Yönetişim ve Risk Yönetimi , BT Risk Yönetimi , Risk Değerlendirmeleri
CRQ, CISO’ların Siber Yatırım Getirisi Elde Etmesine Yardımcı Olduğundan ThreatConnect Yüksek Puanlar Aldı
Micheal Novinson (Michael Novinson) •
16 Ağustos 2023
Kısa bir süre önce satın alınan RiskLens, Forrester’ın ilk siber risk ölçüm sıralamasında Axio ve görevdeki ThreatConnect’i geride bırakarak en üst sırada yer aldı.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Bugünün Tehditlerine Karşı Savunma
Forrester Kıdemli Analisti Cody Scott, siber risk ölçümü neredeyse 10 yıl boyunca teorik metodolojiye odaklandı, ancak son yarım on yılda CISO’lar güvenlik yatırımlarının değerini göstermek için artan baskıyla karşı karşıya kaldıkça pratik uygulamalara kaydı. Scott, siber risk ölçümünü geniş tehdit istihbaratı platformlarına getiren satın almaların iş modelini daha uygulanabilir hale getirdiğini söyledi (bkz: Safe Security, Siber Risk Ölçüm Sağlayıcısı RiskLens’i Satın Aldı).
Scott, Information Security Media Group’a “Bu, müşteri fikir paylaşımı ve endüstri ilgisi açısından şu anda en hızlı büyüyen pazarlardan biri” dedi. “Pek çok kilit oyuncu, CRQ’nun yalnızca uygulanabilir bir iş modeli olmadığını, aynı zamanda müşterileri için olumlu sonuçları olduğunu göstermek için öne çıkmaya başladı.”
Scott, siber risk ölçümünün tarihsel olarak daha fazla uyumluluk odaklı olduğunu ve şirketlerin karar verme sürecine yardımcı olmaktan çok durum hakkında rapor vermelerine yardımcı olmaya odaklandığını söyledi. Ancak, varlık yönetimi ve güvenlik açığı yönetimi yetenekleriyle yapılan sıkı entegrasyonlar sayesinde, bugün sağlayıcılar, belirli güvenlik açıklarının kullanılmasıyla ilişkili kayıp beklentisini oluşturmak için tahmine dayalı analitiği kullanabilir.
Scott, “CRQ, kuruluşların risk yönetimi ve risk yönetimi programlarından elde ettikleri fayda hakkında düşünme şeklini temelden değiştiriyor” dedi.
Forrester, RiskLens’in siber risk ölçümü etrafındaki stratejisini en iyi olarak derecelendirdi ve Axio, ThreatConnect ve Balbix, strateji kategorisinde sırasıyla ikinci, üçüncü ve dördüncü en yüksek puanları aldı. Mevcut teklifin gücü açısından ThreatConnect, en yüksek puan için RiskLens’i geride bıraktı ve Axio, KPMG ve Balbix sırasıyla Forrester’dan üçüncü, dördüncü ve beşinci en yüksek sıralamaları aldı.
Scott, en başarılı siber risk ölçümü sağlayıcılarının risk senaryolarını modelleyip bunları belirli değişkenlere ayırabileceğini ve bir dizi farklı araçtan veri alıp müşteriler için otomatik hesaplamalar yapabileceğini söyledi. Siber risk ölçüm araçları, üçüncü taraf verilerinin nereden geldiğini izlemeli ve yönetici endişelerini gidermek için farklı türde fidye yazılımı saldırılarını modelleyebilmelidir.
“CRQ, kuruluşların risk yönetimi hakkında düşünme şeklini temelden değiştiriyor.”
– Cody Scott, kıdemli analist, Forrester
İleriye dönük olarak Scott, yönetişim, risk ve uyum, saldırı yüzey yönetimi ve risk derecelendirme şirketlerinin ilk kez arenaya girerken siber risk danışmanlığı hizmetleri firmalarının siber risk ölçümüne daha ürün odaklı bir yaklaşım benimsemesini bekliyor. Eklenen siber risk ölçüm özellikleri, GRC firmalarını daha az uyum merkezli hale getirecek ve ASM ve risk derecelendirme firmalarının zaten toplanmış verilerden yararlanmasına izin verecektir.
Scott, “Son kullanıcının ihtiyacı, sürdürmek için profesyonel hizmetlerin sürekli desteği veya katılımı olmadan kendi başlarına kullanabilecekleri bir ürüne hâlâ ihtiyaç duyuyor” dedi.
Liderlerin dışında, Forrester siber risk ölçüm pazarını şu şekilde görüyor:
- Güçlü Oyuncular: Balbix, Mastercard, KPMG
- Yarışmacı: X-Analytics
- Meydan okuyan: Deloitte
Siber Risk Ölçme Liderleri Zirveye Nasıl Çıktı?
| Firma Adı | Kazanma | Miktar | Tarih |
|---|---|---|---|
| eksenler | Hiçbiri | Yok | Yok |
| Güvenli Güvenlik | RiskLens | Açıklanmamış | Temmuz 2023 |
| Tehdit Bağlantısı | Nehemya Güvenliği | Açıklanmamış | Eylül 2020 |
RiskLens, Firmaların Granüler, Birleştirilmiş Moda Riskini Değerlendirmesine Yardımcı Olur
RiskLens, büyük ölçekli kurumsal müşterilerin geniş ölçekte fayda sağlamalarına olanak tanıyan araçlar sunmuştur. Safe Security Başkanı Nick Sanna, şirketlerin en önemli siber riskleri iş birimi veya bölüme göre ve ayrıca tüm kuruluş genelinde görüntülemelerine olanak tanıyan bir portföy yönetimi özelliğinin buna bir örnek olduğunu söyledi. Önceden, küresel şirketler riski hem parçalı hem de toplu bir şekilde değerlendiremiyor ve yalnızca silolar halinde risk görünümleri elde edebiliyorlardı.
Şirket ayrıca, kuruluşların yanlış yapılandırılan kontrollerin sonuçlarını ve bunun nasıl riske dönüştüğünü belirlemesine yardımcı olmak için kontrol ölçüm standartlarını riskle otomatik bir şekilde bağlamaya yatırım yaptı. Müşteriler daha önce kontrollerinin durumunu temsil etmek için analistlere bağlıydı, Sanna’nın söylediğine göre analistler araçların bulduklarını yorumladıkları için bir dereceye kadar öznellik getiriyordu (bkz.: Güvenli Güvenlik, Makine Öğrenimini Risk Sayımına Getirmek İçin 50 Milyon Dolar Artırdı).
Information Security Media Group’a konuşan Sanna, “Ağır işi makine yapıyor” dedi. “Makine artık riskleri otomatik olarak belirleyebiliyor, riskleri hesaplayabiliyor ve kontrol panelleriyle sürekli olarak risk hakkında görünürlük sağlayabiliyor. Bu diğer oyuncuların, tüm bu aşamalarda bu düzeyde otomasyonu, Safe’in sunabileceği genişlik ve kapsamda sağladığını görmedik. ve RiskLens sağlar.”
Forrester, RiskLens’i, risk girdi verilerini toplamak için otomatikleştirilmiş yöntemleri benimsemedeki yavaşlığı ve yöneticiler için zor olan bir fiyatlandırma modeli ve maliyeti nedeniyle azarladı. Sanna, Safe Security’nin bir parçası olmanın RiskLens’e risk değerlendirmeleri ve analizi için daha güçlü bir otomatikleştirilmiş girdi düzeyi ve daha basit ve daha entegre bir fiyatlandırma modeli sağlayacağını söyledi.
Sanna, “Vurgulanan tüm zayıflıkların aslında Safe ile kombinasyon tarafından çok iyi ele alındığını düşünüyorum” dedi. “Safe, RiskLens’te yıllarca sahip olduğumuz yol haritasını önemli ölçüde hızlandırıyor.”
Axio’nun Yeni Başlangıç Senaryoları Sektöre Özgü Tehditleri Ele Alır
Baş Ürün Sorumlusu Nicole Sundin, Axio’nun fidye yazılımı ve veri ihlalleri gibi genelleştirilmiş tehditlerin yanı sıra sağlık hizmetleri, kamu hizmetleri ve kritik altyapıdaki sektöre özgü zorlukları ele alan başlangıç senaryoları oluşturarak işe alım ve kullanımı basitleştirmek için geçen yıl içinde ürününü yeniden tasarladığını söyledi. Sundin’e göre kuruluşlar, beş ila sekiz senaryoda 15 dakikadan kısa sürede sadakate ulaşabilir.
Sundin, şirketin ayrıca, kuruluşların düzenleyici kontrolleri kendi risk ortamlarına eşlemelerine ve Axio teknolojisinin uygulanması için daha fazla benimseme ve hızlı değer elde etme süresi elde etmelerine yardımcı olmak için kontrol ve raporlama girişimlerine yatırım yaptığını söyledi. Bu, PAM, MFA ve EDR araçlarının belirli kuruluşlar için riski nasıl azaltabileceğine dair görünürlük sağlamanın yanı sıra yönetim kurulu üyeleri için durum analizi ve raporlamayı içerir (bkz.: Bankacılığın Benzersiz Siber Riskini Yeniden Tanımlıyor).
Axio’nun kurucu ortağı ve Başkan David White, Information Security Media Group’a “Metodolojimiz çok daha fazla etki odaklı,” dedi. “Platformumuz, 47 standart etki kategorisinde çok şeffaf ve doğrudan etki modellemesi yapmanızı sağlıyor ve ihtiyaç gördüğünüzde ek etki kategorileri ekleyebilirsiniz.”
Forrester, Axio’yu yerel raporlarında teknik olmayan izleyiciler için otomatik olarak risk verisi girdileri ve standart altı tehdit modellemesi ve görseller sağlayan zayıf yerel üçüncü taraf entegrasyonları nedeniyle eleştirdi. Sundin, Axio’nun kısa süre önce beş ila yedi yeni otomasyon odaklı entegrasyon eklediğini, yeni bir raporlama motoru üzerinde çalıştığını ve önümüzdeki üç yıl içinde teknik olmayan izleyicilere daha fazla özellik sunacağını söyledi.
Sundin, “Bu CRQ sürecinin bir parçası olmak isteyen ancak şu anda dahil olmadıklarını düşünen bu kırmızı takımları da çekmek istiyoruz.” Dedi.
ThreatConnect, Risk Değerlendirmesinden Öznelliği Kaldırmayı Amaçlıyor
Risk Niceleme Genel Müdürü Jerry Caponera, ThreatConnect’in öznelliği ortadan kaldırmak ve savunulabilirliği hız ve ölçekte artırmak için makine öğrenimini geniş ölçekte finansal ölçüme uygulama konusunda iki katına çıktığını söyledi. Caponera, daha fazla veriye dayalı olmanın, ThreatConnect’in nesnel bulguların matematiksel kanıtlarını ve basitliği korurken daha ayrıntılı yanıtlar sağlamasına izin verdiğini söyledi.
Caponera, şirketin aynı teknolojileri FAIR metodolojisini otomatikleştirmek için de uygulayabileceğini ve müşterilere riski düzeltmek için yapabilecekleri eylemler ve her biriyle ilişkili maliyet hakkında önerilerde bulunabileceğini söyledi. Bu, müşterilerin ekosistemlerinin çeşitli bölümlerinde risk azaltma için harcanan parayı ve fiilen azaltılan risk miktarını daha kolay takip etmelerini sağlayarak ROI’nin izlenmesini kolaylaştırır (bkz.: Güvenlik Analitiklerine Yeni Bir Bakış).
Caponera, Information Security Media Group’a şunları söyledi: “Kuruluşların siber yatırımlarını finansal riske dayalı olarak nereye harcayacaklarına öncelik vermelerine yardımcı olmak için CRQ oluşturduk.” “‘Bakın, güvenliğe verimli bir şekilde dolar harcamıyoruz’ dedik. Bu şirketin nereye harcama yapması gerektiğine öncelik verilmesine yardımcı olmak istedik.”
Forrester, harici kriterler, CVSS tabanlı güvenlik açığı puanlamasıyla ilgili sınırlamalar ve daha taktik odaklı bir vizyon eksikliği nedeniyle ThreatConnect’i vurdu. Caponera, kuruluşun ihlal edildiğinde ürettiği sınırlı bilgi göz önüne alındığında, genel kıyaslamaların pek bir anlam ifade etmediğini söyledi. ThreatConnect, istismarla ilgili dolar kaybına odaklanabilmek için güvenlik açığı ciddiyeti ve istismar edilebilirliğin teknik sıralaması için ortak olmayı seçer.
Caponera, “Yaklaşımımız taktik veya stratejik değil,” dedi. “Nedeninin temel nedenine ulaşmak istediğimiz için teknik. Bir saldırganın neden içeri girip yapabileceklerini yapabileceğinin temel nedenini bildiğiniz zaman, ancak o zaman gerçekten bir savunma stratejisi veya bir hafifletme stratejisi oluşturabilirsiniz. doğru şeylere karşı korur.”