金融行業(yè)很早就依賴專業(yè)公司來提供風(fēng)險評估服務(wù)，但是隨著越來越多的大企業(yè)面臨同樣，甚至更加嚴(yán)峻的網(wǎng)絡(luò)安全風(fēng)險，尤其是供應(yīng)商網(wǎng)絡(luò)的安全風(fēng)險評估方面，傳統(tǒng)安全風(fēng)險評估服務(wù)無論是交付能力還是方式都已經(jīng)無法滿足市場的需要。

近日CyberGRX發(fā)布了一個網(wǎng)絡(luò)安全風(fēng)險評估的交易平臺，該平臺由來自Blackstone、Aetna等安全公司的資深工程師開發(fā)，可以大大提高對企業(yè)供應(yīng)商進(jìn)行安全風(fēng)險評估的效率。

如今大型企業(yè)企業(yè)面臨的一個首要安全風(fēng)險就是供應(yīng)商的網(wǎng)絡(luò)安全問題，2013年震驚整個零售業(yè)的Target數(shù)據(jù)泄露事件中，攻擊者就是首先入侵了Target的暖通空調(diào)供應(yīng)商，進(jìn)而竊取了超過4000萬個顧客信用卡數(shù)據(jù)。

據(jù)Blackstone首席安全觀Jay Leek介紹，推出供應(yīng)商安全風(fēng)險評估交易平臺的目的是把企業(yè)從審核供應(yīng)商安全風(fēng)險的繁冗工作中解脫出來，Blackstone的很多大客戶都在對供應(yīng)商進(jìn)行安全風(fēng)險評估，其中很多合規(guī)檢查工作都是重復(fù)的，例如對Salesforce、Workday等供應(yīng)商的安全風(fēng)險評估。企業(yè)的信息安全經(jīng)理們浪費大量時間進(jìn)行著重復(fù)的審核工作，真正用于應(yīng)對真正的網(wǎng)絡(luò)安全威脅。

CyberGRX的產(chǎn)品定位于一個全球化的第三方網(wǎng)絡(luò)安全風(fēng)險評估情報交易平臺，在這個平臺上企業(yè)們可以像銀行業(yè)一樣將對供應(yīng)商的安全風(fēng)險評估工作外包給第三方服務(wù)商，而交易平臺內(nèi)的服務(wù)商之間能夠共享供應(yīng)商安全風(fēng)險評估情報，這樣企業(yè)就能快速識別哪些供應(yīng)商的安全風(fēng)險“超標(biāo)”。這大大提高了企業(yè)對供應(yīng)商進(jìn)行安全風(fēng)險評估的效率，同時對于廣大供應(yīng)商來說，加入一家企業(yè)的供應(yīng)商名單再也無需經(jīng)歷漫長的安全審核流程。

供應(yīng)商安全風(fēng)險評估交易平臺的概念其實并非Blackstone首創(chuàng)，早在2006年S&P就曾試圖推出類似服務(wù)，但是沒有成功，高盛和Moody’s在2015年也進(jìn)行過安全標(biāo)準(zhǔn)方面的嘗試，但是也沒有下文。如果CyberGRX能夠獲得成功，則有望幫助企業(yè)節(jié)省數(shù)十億美元的法律和合規(guī)成本，同時也能徹底解放企業(yè)的信息安全主管，而且對于泥沼中的網(wǎng)絡(luò)安全保險市場來說也是一個重大利好消息。