Cygov的Centraleyes™ 该平台为企业提供了无与伦比的工具,以在快速变化的世界中实现并维持网络弹性和法规遵从性。在这场引人入胜的采访中,创始人兼首席执行官Yair Solow讨论了Cygov平台背后的安全策略及其对组织的好处。请描述一下Cygov的故事:是什么激发了这个想法,以及到目前为止它是如何演变的
在我的背景下,我是Visa的高级管理人员。我是一个在欧洲各地建立创新中心的团队的成员,所以我看到了很多网络风险和隐私初创公司,无论是在以色列还是在全球。
I慢慢认识到,一方面,随着合规性的不断提高,网络领域的企业面临着巨大的挑战和风险,但解决这一挑战的工具已经过时,著名的电子表格往往成为主要解决方案。我早期认识到的市场缺口也是我决定追求的一个巨大机会。显然,我们需要一个新一代网络风险管理平台,我开始重新思考应该如何构建这个平台。
I花了一年半的时间在路上,只会见了CISO、首席信息安全官、首席风险官和GRC业务主管。在编写一行代码之前,我会见了150多家不同的公司。通过这个过程,我为网络风险管理的不同领域勾勒出了市场的痛点。
第一个是数据收集,第二个是数据分析,第三个是补救过程:一旦发现问题,如何解决问题,以及如何确定问题的优先级?最后一个问题是,你是如何使所有这些连续的?如何从一个静态的快照及时转变为一个持续的、有生命的、有呼吸的平台?这是我关注的四个领域,我看到了很多痛点。
我们于2018年开始构建该平台,当时我们认为下一代网络风险管理平台的蓝图将使其成为主动风险平台。我们引进了最好的研发团队,其中包括前8200名高级领导人以及美国企业高管,并将所有人聚集在一起,将来自军队的最佳实践与全球商业环境的需求相结合。
基于我们在市场上看到的所有痛点,我们开始构建一个基于云的风险管理平台,以更加自动化和协调的方式解决所有这些领域。从各种来源收集数据并对这些数据进行分析,有助于人们了解他们需要保护什么并创建自动修复。这就是网络风险和合规性的银盘,为您提供明天早上需要做的事情。当然,您仍然需要管理解决方案的实施,但您有更多的时间专注于改善您的网络态势,同时确保满足法规遵从性,并在整个环境中使用自动化。
2019年,我们走向市场,开始销售该平台,因此它在市场上相对较新,但我们立即看到了强大的产品市场适应性,以及CISO和风险管理人员的有力验证,确认了我们创建的网络风险和合规解决方案的巨大价值。
大多数消费者都对这个问题有很好的了解,因为如今许多组织必须满足法规遵从性要求,而网络风险已成为第一大运营风险。这就是为什么他们需要这样的解决方案,所以我们把大部分时间花在客户和潜在客户身上,讨论我们的平台如何解决他们的问题。我们得到了非常强烈的积极反馈,因为该平台解决了我们在严格的研究过程中发现的真正的痛点,这有助于我们区分自己,因为我们与任何现有的解决方案都不一样。
这里是Cygov Centraleyes仪表盘的快速预览
Centraleyes是如何工作的
我们将组织的资产分为6类:人员、硬件、软件、设施、数据和网络。然后,我们对这些资产进行优先排序,并开始分解它们周围的保护措施。我们通过NIST CSF(美国国家标准与网络安全研究所框架)这样的框架来实现这一点。
我们使用NIST CSF 5功能区作为评估的基本构建块:识别、保护、检测、响应和恢复。
我们有一种非常战略性的、整体性的方式来看待这些特定资产的风险。首先,你需要确定你的皇冠上的珠宝,这是你最重要的资产,然后对它们进行分类和优先排序,并确保它们受到保护。
我们为保护层采取的关键措施是通用的实时监控工具、流程和策略,用于保护组织免受攻击。其中很大一部分还与人们自身以及他们的行为方式有关,因此你需要培训、意识和适当的网络卫生。
将我们引向第三个阶段,即检测。如果你已经被攻击了,你如何发现?你怎么发现自己受到了攻击?通过确保正确定义工具,政策得以实施,程序得以落实。
最后两个阶段是关于反应和恢复。有趣的是,这些都是针对违约后阶段的,所以这个框架的很大一部分是关于违约后的第二天。这告诉你一点关于世界所在地和现实之间的不和谐。全世界都在建筑周围筑起高墙来保护它,但实际上,进入建筑并不难。你必须假设攻击者会进入大楼,问题是一旦他们进入,你会如何反应和恢复?
如果我在一栋我们试图保护的建筑上使用这个类比,那么我们需要识别皇冠上的珠宝并将其隐藏起来。他们藏在这栋楼里的什么地方?我们该如何保护他们?答案是,在一个有保护的房间里,在一个有很多锁的水泥墙后面的保险箱里,我们还将锁上所有房间的所有门,这样即使有人进来,他们也无法进入任何房间。
我们已经看到很多攻击,他们通过一扇打开的门进入,然后设法到达整个组织,包括关键资产。因此,能够做出反应和恢复是非常重要的。
还有声誉受损的风险,这远远超出了让系统恢复运行的范围。即使您恢复了,您的客户也会知道他们的信息没有受到保护。这就是为什么你需要查看所有五个阶段。
Cygov如何与第三方软件应用程序(如CRM、云存储和协作平台)交互</这是一个非常有趣的话题。Cygov区分了你的供应链和你用来进行日常运营的平台。你必须考虑这两个方面,并制定某种供应商风险解决方案,无论是通过手动流程,还是通过自动化平台。
我们的三个核心解决方案之一是第三方供应商风险解决方案,因此它是我们关注的主要用例之一。通过这一点,你可以监督对你的资产有任何访问权的供应商。这可能包括您的SaaS提供商、实体承包商、顾问,以及您在实体和虚拟环境中与之交互或依赖的所有其他第三方。它们中的每一个都可能是对最敏感数据的攻击向量。
一旦我们正确地对皇冠上的珠宝进行了分类和排序,我们现在就可以考虑谁有权使用这些资产。我们希望根据这些第三方的影响对其进行分级,因为对每一方的攻击都可能会给组织带来不同的结果。然后,我们将使用各种因素评估攻击的概率。
在我们的平台上,你可以监督你的所有供应商,并规划出你在哪里拥有最高的影响和攻击概率。风险最高的供应商对您的组织构成了最大的威胁,您需要制定一个计划来降低他们的风险水平,或者在必要时将其移除。
谷歌、亚马逊、微软和其他巨头被认为受到了相对高度的保护,因此尽管他们可能拥有我们的大量数据,但人们相信他们有足够的控制措施来降低攻击的概率,因为他们重视安全。
同样,您可能信任其他供应商提供数据,因为他们是您的服务提供商。人们似乎忘记了,这些组织往往没有妥善保护自己的安全,因此,信息处于危险之中。
您可能使用的是一家规模较小的供应商,该供应商没有适当的信息安全实践,不负责任,而且在信息安全方面没有“良好的卫生习惯”。
有这么多第三方供应商,你应该至少每年进行一次评估和安全审计。通过平台实现这一点要容易得多,因为通常至少有10家供应商,有时甚至有数百或数千家供应商。
为了正确管理并跟上进度,我们所做的一件事就是积极扫描这些供应商,寻找可能出现的新威胁。可能是当你上船时,它们是干净的,但是六个月后它们被打破了。你想知道。这实际上更重要,因为现在他们有了你的数据。他们想证明一些供应商是如何认真对待你的。
至少,你应该有一份所有供应商的清单,对它们进行优先排序,然后从上到下关注最关键的供应商,以确保