Rahmenwerk für Risikobewertungen mit Verizon Risk Report (VRR)
Verizon: Risikobasierte Security-Entscheidungen
Der Netzbetreiber und IT-Service-Provider Verizon will Unternehmen wie auch Behörden dabei unterstützen, IT-Security-Investitionen besser auf ihre tatsächliche Bedrohungslage abzustimmen. Ermöglichen soll dies ein neues Rahmenwerk für Risikobewertungen: der Verizon Risk Report (VRR). Eine risikobasierte Bewertung soll damit Security-Kaufentscheidungen auf der Basis von Erfahrungswerten und/oder allgemeinen Angaben zu Bedrohungstrends ablösen.
VRR bündelt laut Verizon-Angaben Erkenntnisse aus der hauseigenen Reihe von Security-Berichten (Data Breach Investigations Report, DBIR) mit der Expertise der Professional-Services-Berater des Unternehmens. Dies ergänzt man um Datenquellen weiterer Security-Intelligence-Anbieter, darunter BitSight, Cylance, Recorded Future und Tanium. Dies, so Verizon, ergebe ein Rahmenwerk, das aktuelle Sicherheitslücken, Schwachstellen und damit verbundene Risiken auf automatisierte Weise täglich aktualisiert aufzeige.
Der Ansatz soll es IT-Organisationen so ermöglichen, ihre Verwundbarkeit zu quantifizieren und die Wahrscheinlichkeit von Datenverlusten besser einzuschätzen. Zudem enthält der Bericht laut dem Provider quantitative und qualitative Bewertungen von Präventionsmaßnahmen sowie ein Rahmenwerk für nachhaltige, messbare Verbesserungen. Es gibt drei Service-Module:
* Level 1 - "Blick von außen nach innen": Dieser erste Schritt nutzt nach Verizon-Angaben den Sicherheitsbewertungs-Service von BitSight in Verbindung mit Deep-Web- und Dark-Web-Informationen von Recorded Future für eine Einschätzung externer Risiken. Diese Daten ergänze man um DBIR-Erkenntnisse und stelle sie kontextbezogen dar.
* Level 2 - "Blick von innen nach außen": Den in Level 1 ermittelten Risikowert erweitert hier eine Analyse der Systeme im Unternehmen durch Software-Agents von Cylance und Tanium. Sie werden laut Verizon auf kritischen Endpunkten installiert, um ein Profil externer und interner Risiken zu ermitteln. Die Informationen zur Bedrohungslage sind laut Anbieter auf die Branche des jeweiligen Unternehmens bezogen.
* Level 3 - "Blick auf Kultur und Prozesse": Hier kombiniere man die im Level 1 und 2 ermittelten Informationen mit Bewertungen der Sicherheitsrichtlinien, Prozesse und Verhaltensweisen der Organisation, um zu einer 360-Grad-Aussage zur IT-Sicherheitslage zu gelangen.
Verizon betont, man spreche zu jeder Bewertung Empfehlungen aus, um Unternehmen und Behörden zu helfen, ihre Schwachstellen anzugehen, sich auf Bedrohungen vorzubereiten und das Risiko-Management zu verbessern.
VRR durchlaufe derzeit Betatests. Das Angebot soll im Frühjahr weltweit erhältlich sein. Weitere Informationen finden sich unter www.verizon.com.
Lesen Sie mehr zum Thema
