2024年5月19日，Forrester发布了「The Forrester WaveTM: Cybersecurity Risk Ratings Platforms, Q2 2024」报告。Bitsight和SecurityScorecard依然名列前茅，而Panorays则跻身领先者行列。

Forrester表示，在一个坐满CISO的房间里提起网络安全风险评级，你会发现众说纷纭–或热或冷，但绝不会无动于衷。CRR市场已经存在了十多年，但它的崛起更像是西西弗斯一次又一次地推着巨石上山，而不是顺利地走向成熟。即使在2021年，我们也认为该市场尚不成熟，由于重大的技术限制，评级尚未准备好进入黄金时代。但时代正在发生变化。技术挑战依然存在，但厂商正在调整交付方式，加大对技术准确性和效率的投入，扩大服务和支持范围，以满足更多相关的安全和第三方风险管理（TPRM）需求。现在，买家正从这些平台中发现更多价值：如今，大多数CRR客户使用这些平台来增强其第三方网络风险评估和监控能力。CRR市场正慢慢从”帮我理解”向”帮我做更多”过渡。

Forrester表示，在对网络安全风险评级(CRR)平台厂商进行的25项标准评估中，确定了最重要的厂商，并对其进行了研究、分析和评分。

Forrester还指出，需要了解CRR风险评级与CRQ风险量化（risk ratings and risk quantification）之间的区别。风险评级不是对风险的量化衡量–句号。相反，它是根据与风险相关的安全指标得出的分数。风险是一种情景，具有一定的可能性（威胁行为者通过攻击矢量影响资产）和影响（导致不同形式的物质损失）。评级中衡量的安全指标只关注可能性方面（即增加或减少损失可能性的安全控制措施）。另一方面，网络风险量化（CRQ）直接测量风险情景的概率和重大影响。两者有关联，评级数据可用于CRQ分析，但两者并不相同。

Forrester高级分析师Cody Scott表示，由于误报率高且投资回报有限，CISO们一直对投资网络安全风险评级平台的价值表示质疑。但是，厂商已经大大提高了发现、归因和验证资产的能力，并将使用案例扩展到第三方风险管理以及工作流程和补救问题。

Scott说，风险评级平台在数据集、人工智能和概率方法方面投入了大量资金，以提高其准确性和透明度，并利用开源数据和商业数据可用性方面的进步来改进数据验证流程。厂商还构建了本地工具，提供更多的数据访问和集成，以满足客户对协调和补救功能的需求。

新的风险评级Forrester Wave取代了2021年冬季的评级。SecurityScorecard在Forrester对其现有产品实力的评估中稳居榜首，尽管差距要小得多。Bitsight再次稳居第二，Black Kite则超过Panorays跃居第三。

BitSight在今年的战略得分中击败了SecurityScorecard获得最高分，而在2021年，两家公司并列第一。在目前的评估中，SecurityScorecard、Recorded Future和Panorays的战略得分分别为第二、第三和第四，而在2021年，Panorays以微弱优势击败RiskRecon，获得第三高的战略得分。

风险评级平台领导者的独特之处

Scott说，网络安全风险评级市场的领先企业通过大力投资于自动化，并将其服务从评级扩展到更广泛的风险管理功能，从而脱颖而出。他们还在平台中嵌入了补救功能，这样用户就可以直接根据信息采取行动，并根据分析和预测措施确定行动的优先次序。

未来，Scott预计网络安全风险评级将与第三方风险管理、外部攻击面管理和网络风险量化融合在一起，从而给独立的风险评级工具在几年内是否存在带来不确定性。在这种情况下，斯科特预计厂商将更加关注整体风险态势或风险敞口管理，而不是独立的数字评级。

Scott说：”我不相信网络安全风险评级市场会是一个独立的市场。评级将一直存在，但它们可能会被纳入其他解决方案中”。

Bitsight加强网络风险评级治理和技术

首席风险官德里克-瓦达拉（Derek Vadala）表示，Bitsight通过创建透明的公共争议解决程序来接受客户对其评级的反馈，并在网上公开发布评级的任何变化，从而加强了公司的管理。公司还组建了一个外部咨询委员会，成员包括一名前首席安全官和一名美国国会议员，以确保评级服务于广泛的受众。

在技术方面，我们围绕发现和归因开展了大量工作。瓦达拉说，一个团队对Bitsight的机器学习模型进行了培训，以便更好地了解资产所有权和安全责任。公司还开发了一种扫描设备，用于彻底分析资产并深入洞察漏洞，瓦达拉说，这在重大安全事件中非常有用。

Forrester批评Bitsight定价复杂，基本产品缺乏同行基准和第四方数据功能，通过GRC集成共享的数据与Bitsight的平台不匹配。Vadala说，鉴于解决方案的全面性和模块化，Bitsight的定价很有竞争力，公司将利用反馈意见改进产品集成和服务。

Vadala说：”我们的价位的部分原因是数据的全面性和解决方案的完整性。我们有一个模块化解决方案，我们承认这一点，但它的价格很有竞争力”。

对研发和AI的重大投资改变SecurityScorecard

SecurityScorecard联合创始人萨姆-卡苏梅（Sam Kassoumeh）表示，SecurityScorecard在内部研发方面进行了大量投资，重点关注威胁情报、数据收集以及对勒索软件和零日漏洞等问题的见解。将数据收集工作引入公司内部大大提高了SecurityScorecard风险评级的准确性，从而可以为客户提供更快的更新和更可靠的反馈。

卡苏梅说，SecurityScorecard利用其广泛的数据收集，推出了零日即服务（zero-day-as-a-service）功能，主动发现并修复零日漏洞。卡苏梅表示，该公司还投入巨资将AI与网络情报数据整合在一起，帮助自动填充调查问卷、分析平面文件和加速客户决策过程。

Kassoumeh说：”我们对所收集的数据拥有100%的控制权，在如何使用这些数据方面没有任何限制。那么，这怎么理解呢？这就是转化：我可以以最快的速度通知客户供应链中存在的问题，这使他们能够以最快的速度关闭黑客的机会之窗”。

Forrester责备SecurityScorecard缺乏AI解析工具来评估上传的证据文件，并且在扫描IP和主机名报告相同资产时难以防止重复发现。Kassoumeh说，SecurityScorecard希望能更有效地处理大量的政策和程序，同时对数据收集的控制能确保报告的准确性和非冗余性。

“人工智能的一大机遇不仅仅是读取SOC2，而是能够读取任何政策程序并对其进行挖掘，”Kassoumeh说。”这正是我们加倍投资的地方”。

Panorays利用专有人工智能提升网络风险评级水平

联合创始人兼首席技术官Demi Ben-Ari表示，Panorays已经从外部攻击面评估发展到内部安全问卷调查以及与第三方合作，以加强整体风险评级流程。公司的风险评级流程对网络层、应用层和人为因素进行评估，以评估企业的基础设施、云和信息资产。

该公司根据过去十年收集的独特信息，在其平台上集成了一整套人工智能功能，这确保了与第三方网络风险的精确相关性。Ben-Ari说，Panorays的人工智能功能可以减少数据管理中的噪音和误报，简化资产的识别和分类，并自动进行内部安全证据收集。

“我们是最友好的，”Ben-Ari说。”我们的技术具有协作性，可以让所有公司自由协作。此外，改善安全态势，而不仅仅是提供评级和记分卡，也是创建最精确全局概览的关键区别之一”。

Forrester批评Panorays缺乏原生风险量化、动态报告能力较弱、未公布评级绩效指标，以及战略重点差异化较小。Ben-Ari说，Panorays计划通过公开业绩指标来提高透明度，并通过与Snowflake等第三方的集成来扩展报告工具。

Ben-Ari说：”透明度完全存在于平台本身。我们没有扣留任何信息作为赎金，但他们希望看到这些信息被反映到外部，也就是说没有在平台上注册的人。我们将继续对此进行讨论”。

原文链接：

https://www.inforisktoday.com/bitsight-securityscorecard-panorays-lead-risk-ratings-tech-a-25326

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。