ThreatConnect Leader Forrester Wave™ per la Quantificazione del Rischio Cibernetico (CRQ)

Di Jerry Caponera – VP Cyber Risk Strategy | Board Member, ThreatConnect

Nell’ambito di questo articolo, si discute del riconoscimento ottenuto nella Forrester Wave™ per la Quantificazione del Rischio Cibernetico e dell’approccio di ThreatConnect alla CRQ basato sulle minacce. Jerry Caponera, VP della Strategia per il Rischio Cibernetico presso ThreatConnect, è stato il principale artefice di questa strategia.

La CRQ è un argomento di crescente importanza in un mondo sempre più digitalizzato, e il contributo di Jerry Caponera è stato fondamentale nel portare avanti la comprensione e la gestione del rischio cibernetico attraverso l’approccio della quantificazione finanziaria. Grazie alla sua esperienza nel campo della sicurezza informatica e alla sua ampia formazione, ha guidato con successo la creazione di una strategia basata sulle minacce che si è dimostrata efficace e leader nel settore, come evidenziato dalla valutazione positiva nella Forrester Wave™.

L’articolo sottolinea anche l’importanza di un approccio centrato sulle minacce alla CRQ. Caponera e il team di ThreatConnect hanno abbracciato questa prospettiva, riconoscendo che la valutazione del rischio cibernetico deve andare oltre la semplice identificazione delle vulnerabilità tecniche. L’articolo spiega come questa metodologia permetta di prendere decisioni più informate e basate sui dati riguardo alla gestione del rischio cibernetico.

Inoltre, l’articolo menziona il coinvolgimento di Jerry Caponera in conferenze internazionali, dimostrando la sua influenza e l’importanza del suo lavoro nel campo della CRQ. La sua formazione accademica, che spazia dall’ingegneria elettrica all’informatica e al business, offre una base solida per affrontare le sfide complesse legate alla sicurezza cibernetica e alla quantificazione del rischio.

Nel complesso, l’articolo evidenzia il ruolo chiave di Jerry Caponera e di ThreatConnect nella promozione di un approccio centrato sulle minacce alla CRQ e nell’ottenimento del riconoscimento nella Forrester Wave™ per la Quantificazione del Rischio Cibernetico.

ThreatConnect Risk Quantifier è stato recentemente riconosciuto come leader nella The Forrester Wave™ per la Quantificazione del Rischio Cibernetico (CRQ), Q3 2023, e non potremmo essere più entusiasti per questo riconoscimento. Siamo cresciuti nel corso degli anni, passando da un piccolo team che cercava di risolvere un problema complesso a un leader nello spazio della CRQ che sfrutta al meglio l’IA e l’apprendimento automatico. Vedere che Forrester ci ha valutato con il punteggio più alto nella categoria dell’offerta attuale e il punteggio massimo possibile nelle categorie di esperienza utente, integrazioni e metodologia (per citarne alcune) è qualcosa a cui teniamo molto.

Il rapporto di Forrester ha fatto un’osservazione molto perspicace nel loro rapporto sulla nostra approccio e strategia. Hanno detto che “ThreatConnect definisce lo standard per un approccio basato sulle minacce per la CRQ”. È una dichiarazione fantastica, e non potremmo essere più d’accordo.

Inizialmente abbiamo creato RQ per poter aiutare le organizzazioni a comprendere il proprio rischio informatico in termini finanziari, per identificare dove (e quanto) potessero trasferire agli assicuratori cibernetici e, probabilmente ancora più importante, per dare priorità alle mitigazioni basate sulla riduzione del rischio finanziario. Quest’ultimo aspetto, la riduzione del rischio finanziario, è fondamentale per RQ poiché vediamo la sicurezza come una funzione aziendale, non solo tecnica. Mostrare semplicemente che esiste un rischio non è sufficiente: la CRQ deve fornire opzioni tattiche e attuabili su come mitigare e potenzialmente eliminare quel rischio.

Dedichiamo un notevole quantitativo di tempo all’analisi dei dati sulle perdite e dei dati sugli attacchi, e la nostra analisi mostra che c’è una correlazione diretta tra la perdita finanziaria causata da un attacco informatico e le caratteristiche tecniche dell’attacco in questione. In effetti, la correlazione è così chiara che l’abbiamo inserita nel prodotto.

I dati mostrano che si verifica una perdita quando un attore lancia un attacco su risorse tecniche (ad esempio, endpoint) e supera le difese circostanti. Perdita e tipo di attacco sono correlati – non sono indipendenti. Avrai una tipologia di perdita diversa in caso di attacco di violazione dei dati rispetto a un attacco di ransomware. Anche i controlli che aiutano a prevenire il successo dell’attacco variano in efficacia contro attacchi diversi (e TTP MITRE).

Ecco perché siamo impegnati non solo a “definire lo standard” per un approccio basato sulle minacce per la CRQ, ma anche a garantire che possiamo tracciare i risultati dal livello esecutivo ai leader della sicurezza e aziendali, e nel Security Operations Center (SOC). Questa tracciabilità operativa è ciò che fa sì che la CRQ diventi parte di uno sforzo di monitoraggio continuo.

Oggi la maggior parte delle organizzazioni esegue la CRQ in modo occasionale o basato su scenari. La sfida qui è che si può perdere la visione d’insieme. Le minacce cambiano regolarmente e la maggior parte della costruzione occasionale di scenari non si adatta a quella velocità. Unendo l’analisi delle minacce con la quantificazione del rischio utilizzando l’IA e l’apprendimento automatico, possiamo misurare meglio quando il rischio supera il tuo limite accettabile e – cosa più importante – aiutarti a mitigare il rischio tecnico prima che si realizzi.

Ciò che a volte si perde nella conversazione sulla CRQ è il fatto che ciò che si mitiga è di natura tecnica o incentrata sulle minacce. Trasferisci la perdita finanziaria (a una compagnia di assicurazione o a un partner), ma per prevenire che ciò accada è necessaria una comprensione della superficie di attacco e di come gli attacchi si materializzano contro le difese. Ecco perché siamo completamente d’accordo che ThreatConnect definisce lo standard per un approccio basato sulle minacce per la CRQ.

Il nostro obiettivo è continuare ad alimentare la presa di decisioni sulla CRQ a vari livelli, compresi quelli esecutivi, operativi e tattici. Dopotutto, se puoi prevenire che una minaccia diventi un evento di perdita correggendo una carenza nel sistema, perché non lo faresti?

 

Note sull’ Autore
Gerald (Jerry) Caponera è il Vice Presidente della Strategia per il Rischio Cibernetico presso ThreatConnect e guida l’effort per quantificare il rischio cibernetico in termini finanziari. Ha lavorato sugli sforzi di quantificazione del rischio cibernetico per diversi anni ed ha un’ampia esperienza nel campo della sicurezza informatica, avendo lavorato per aziende di risposta agli incidenti, analisi di malware e servizi di sicurezza. Ha tenuto discorsi in numerose conferenze in tutto il mondo, tra cui ISS World MEA, InfoSecurity Russia e TM World Forum. Possiede un MBA dall’Università del Massachusetts, una laurea magistrale in Informatica dall’Università della Pennsylvania e una laurea triennale in Ingegneria Elettrica dall’Università di Buffalo.

PUBBLICATO DA:<br>Fabrizio Bressani
PUBBLICATO DA:
Fabrizio Bressani
Managing Director, DotForce

ARTICOLI CORRELATI

Battaglia al Ransomware, un tag alla volta

Battaglia al Ransomware, un tag alla volta

Nell'ottobre 2023, nell'ambito del Ransomware Vulnerability Warning Pilot  (RVWP), il CISA ha iniziato a contrassegnare voci nel loro catalogo di Known Exploited Vulnerabilities (KEV). Questo campo indica se sono noti exploit per una determinata vulnerabilità che...