Safe Security CEO Saket Modi 告诉我们,新模块量化了第三方供应商的勒索软件和数据泄露风险,同时将信号与第一方和 SaaS 风险结合起来。
Safe Security CEO表示,该公司正在采取一种新方法来量化第三方网络风险,推出了一种新工具,这为渠道合作伙伴带来了“巨大”的机会。
Safe Security 联合创始人兼首席执行官 Saket Modi 向我们独家表示,该公司新的 Safe TPRM(第三方风险管理)模块将通过量化第三方特定威胁(例如勒索软件和数据泄露)的风险而脱颖而出。方供应商以“可操作”的方式。莫迪表示,例如,Safe TPRM 将提供以美元为单位衡量发生在某个第三方的勒索软件的实际风险。
“我们实际上以企业可以理解的方式量化风险,”他说。
Modi 表示,与该领域现有供应商相比,除了提供改进的第三方风险管理之外,Safe Security 还将第三方信号与该公司已经提供的第一方和 SaaS 风险数据结合起来。
因此,“在一个仪表板中,您可以将第一方、第三方和 SaaS 应用程序 [风险] 全部集中到一个仪表板中,”他说。
莫迪表示,值得注意的是,Safe Security 正在采用“渠道优先”的销售方式,95% 的交易都是通过合作伙伴进行的,而新产品为渠道带来了重大机遇。他说,提供这种类型的风险量化方法是“每个渠道的梦想”,即“在一个平台上共同管理第一方和第三方风险。”
该公司最初成立于 2012 年(当时名为 Lucideus),旨在提供渗透测试和漏洞评估服务,并于 2020 年推出首款产品,转型为供应商。投资者包括思科系统公司前首席执行官约翰·钱伯斯 (John Chambers),他为 Safe 提供了种子资金莫迪表示,安全部门一直积极参与为该公司提供建议。 Safe Security 总共筹集了约 1 亿美元。
2023 年中期,Safe Security 收购了网络风险量化供应商 RiskLens,其 FAIR(信息风险因子分析)标准现已在 Safe One 平台上采用。
以下是我们对莫迪采访的编辑和浓缩部分。
Safe Security 旨在解决网络防御中的大问题是什么?
如今,公司拥有的网络安全产品非常多。但如果你考虑财务,有一个像 Oracle NetSuite 或 SAP 这样的产品,它就是你的 ERP,是每个 CFO 用来制定决策的工具。这就是所有提要的来源,他们获得事物的一个中心视图。对于销售主管来说,情况完全相同,您拥有 Salesforce,您可以将所有数据集中在一起,然后查看销售预测。但哪种产品能够实现网络安全呢?它不存在。最接近的是 SIEM 或 SOC。但这只是反应性的。这就是查看您的日志并将其转换为事件。它实际上并没有告诉您您的网络风险是什么。 SIEM 和 SOC 就像看着后视镜并驾驶汽车,因为您只能在事件发生之后而不是之前发现事件。
我们怎样才能将所有这些信号结合在一起并理解它们?我们的客户包括您能想到的最知名的公司——Facebook、Netflix、Dropbox、ADP、雪佛龙、维多利亚的秘密、葛兰素史克、诺华。我们为他们所做的正是如此。当我们联系 ADP 或雪佛龙时,我们会集成他们现有的网络遥测技术,实现更快、更自信的数据驱动决策,并让他们了解业务环境中的风险。业务环境意味着——对于勒索软件、数据泄露——发生这种情况的可能性有多大?损失幅度是多少?因此,如果勒索软件确实发生,您将面临 2 亿美元的损失(例如)。我们实际上以企业可以理解的方式量化风险。
Safe Security 作为一个平台的最终潜力是什么?
我们将成为网络安全的 ERP。我们将成为网络安全的 CRM。因为它今天不存在。 Palo Alto Networks、Zscaler——每个人都在谈论成为一个平台。什么平台?因为它还只是在做检测。 Palo Alto Networks、Zscaler、CrowdStrike、Fortinet [正在] 进行检测。您需要一个非检测供应商。我们不部署代理。我们只是从现有安全平台和您的合规性[系统]中获取遥测数据。这样我们就可以上传您的 SOC 2、NIST、DORA。我们可以将所有这些放在一起。然后我们为您提供实时变化的风险态势。它实时变化的原因是,如果内部或外部发生任何变化,勒索软件的可能性就会改变。
您下一步打算将该产品推广到哪里?
今年,在 RSA,我们将这一概念引入到第三方风险中。我们称之为“网络风险奇点”。我们之所以说网络风险奇点,是因为 CISO 或 CIO 想了解数据泄露的风险——数据泄露是否发生在您自己的云、您自己的数据中心或第三方供应商中并不重要或您的 SaaS 供应商。重要的是,告诉我数据泄露的风险就可以了。如今,您无法单一了解数据泄露风险、勒索软件风险、DDoS 风险、加密货币挖矿风险、擦除风险。因此,您可以谈论这些风险场景。您无法在一个仪表板中将第一方、第三方和 SaaS 应用程序全部融合到一个仪表板中。风险是相同的——相同的数据无处不在。这正是你自己的问题所在。我们的使命是让世界上每家公司实现网络风险奇点。
您认为这里的 Safe Security 机会有多大?
这是一件非常非常大的事情。一年前,当我与约翰·钱伯斯 (John Chambers) 交谈时,我第一次提出这个想法,我们谈到了第三方风险的方法——他的类似比喻是,这就像我们如何从路由器转向交换机。此时,CrowdStrike 以全新的架构和输出与 Symantec 和 McAfee(它们是本地防病毒[工具])展开竞争。 CrowdStrike 改变了游戏规则。剩下的就是历史了。这正是我们对第三方风险管理所做的事情。我们不是好10%,而是好10倍。
请告诉我更多有关约翰·钱伯斯 (John Chambers) 自成为投资者以来如何参与其中的信息?
比金钱更重要的是,他每周都会花近一个小时和我在一起[并且在过去六年里一直这样做]。他非常密切地参与这项业务。我想说,思科是世界上第一批以正确方式破解渠道模式的公司之一,这是一种双赢的方式。思科发展的原因是渠道,而约翰显然是渠道的大力支持者。
您的新产品为渠道合作伙伴提供了哪些机会?
[使用 Safe TPRM] 有大量渠道参与。这是渠道游戏规则的改变者。因为这是每个渠道的梦想,[合作伙伴可以]在一个平台上共同管理第一方和第三方风险,并为此提供托管服务。我在这里的市场营销不是直接销售。在这里我知道我需要渠道优先。
与现有方法相比,您的新方法有什么优势?
从广义上讲,第三方风险管理供应商有两类。有一个供应商更加连续和由外而内,例如 BitSight、Security Scorecard、Upguard、Risk Recon。类似的公司有很多,但它们只是由外而内的。然后是基于问卷的评估,包括 OneTrust、Prevalent、ProcessUnity。有许多公司[提供]问卷调查工作流程自动化。他们两个的输出是什么?安全记分卡和 BitSight 会给您一个分数。安全记分卡给出的分数为 A、B、C、D 或 F。 BitSight 给您的分数在 300 到 700 之间。这是什么意思? 600分意味着什么?是针对俄罗斯吗?是为了勒索软件吗?是为了数据泄露吗?是为了DDoS吗?或者是以上所有的情况吗?不可能是以上全部。相反,我们所做的实际上是告诉您顶级风险场景中的违规可能性 – 例如勒索软件,例如数据泄露。
我正在与美国三大零售商之一的首席技术官交谈,他也是我们的客户。他说,“如果我将所有数据提供给有 90% 可能性发生数据泄露的第三方供应商,我今天就会停止与他们合作。”安全记分卡告诉我它是 C 或 B,这没有任何意义。这是不可行的。 C 或 B 是什么意思?这根本没有意义。
另一方面,基于问卷的评估,他们告诉你合规性。他们告诉您,“是的,该第三方供应商符合 SOC 2 或 ISO 规范。”这些是完全脱节的。他们完全脱节了。我们正在合作的一家公司是世界三大制药公司之一,他们拥有 60,000 个第三方。现在想象一下,能够将 60,000 个第三方放入其中,并找出数据泄露风险最高的 10 个第三方。顺便说一句,由于中断,该列表与 10 个[风险最高的]第三方的列表不同。这是一个完全不同的列表。一个区别是[量化]场景的可能性。
将游戏提升到一个全新水平的第二件事是,我们还会向您讨论损失的大小。如今,第三方的分级纯粹基于合同规模。但今天,这家初创公司是一家小供应商,他们正在获取您所有的客户数据。如果那被[偷了],那你就真的完蛋了。我们实际上量化了金钱——如果第三方受到攻击,你会损失多少钱?
这是每个人都想要的。因此,这位零售首席技术官说:“如果您能提出这个观点,我将为我向其公开数据的每个供应商设定数据泄露风险的阈值。如果超过 40%,我就不想和他们说话。我不在乎他们给我什么生意。”这是过去不可能实现的可操作性。
您如何总结 Safe Security 正在做的事情以及您希望与渠道合作伙伴共同实现的目标?
总而言之,这是一种根本不同的方法。我们的目标是,这是一个渠道游戏。我们已经拥有多个渠道人员,并且正在扩大该团队。这就是约翰·钱伯斯(John Chambers)再次发挥作用的地方,以及他带来的整个渠道剧本。所以渠道对我们来说非常重要。我们已经是一家渠道优先的公司。我们 95% 以上的交易都是通过渠道完成的。我们已经与很多优秀的[合作伙伴]合作——Cyderes、GuidePoint。但我要说的是,我们如何才能进入下一个阶段?有很多令人难以置信的[合作伙伴]。这是一项热门的、全新的、支持人工智能的技术,人们应该对此感到兴奋。