RiskRater: En IT-sikkerhetstest som ingen mislykkes

Spør deg selv: hvor sikker er jeg på at medarbeidere og familiemedlemmer kan avverge phishing eller sosialtekniske angrep; hvor sikker er jeg på at datamaskinene deres er riktig forberedt på å holde dem trygge mens de krysser internett; eller, hvor sikker er jeg på at de "ikke kan leve uten" smarttelefoner de eier, er i orden å knytte seg til offentlige eller firmaets Wi-Fi-nettverk?

Hvis disse spørsmålene berører et akkord, har jeg 18 flere jeg vil at du skal se på.

Mennesker på Rapid7, leverandør av sikkerhetstestverktøy Nexpose, Mobilisafe og HD Mores mektige Metasploit forstår angsten. De vet hvor vanskelig det er for alle - fra IT-fagpersoner som er ansvarlige for hundrevis eller til og med tusenvis av brukere, til personer som eier en personlig dataenhet - for å holde seg oppdatert om epidemien av ondsinnede angrep og sårbarheter som feier Internett.

For å hjelpe til med å bygge bro over det stadig utvidede kunnskapsgapet, utviklet og bygde Rapid7 RiskRater, et interaktivt vurderingsverktøy med 18 spørsmål, som fokuserer på det som i dag blir sett på som de mest sårbare kategoriene for Internett-databehandling:

“I hovedsak er RiskRater et enkelt graderingsverktøy med fokus på sikkerhet. Den stiller et antall spørsmål for hver av kategoriene, og beregner en poengsum fra 1-10 basert på svarene. Scoringen bestemmes ved hjelp av en algoritme, og deretter kartlegges mot referanseporteføljen for de tre kategoriene. ”


Bildet ovenfor viser resultatene fra jeg tok RiskRater. Følgende lysbilde viser en tilleggsfunksjon i RiskRater. Når du klikker på “Vis detaljer” for en av kategoriene, forklarer vurderingsverktøyet hvorfor det er viktig å svare “ja” på spørsmålet. I mitt tilfelle forklarer RiskRater hvorfor det er nødvendig å holde operativsystemene oppdaterte.


Det var det jeg hentet fra nettstedet, men jeg var bekymret for at det kan være mer markedstalt enn noe annet. Så jeg kontaktet Rapid7. Jen Ellis, kommunikasjonsdirektør, introduserte meg for Roy Hodgman, Senior Software Engineer på Rapid7. Jen fortalte meg at Roy hjalp til med å lage trusselmodellen og algoritmen som driver RiskRater.

For å begynne med spurte jeg Roy hva Rapid7 prøvde å oppnå med RiskRater:

"Spørsmålene i RiskRater er spesielt designet for de som opererer i IT-sikkerhetsfunksjonen til en organisasjon. Vi ønsket å hjelpe dem med å få et øyeblikksbilde av sikkerhetsprogrammet deres i tre kritiske kategorier - Endpoint Security, brukerbasert risiko og mobilsikkerhet. Vi identifiserte disse kritikkområdene som topp prioriteringer basert på vår egen kunnskap, tilbakemeldinger fra kunder og sikkerhetsprotokoller. "

Nettstedet nevnte at Rapid7 jobbet med over 600 organisasjoner da jeg finjusterte RiskRater. Jeg spurte Roy hvilken rolle organisasjonene faktisk spilte:

Først opprettet vi spørsmålene og algoritmen for RiskRater, deretter undersøkte vi databasen vår. Deretter ba vi organisasjoner om å svare på spørsmålene i RiskRater. Fra svarene kunne vi lage benchmark-score på tvers av bransjer og geografier, noe som betyr at når RiskRater ble lansert, kunne organisasjoner ikke bare se hvor de rangerte mot Rapid7s scoringsalgoritme, men også mot en gruppe av sine jevnaldrende. ”

Roy nevnte tidligere at RiskRater var spesielt opprettet for fagfolk innen IT-sikkerhet. Så jeg spurte Roy om stillingstitlene til de som svarte. De var:

  • Sikkerhetsarkitekt

  • CIO

  • CISO

  • Informasjonssikkerhetsanalytiker

  • IT-direktør

  • IT-sikkerhetsingeniør

  • Sikkerhetsadministrator

  • Sikkerhetskonsulent

  • System ingeniør

For å være ærlig, hadde jeg vanskelig for å forstå hvorfor Rapid7 ønsket å fokusere på fagfolk innen IT-sikkerhet. Jeg spurte flere kolleger, som er profesjonelle proffe IT-sikkerhet, hva de syntes om spørsmålene. Alle var klar over betydningen av dem, og la til at de allerede anbefaler det RiskRater antydet som riktig sikkerhetspraksis.

Roy forklarte feilen i min begrunnelse:

“Når vi snakker med folk som kjøper, installerer, støtter og på annen måte administrerer verktøyene som leverer tjenester som dekkes i RiskRater; de har forskjellige meninger om tjenestenes betydning og gjennomførbarhet gitt tid, ansattes og budsjettmessige begrensninger.

"Tilbakemeldingene du har fått, fremhever at alle er klar over viktigheten av disse områdene, men det er der det stopper. De færreste gjør en god jobb med å administrere dem alle. RiskRater er designet for å hjelpe fagpersoner med å fokusere på hva som vil ha mest påvirkning basert på hvor de for øyeblikket står. ”

Så, nå spørsmålet som ber om å bli stilt, er hvordan gjorde 600? Gjennomsnittlig poengsum for hver av kategoriene var:

  • Endepunktsikkerhet: 7

  • Brukerbasert risiko: 5

  • Mobilsikkerhet: 3

Definitivt ikke hva jeg forventet basert på kommentarene fra kollegene mine, men resultatene støttet Roys forklaring. Jeg er klar over at RiskRater ikke handler om å vite hva som skal gjøres, men å svare på hva selskapet eller personen er villig til å gjøre.

Viktigheten av RiskRater ble også tydelig for meg. Så jeg spurte Roy om han hadde oppmerksomhet fra hver person som krysset Internett, hva ville han sagt for å overbevise dem om å prøve RiskRater. Her er svaret hans:

”Din tid er verdifull og sikkerhet er en enorm kompleks utfordring. Vi er klar over at RiskRater ikke kommer til å løse det for deg, men å bruke tre minutter på RiskRater kan hjelpe deg med å få en følelse av hvor godt sikkerhetssystemet ditt stabler opp mot truslene vi ser i dag. Det kan også hjelpe deg å rette din begrensede tid og ressurser til sikkerhetsområdene som mest fortjener din oppmerksomhet. "

Det siste spørsmålet mitt er et jeg lovet TechRepublic-medlemmer jeg ville stille når det kreves personlig informasjon for å få noe - i dette tilfellet, RiskRater-testresultater fra Rapid7. Roy, kan jeg ha din garanti for at dette ikke er en markedsførings-gimmick for å få informasjon fra folk for fremtidige Rapid7-markedsføringskampanjer?

Roy ga dette spørsmålet til Jen:

“Alle som registrerer seg for gratisverktøyene våre blir lagt til i databasen vår, men svarene på de 18 spørsmålene som er brukt for å evaluere effektiviteten til sikkerhetsprogrammene dine blir sendt inn og lagret anonymt som nevnt i brukeravtalen. Du vil ikke få et anrop fra oss som sier 'vi ser at du ikke har noen mobil risikostyringsløsning på plass' eller noe av det slaget. »

Siste tanker

Jeg begynte å si at ingen mislykkes i denne testen, og det tror jeg fortsatt. Å få et null i alle tre kategoriene av RiskRater er fremdeles lysår bedre enn å ikke forstå hvor datamaskinene dine er sikkerhetsmessige.

Takk Jen Ellis, Roy Hodgman og Rapid7 for at du så et behov, gjorde noe med det og hjalp til med dette innlegget.

© Copyright 2020 | mobilegn.com