的第三方安全風(fēng)險(xiǎn)?!?015年的網(wǎng)絡(luò)犯罪報(bào)告》中指出只有16%的受訪者表示評(píng)估過(guò)第三方的安全,23%的受訪者從不不評(píng)估第三方安全。

在《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》中指出“銀行業(yè)金融機(jī)構(gòu)對(duì)關(guān)聯(lián)外包服務(wù)提供商定期進(jìn)行的安全檢查,不得以服務(wù)提供商的自評(píng)估替代,不得因關(guān)聯(lián)關(guān)系而影響檢查的獨(dú)立性、客觀性及公正性?!钡谌桨踩L(fēng)險(xiǎn)已經(jīng)逐漸成為國(guó)內(nèi)外共同關(guān)注的主要風(fēng)險(xiǎn)領(lǐng)域。

為應(yīng)對(duì)大量的合作伙伴和供應(yīng)商帶來(lái)的安全風(fēng)險(xiǎn),風(fēng)險(xiǎn)管理部門(mén)需要能夠及時(shí)獲取對(duì)其客觀的安全評(píng)價(jià)報(bào)告,完成風(fēng)險(xiǎn)評(píng)估,采用人工檢測(cè)和調(diào)查的方法勢(shì)必會(huì)帶來(lái)巨大工作量,并且無(wú)法做到及時(shí)性和持續(xù)性。安全值可以實(shí)現(xiàn)保護(hù)業(yè)務(wù)和品牌的完整性,同時(shí)對(duì)合作伙伴、供應(yīng)商網(wǎng)絡(luò)安全狀況進(jìn)行持續(xù)監(jiān)測(cè)。

4. 企業(yè)安全評(píng)級(jí)

為征信機(jī)構(gòu)和保險(xiǎn)公司提供企業(yè)安全評(píng)級(jí)報(bào)告,幫助挖掘潛在客戶并提高業(yè)務(wù)競(jìng)爭(zhēng)力。

服務(wù)對(duì)象:征信機(jī)構(gòu)、保險(xiǎn)公司

網(wǎng)絡(luò)安全評(píng)價(jià)可以引入企業(yè)信用評(píng)價(jià)體系,構(gòu)建更完整的企業(yè)信用評(píng)價(jià)體系,提供更客觀、準(zhǔn)確、定量化的報(bào)告,反映出更真實(shí)的企業(yè)信用現(xiàn)狀。

購(gòu)買(mǎi)網(wǎng)絡(luò)保險(xiǎn)是全球的一大趨勢(shì),當(dāng)您的客戶需要網(wǎng)絡(luò)保險(xiǎn),如果不能調(diào)查出他真實(shí)世界的IT安全風(fēng)險(xiǎn)問(wèn)題是很難簽署協(xié)議的。通過(guò)安全值平臺(tái),比較您的投保人所在行業(yè)標(biāo)準(zhǔn),在不影響客戶網(wǎng)絡(luò)運(yùn)行的前提下,既獲得一個(gè)詳盡、深入的網(wǎng)絡(luò)安全評(píng)級(jí)報(bào)告,能夠快速有效的支持網(wǎng)絡(luò)保險(xiǎn)的業(yè)務(wù)辦理和幫助對(duì)潛在客戶的挖掘。

5. 大數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估

面向CSO管理層提供大數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估方法,以補(bǔ)充傳統(tǒng)手段的不足,識(shí)別互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)。

服務(wù)對(duì)象:CSO管理層

你可能還沒(méi)有意識(shí)到,你的合作伙伴因法律要求或擔(dān)心第三方風(fēng)險(xiǎn)的影響,必須對(duì)你的安全風(fēng)險(xiǎn)進(jìn)行審計(jì),正在通過(guò)各種方式了解你的安全狀況。安全值可以幫助你從外部發(fā)現(xiàn)安全風(fēng)險(xiǎn),并持續(xù)監(jiān)測(cè)。

管理層想了解企業(yè)的安全投入是否讓企業(yè)變得更安全,也需要向客戶和監(jiān)管機(jī)構(gòu)積極證明你的網(wǎng)絡(luò)安全現(xiàn)狀,安全值提供了一個(gè)快速、獨(dú)立的審計(jì)程序來(lái)驗(yàn)證你的安全措施和安全投入的有效性。

大數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估彌補(bǔ)了傳統(tǒng)方法的不足,發(fā)現(xiàn)被忽略的互聯(lián)網(wǎng)風(fēng)險(xiǎn),了解你的安全在自身行業(yè)中的位置,基于各項(xiàng)安全指標(biāo)與垂直行業(yè)進(jìn)行差異比較。幫助你做出理性的、基于事實(shí)數(shù)據(jù)的參考,在安全管理和風(fēng)險(xiǎn)控制過(guò)程中做出更明智的投資決策。

6. GRC&SIEM的擴(kuò)展

為合作伙伴的GRC&SIEM產(chǎn)品提供外部威脅情報(bào)數(shù)據(jù)集成,提升產(chǎn)品整體能力

服務(wù)對(duì)象:GRC&SIEM產(chǎn)品

安全值已經(jīng)整合國(guó)內(nèi)外100多家數(shù)據(jù)資源,能夠發(fā)現(xiàn)任何企業(yè)互聯(lián)網(wǎng)資產(chǎn)的風(fēng)險(xiǎn),并提供API接口,為合作伙伴和客戶的GRC和SIEM提供外部風(fēng)險(xiǎn)數(shù)據(jù)接入。

SRS應(yīng)用中的關(guān)鍵點(diǎn)

SRS要在行業(yè)中更好的得以應(yīng)用,一方面分析的數(shù)據(jù)應(yīng)確保準(zhǔn)確性和及時(shí)性,另一方面需要考慮國(guó)家不同的政策要求和行業(yè)特點(diǎn)實(shí)現(xiàn)可定制的風(fēng)險(xiǎn)指標(biāo)計(jì)算體系。

國(guó)內(nèi)外SRS產(chǎn)品并沒(méi)有統(tǒng)一的計(jì)算標(biāo)準(zhǔn),數(shù)據(jù)類(lèi)型也各不相同,均根據(jù)各自的數(shù)據(jù)類(lèi)型特點(diǎn)建立了各自的評(píng)價(jià)模型和算法來(lái)應(yīng)對(duì)客戶需求,這些數(shù)據(jù)類(lèi)型包括僵尸網(wǎng)絡(luò)、垃圾郵件、惡意代碼、安全漏洞、DNS、信息泄露、異常流量攻擊等。

另外SRS提供商的服務(wù)方案所面向的對(duì)象不同,分別定位在行業(yè)安全主管部門(mén)、集團(tuán)管理層、風(fēng)險(xiǎn)管理部、信息安全管理部、保險(xiǎn)公司、征信機(jī)構(gòu)。

目前,SRS的市場(chǎng)認(rèn)可度和成熟度尚處于早期階段,國(guó)外主要的提供商有BitSight、FICO、SecurityScorecard等,國(guó)內(nèi)目前僅有一家正式推出并已擁有多個(gè)成功案例的SRS服務(wù),安全值。

 
 

上一篇:2016年10月26日 聚銘安全速遞

下一篇:十大計(jì)算機(jī)惡意軟件排行榜 你中招了沒(méi)