本文讲的是安全领域新概念:安全评级服务的兴起,Gartner最近的报告中出现了一种安全领域的新概念——安全评级服务(SRS, Security Rating Services),Gartner将其定义为,“为组织实体提供持续的、独立的、量化的安全分析和评级服务”。
到底什么是SRS?
说的直白一点,SRS就是一种以大数据分析和威胁情报为基础,对企业的信息资产,进行量化的快速的安全风险评估。这种评估通过主动和被动(均无需打扰被评价方)两种形式,从各种公开和私有资源收集数据,使用特定的分析方法分析数据并使用实体自身的标准评级方法论来打分。可用来做企业内部的安全报告,以及对第三方合作伙伴的风险管理。
对于企业来说,核心业务之外的服务需要越来越多的第三方供应商,在网络虚拟化的大潮下,对云服务提供商的需求尤为凸显。为此,除了对本身安全状况的掌握,“如何了解大量业务伙伴和第三方服务安全状况”的需求也逐渐增长起来。
传统的第三方安全评估有着各种限制,尤其是当涉及到成百甚至上千的外部服务和合作伙伴时。而且,传统的第三方确认或证明往往只在某个时间点上有效,无法提供持续性的安全状态评估。而其他常用评估方法,如基于通用标准或调查框架的问卷,同样也有时间点的问题,而且结果的客观性还要取决于被调查者的回答。
此外,企业本身也常常需要向管理层提供,自身安全状态与友商和竞争对手的比较标准。SRS正是这样一种基于独立数据资源的第三方评估工具。
哪些应用场景需要SRS?
SRS目前尚未得到普遍应用,但明显的应用需求已经出现。下面是国内六个典型的应用场景:
- 行业态势分析
为行业主管部门和研究分析机构提供提供自动化的风险评估,并作出定量评价;还可提供行业网络安全态势分析报告,对比行业网络安全状况的差异。
- 安全绩效测量
越来越多的组织希望通过将信息安全重点工作纳入绩效考核的方式强化责任落实,但传统的安全绩效测量方法存在很大局限性。如调查问卷形式只展示了某个时间点的风险状态,无法提供持续性的安全状态评估,而且结果的准确性还要取决于被调查者回答的客观性。另一方面,通过技术检查需要依赖部署各种检查设备以获取信息,且实施成本高、周期长、分析难度大。
SRS可帮助总部管理层掌握下级单位的安全风险,并对安全状况进行客观评价,辅助开展安全绩效测量。
- 第三方风险管理
为应对大量的合作伙伴和供应商带来的安全风险,风险管理部门需要能够及时获取对其客观的安全评价报告,完成风险评估;采用人工检测和调查的方法势必会带来巨大工作量,并且无法做到及时性和持续性。SRS可以实现保护业务和品牌的完整性,同时对合作伙伴、供应商网络安全状况进行持续监测,为风险管理部门提供合作伙伴或供应商的安全评价报告。
- 企业安全评级
网络安全评价可以引入企业信用评价体系,构建更完整的企业信用评价体系,提供更客观、准确、定量化的报告,反映出更真实的企业信用现状。为征信机构和保险公司提供企业安全评级报告,帮助挖掘潜在客户并提高业务竞争力。
网络安全保险业务已是大趋势,全球市场已突破700亿美元。但如果不能获悉客户真实的IT安全风险状况很难签署保险协议。通过SRS服务,可在不影响客户网络运行的前提下,获得一个详尽、深入的网络安全评级报告,能够快速有效的支持网络保险的业务办理和帮助对潜在客户的挖掘。
- 大数据风险评估
大数据风险评估弥补了传统方法的不足,对内管理层需要了解安全措施和安全投入的有效性,对外需要向合作伙伴、客户和监管机构证明自己的网络安全现状。SRS提供了一个快速、独立的第三方审计手段。
- GRC&SIEM的扩展
优秀SRS服务的一个关键支撑是海量的数据资源,通过大数据和威胁情报准确地发现企业互联网资产的风险,并可通过API标准接口,为合作伙伴和客户的GRC和SIEM产品提供外部风险数据接入,以提升产品整体能力。
SRS应用中的关键点
SRS要在行业中更好的得以应用,一方面分析的数据应确保准确性和及时性,另一方面需要考虑国家不同的政策要求和行业特点实现可定制的风险指标计算体系。
国内外SRS产品并没有统一的计算标准,数据类型也各不相同,均根据各自的数据类型特点建立了各自的评价模型和算法来应对客户需求。这些数据类型包括僵尸网络、垃圾邮件、恶意代码、安全漏洞、DNS、信息泄露、异常流量攻击等。
另外SRS提供商的服务方案所面向的对象不同,分别定位在行业安全主管部门、集团管理层、风险管理部、信息安全管理部、保险公司、征信机构。
目前,SRS的市场认可度和成熟度还处于非常早期的阶段,国外主要的提供商有BitSight、FICO、SecurityScorecard等,国内目前仅有一家正式推出并已拥有多个成功案例的SRS服务,安全值。