Cyber-Risiko quantifizieren
Ein weiteres wichtiges Element in Tenable One ist die Möglichkeit zur Kennzeichnung von Assets, um ein Asset Criticality Rating (ACR) zu definieren. Das ACR bewertet die Kritikalität eines Assets für das jeweilige Unternehmen auf einer Skala von 1 bis 10. Wichtig ist dabei, dass die bewerteten Assets nicht isoliert betrachtet, sondern in einem konkreten Kontext – etwa nach Standort, Hersteller, Systemgruppe und Verantwortlichkeiten – gruppiert werden. Dies erfolgt anhand flexibler Tags, die Assets aus unterschiedlichen Bereichen, wie IT, OT, Cloud oder Web-Anwendungen, kombinieren.
Dieser Ansatz ermöglicht es den Verantwortlichen, kritische Assets, die nicht unmittelbar zusammenhängen, abhängig vom Use Case übersichtlich zu visualisieren. Aus der Kombination von Schwachstellen und Kritikalität (ACR) ergibt sich anschließend ein individueller Asset Exposure Score, der – um den Kontext des Tags ergänzt – einen Cyber Exposure Score für den jeweiligen Kontext wiedergibt. Auf diese Weise können zum Beispiel Unternehmen das Cyber-Risiko an verschiedenen Standorten miteinander vergleichen. Auch lassen sich Wertschöpfungsketten abbilden, wie das Warenwirtschaftssystem oder einzelne Produktionsanlagen. So wird nicht nur die Brücke zwischen Cyber- und Geschäftsrisiko geschlagen, man erhält auch umfassende Transparenz entlang der gesamten modernen Angriffsoberfläche.
- Transparenz bildet den Eckpfeiler der Sicherheit. Mit Hilfe einer ganzheitlichen Exposure Management-Plattform wie Tenable One können Unternehmen organisatorische Silos aufbrechen und einen Überblick über ihre IT-, OT- und IoT-Assets – egal, ob On-Prem oder in der Cloud – gewinnen, sowie ein Verständnis dafür, inwieweit diese Assets exponiert sind.
- Die Attack Path Analysis ermöglicht es Bedrohungen dank generativer KI und breiter Schwachstellen-Abdeckung über IT-Assets, Cloud-Ressourcen, Container, Web-Apps, Identitätssysteme sowie OT- und IoT-Assets hinweg zu antizipieren. So ist ein Anwender in der Lage Investitionen, Ressourcen und Response-Maßnahmen zu priorisieren.
- Außerdem kann er die Risikolage mithilfe verständlicher KPIs, Benchmarks und handlungsrelevanter Analysen unabhängig vom IT- und OT-Know-how der Stakeholder präzise kommunizieren und Integrationen mit Third-Party-Datenquellen und -Tools für optimierte Exposure-Analysen und Response-Maßnahmen vornehmen.
