2025年6⽉18⽇,Forrester发布The Forrester Wave™: Cyber Risk Quantification Solutions, Q2 2025报告,提供了最重要的 10家供应商及其表现对⽐。Safe Security 和 Axio 在Forrester网络风险量化评估中保持领先地位,KPMG 新晋上榜,而 ThreatConnect 则跌出领导者象限。
Forrester高级分析师 Cody Scott 表示,网络风险量化工具已超越基础风险建模,能够自动生成建议、分析趋势并协调跨系统洞察。现代 CRQ 平台不再依赖分析师手动输入数据和推导见解,而是自动生成修复策略、趋势分析和跨职能协调方案。
"这些工具已深度整合自动化功能——2023年这还只是锦上添花的理想特性,如今已成为行业标配,"Scott 向媒体透露道。
Scott表示,许多企业已开始用网络风险量化(CRQ)工具取代传统治理、风险与合规(GRC)平台,因为后者的产出往往以合规为导向,很少能升级为战略决策工具。相比之下,CRQ 工具提供实时控制分析、自动化风险监控,以及基于可量化财务影响的决策支持,Scott称这能实现更明智的投资决策。
"这些 CRQ 工具具备持续监控能力、持续风险评估和财务量化视角,彻底颠覆了 GRC 为企业提供的功能,因为它正在转化为真正的风险管理,而非风险被管控的表象,"Scott强调。
他指出,传统的第三方风险管理方法依赖模糊的主观评分来评估供应商。CRQ 工具正通过可量化的财务模型取而代之,能更客观评估潜在损失。网络保险公司也开始采用 CRQ 工具更精准地核保,从宽泛的风险类别转向基于场景的财务量化评估。
"网络风险量化(CRQ)的立场很明确:"我们不会在这里争论不同供应商公开提供的关于贵公司的各种评分是否可信,""Scott表示。""让我们真正关注您可能面临的损失,用具体金额来衡量,这样我们就能基于相同的洞察提供更客观的评估,而不是给出一个非常主观的分数。""
CRQ领导者如何脱颖而出?
Scott指出,领先的 CRQ 平台整合了生成式 AI 和 AI 代理,帮助分析师更直观地进行评估并解读复杂风险场景。这些平台设计了引导用户完成评估的界面和工作流,简化了与利益相关方(尤其是非技术人员)的沟通。同时它们覆盖了从网络安全保险到 AI 治理的广泛用例。
"我是否有信心以连我自己都能理解且能自信解释的方式,向非技术人员展示量化后的网络安全风险财务结果?"Scott问道,"这极其困难,但 Axio 和毕马威等公司已将这项工作做到了极致,他们的方案如此实用,真正消除了这一障碍——而这正是实施网络风险量化(CRQ)的最大阻碍之一。"
随着网络风险量化能力深度融入网络安全领域,独立供应商将面临行业整合。到 2027 年,CRQ 的核心功能——风险建模与量化——将实现全自动化。用户不再需要手动估算损失或威胁概率,AI 代理将根据实时数据、历史损失记录及企业特定参数,按需生成风险评估报告。
"手动建模风险的传统做法将彻底消失,"Scott表示,"未来只需问"我的风险值是多少",工具就能快速给出答案。这种能力已初现端倪,到 2027 年必将成为行业标准。"
从战略视角来看,Forrester 再次授予 Safe Security 金牌评级,毕马威(KPMG)从 2023 年的第六位跃升至今年第二位,Balbix 从第四提升至第三,而 Axio 则从第二位滑落至第四。就产品服务而言,Safe 从第二位攀升至榜首,Axio 从 2023 年的第三跃升至 2025 年的第二位,毕马威从第四升至第三,ThreatConnect 则从首位暴跌至第四。
除领先企业外,以下是Forrester对网络风险量化市场的看法:
Strong Performers: Balbix, ThreatConnect, CYE;
Contenders: X-Analytics, Zscaler, Kovrr, Mastercard.
Safe Security 实现自动化、智能代理 AI 与实时遥测技术
Safe Security 通过整合来自多种网络安全工具的遥测数据,优先实现了数据采集流程的自动化。联合创始人兼 CEO Saket Modi 表示,这有助于公司实时获取并分析客户环境中的安全数据。Safe 还开发了智能生成式 AI 系统,不仅能检测风险,还能推荐甚至执行补救措施。
Modi表示,与仅能获取自身产品数据的传统网络安全厂商不同,Safe 能够聚合并协调客户整个安全堆栈的数据,这些数据通过 FAIR 和 MITRE ATT&CK 等框架进行处理,从而提供基于场景的精准风险建模。Safe 不再提供周期性静态评估,而是随着新数据流入持续实时更新其风险模型。
"我们会收集所有这些数据,然后运用 FAIR 和 MITRE ATT&CK 等开放标准对数据进行处理,完成场景映射,最终生成各场景的风险评估结果,"Modi 向 媒体 解释道。"因此难点在于如何持续实时地整合这些数据流,并据此动态调整风险场景模型。"
Forrester 表示,Safe 客户希望改进大规模资产与风险暴露标记功能,并优化自定义查询后的数据导出与格式化方式。Modi 解释道,Safe 采用了基于现代生成式 AI 的报告生成方式,这对部分用户可能较为陌生。与传统静态仪表板不同,用户通过与 AI 智能体交互来生成定制化报告。
"我们运用生成式 AI 智能体,用户只需表达"我需要这些特定内容",然后调整查询语句,就能获得定制化的 PDF 报告。"Modi 表示。
Axio 致力于简化实施流程与定制化洞察
Axio首席执行官 Scott Kannry 表示,公司重构了 CRQ(网络风险量化)上架流程,将其转化为轻量级体验,用户仅需五分钟即可接入平台并获取价值洞察。通过处理海量数据集来推荐最具影响力的后续措施,该公司解决了"信号噪声比"问题,助力企业从被动洞察转向主动改进。
Kannry表示,Axio 平台并非提供通用数据,而是根据客户组织的独特属性调整模型。这确保所提供的损失预估和威胁场景具有直接适用性,从而提升其可信度与实用价值。他指出,这种个性化服务能为客户带来更精准的风险预测和更明智的决策依据。
Kannr向媒体表示:"从历史经验来看,实施过程往往艰巨而漫长,需要耗费数月时间。正因如此,大多数人的反应都是"虽然好处很多,但我实在抽不出这个时间和精力,很抱歉"。我们通过极简化的向导式实施方案彻底改变了这一局面,现在企业和用户只需五分钟就能快速上手。"
Forrester批评 Axio 在威胁和漏洞情报能力方面存在局限,且新功能开发上线周期过长。Kannry 回应称 Axio 过去一年已发布 38 项新功能,并持续在产品路线图上加大投入。他表示 Axio 平台在技术上具备整合威胁情报数据的能力,未来计划纳入这些功能。
"我们优先推进了前述功能开发,而非构建或集成某种威胁与漏洞能力,"Kannry 表示,"这些功能即将推出。我们只是选择了差异化的创新路径。并非技术不可行,而是迄今为止我们采用了不同的实现方式。"
KPMG 凭借直观界面表现优异,全面布局风险管理领域
Forrester 表示,毕马威使网络风险量化(CRQ)更精准、易获取且可规模化实施的愿景,体现了其对现代风险管理挑战的深刻理解,并在提供复杂系统对接和引导式支持方面表现卓越。据Forrester称,毕马威高度直观的界面和深入的产品内指导能帮助技术与非技术用户完成端到端的风险分析。
但Forrester指出,毕马威需要扩展其对集成与自动化的支持能力,并完善网络保险评估服务以满足客户需求。提升配套服务将帮助具有针对性安全评估需求的客户,同时Forrester强调当前生成的报告文件在导出时不如屏幕视图显示那样精细。
一位发言人向媒体表示,毕马威高管无法提供进一步评论。
原文链接:
https://www.inforisktoday.com/safe-axio-kpmg-dominate-cyber-risk-quantification-rankings-a-28837
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
