這家公司對第三方供應商的安全進行檢測和評級
作者:星期六, 十月 15, 20160

安全評級服務(SRS)是一項能夠幫助企業對其龐大的第三方供應商存在的安全問題進行檢測和評估的新技術。

securityscorecard_horizontal_logo_blue__reverse_rgb1

現代企業面臨著大量不同類型的安全威脅,包括向他們供貨的第三方供應商的安全風險和安全缺陷。

開發這樣一個能夠幫助企業對第三方供應商進行安全識別及評估的產品是一項很有挑戰性的工作。

——Security Scorecard CEO及聯合創始人 Aleksandr Yampolskiy

在耶魯大學獲得密碼學專業博士學位,并曾經在微軟、甲骨文等大公司的IT部門工作的 Aleksandr Yampolskiy,在認識到他可以幫助企業解決多供應商安全風險問題后,于2013年創建了 Security Scorecard。

“讓我日思夜想的是,我可以很好的控制自己公司內部的風險,但我并不知道我的供貨商是否和我一樣盡心盡力的去保護我的數據。”

總部設在紐約有60名員工的 Security Scorecard公司,在2015年獲得了 Sequoia Capital 1250萬美金的A輪融資。Security Scorecard 所做的是監控互聯網上每個企業的百萬級的信號和兆兆級別的數據。然后,按照Yampolskiy所說,Scorecard從局外人的角度對這些公司的安全進行評估。

SecurityScorecard近期發布了一個新的平臺產品,企業使用這個平臺就能夠自動發現這個企業在使用的供貨商。Yampolskiy說,大多數企業在從事經營過程中面對著不可預知的下游風險,因為他們并不總是知道他們的供貨商使用的所有下一級供貨商。

例如,一個機構與它的合作方有生意來往,合作方使用Dropbox存儲相關數據, Slack進行通信,GitHub存儲代碼。如果任何一個合作方使用的工具(例如Dropbox,Slack或者Github)遭到黑客攻擊,那么,這對于這個企業就是具有威脅性的。

“所以我們創造了一項能夠自動挖掘與自己有合作關系公司的技術,并申請了專利,他們何以使用這個技術且不需要告訴我們他們是誰。”他說,“我們正在關注各種各樣的能夠向我們顯示出公司使用特定第三方服務的信息蹤跡。

SecurityScorecard使用多種技術去收集數據通知自動供貨商檢測(AVD)系統的引擎,Yamposkiy說,“已經收集的數據交給SecurityScorecard的機器學習算法去幫助改進精確度和冗余度,并且減少誤報的風險。SecurityScorecard利用專利的爬蟲和檢索技術和一些開源工具,包括Elasticsearch”,他補充道,“Elasticsearch技術是基于Apache Lucene并且提供搜索能力。”

“展望未來”,Yampolsiy說,“SecurityScorecard持續擴張自己的能力并且正在為網絡安全創造多樣化的分析模型。我們正在對獲取和偵查情報的新方法加倍投入。”

作者:Robin

 


相關文章

寫一條評論

 

 

0條評論