新聞中心

首頁新聞中心行業動態

安全領域新概念:安全評級服務的興起

[2016-10-31]

Gartner最近的報告中出現了一種安全領域的新概念——安全評級服務(SRS, Security Rating Services),Gartner將其定義為,“為組織實體提供持續的、獨立的、量化的安全分析和評級服務”。



到底什么是SRS?


說的直白一點,SRS就是一種以大數據分析和威脅情報為基礎,對企業的信息資產,進行量化的快速的安全風險評估。這種評估通過主動和被動(均無需打擾被評價方)兩種形式,從各種公開和私有資源收集數據,使用特定的分析方法分析數據并使用實體自身的標準評級方法論來打分。可用來做企業內部的安全報告,以及對第三方合作伙伴的風險管理。


對于企業來說,核心業務之外的服務需要越來越多的第三方供應商,在網絡虛擬化的大潮下,對云服務提供商的需求尤為凸顯。為此,除了對本身安全狀況的掌握,“如何了解大量業務伙伴和第三方服務安全狀況”的需求也逐漸增長起來。


傳統的第三方安全評估有著各種限制,尤其是當涉及到成百甚至上千的外部服務和合作伙伴時。而且,傳統的第三方確認或證明往往只在某個時間點上有效,無法提供持續性的安全狀態評估。而其他常用評估方法,如基于通用標準或調查框架的問卷,同樣也有時間點的問題,而且結果的客觀性還要取決于被調查者的回答。


此外,企業本身也常常需要向管理層提供,自身安全狀態與友商和競爭對手的比較標準。SRS正是這樣一種基于獨立數據資源的第三方評估工具。


哪些應用場景需要SRS?


SRS目前尚未得到普遍應用,但明顯的應用需求已經出現。下面是國內六個典型的應用場景:


1. 行業態勢分析


為行業主管部門和研究分析機構提供提供自動化的風險評估,并作出定量評價;還可提供行業網絡安全態勢分析報告,對比行業網絡安全狀況的差異。


2. 安全績效測量


越來越多的組織希望通過將信息安全重點工作納入績效考核的方式強化責任落實,但傳統的安全績效測量方法存在很大局限性。如調查問卷形式只展示了某個時間點的風險狀態,無法提供持續性的安全狀態評估,而且結果的準確性還要取決于被調查者回答的客觀性。另一方面,通過技術檢查需要依賴部署各種檢查設備以獲取信息,且實施成本高、周期長、分析難度大。


SRS可幫助總部管理層掌握下級單位的安全風險,并對安全狀況進行客觀評價,輔助開展安全績效測量。


3. 第三方風險管理


為應對大量的合作伙伴和供應商帶來的安全風險,風險管理部門需要能夠及時獲取對其客觀的安全評價報告,完成風險評估;采用人工檢測和調查的方法勢必會帶來巨大工作量,并且無法做到及時性和持續性。SRS可以實現保護業務和品牌的完整性,同時對合作伙伴、供應商網絡安全狀況進行持續監測,為風險管理部門提供合作伙伴或供應商的安全評價報告。


4. 企業安全評級


網絡安全評價可以引入企業信用評價體系,構建更完整的企業信用評價體系,提供更客觀、準確、定量化的報告,反映出更真實的企業信用現狀。為征信機構和保險公司提供企業安全評級報告,幫助挖掘潛在客戶并提高業務競爭力。


網絡安全保險業務已是大趨勢,全球市場已突破700億美元。但如果不能獲悉客戶真實的IT安全風險狀況很難簽署保險協議。通過SRS服務,可在不影響客戶網絡運行的前提下,獲得一個詳盡、深入的網絡安全評級報告,能夠快速有效的支持網絡保險的業務辦理和幫助對潛在客戶的挖掘。


5. 大數據風險評估


大數據風險評估彌補了傳統方法的不足,對內管理層需要了解安全措施和安全投入的有效性,對外需要向合作伙伴、客戶和監管機構證明自己的網絡安全現狀。SRS提供了一個快速、獨立的第三方審計手段。


6. GRC&SIEM的擴展


優秀SRS服務的一個關鍵支撐是海量的數據資源,通過大數據和威脅情報準確地發現企業互聯網資產的風險,并可通過API標準接口,為合作伙伴和客戶的GRC和SIEM產品提供外部風險數據接入,以提升產品整體能力。


SRS應用中的關鍵點


SRS要在行業中更好的得以應用,一方面分析的數據應確保準確性和及時性,另一方面需要考慮國家不同的政策要求和行業特點實現可定制的風險指標計算體系。


國內外SRS產品并沒有統一的計算標準,數據類型也各不相同,均根據各自的數據類型特點建立了各自的評價模型和算法來應對客戶需求。這些數據類型包括僵尸網絡、垃圾郵件、惡意代碼、安全漏洞、DNS、信息泄露、異常流量攻擊等。


另外SRS提供商的服務方案所面向的對象不同,分別定位在行業安全主管部門、集團管理層、風險管理部、信息安全管理部、保險公司、征信機構。


目前,SRS的市場認可度和成熟度還處于非常早期的階段,國外主要的提供商有BitSight、FICO、SecurityScorecard等,國內目前僅有一家正式推出并已擁有多個成功案例的SRS服務,安全值。

(來源:安全牛)


版權所有 2010-2013 深圳市耐施菲信息科技有限公司 粵ICP備15009324號
Copyright 2010-2013 netsfere.net Inc. All Rights Reserved.
粵公網安備 44030502004101號

贵州十一选五开奖结果