Examen de la carte de pointage de sécurité
Qu'aimez-vous le plus à propos de the product?
Il fournit un examen complet de nos principaux fournisseurs et offre également la capacité d'examiner notre posture de sécurité globale.
Que n’aimez-vous pas à propos de the product?
1. Soudainement, trop de faux positifs apparaissent de nulle part, et nous finissons par nettoyer les IPs qui sont mal mappées.
2. Chaque fois que de nouvelles IPs sont trouvées, le client devrait avoir le choix de dire Oui/Non, avant de les associer à la fiche de score du client.
Quels sont les problèmes que the product résout, et en quoi cela vous est-il bénéfique?
Cela nous aide à établir une base de sécurité avec différents fournisseurs.
Cela nous aide également à examiner la posture de sécurité de notre organisation d'un point de vue externe.
Solution à faible coût, très efficace !
Qu'aimez-vous le plus à propos de the product?
Security Scorecard est l'un des logiciels les plus faciles à utiliser et intuitifs que j'ai utilisés au cours de mes 36 années de carrière. Il est utile dès que vous commencez à l'utiliser. Superbe affichage du tableau de bord, qui vous permet ensuite d'approfondir les résultats et, en prime, il vous indique comment remédier au problème. Le logiciel est tellement bon que je l'ai acheté dans les 3 postes de sécurité que j'ai occupés. Je le recommande aux professionnels de la sécurité que je connais, qui ont tous été impressionnés par celui-ci. Et ai-je mentionné le support ? Le support est fantastique !
Que n’aimez-vous pas à propos de the product?
Il n'y a pas grand-chose que je n'aime pas à propos de Security Scorecard. En fait... je ne peux penser à aucun élément qui m'agace ! Peut-être si cela incluait des informations recueillies sur le Dark Web concernant mon entreprise... oui, cela en ferait une note de 11/10 au lieu de 10/10.
Quels sont les problèmes que the product résout, et en quoi cela vous est-il bénéfique?
Security Scorecard me montre soit 1- ce que je ne sais pas (cadence de mise à jour, santé DNS, etc.) soit 2- ce qui me prendrait des heures/jours à rassembler puis plus de temps à évaluer. En ce qui concerne mon deuxième point - cela a réduit la probabilité d'embaucher un analyste en sécurité pour localiser, collecter et analyser toutes les données que Security Scorecard fait en un clic.
Bon service, pas la meilleure expérience
Qu'aimez-vous le plus à propos de the product?
Il a un excellent service client et une interface conviviale.
Que n’aimez-vous pas à propos de the product?
Le manque d'autres clients/utilisateurs représentés dans le système.
Quels sont les problèmes que the product résout, et en quoi cela vous est-il bénéfique?
Gestion des fournisseurs et certaines fonctions de gestion des risques des tiers.
Excellent outil pour la surveillance cybernétique
Qu'aimez-vous le plus à propos de the product?
Security Scorecard est un outil de premier plan pour la surveillance cybernétique. L'outil dispose de tableaux de bord, de métriques et de capacités de suivi excellents. L'expérience du service client a également été bonne.
Que n’aimez-vous pas à propos de the product?
L'outil n'était pas aussi convivial que ses concurrents. Il est destiné à des utilisateurs plus technophiles. Cet outil n'est pas idéal pour la collaboration avec d'autres unités commerciales telles que la gestion juridique/contractuelle.
Quels sont les problèmes que the product résout, et en quoi cela vous est-il bénéfique?
Security Scorecard a été acheté pour combler notre lacune dans notre programme de gestion des risques tiers. Nos processus étaient manuels et prenaient beaucoup de temps, et cet outil a aidé à automatiser la surveillance de nos fournisseurs.
Un bon service pour les avis des fournisseurs
Qu'aimez-vous le plus à propos de the product?
Ils offrent un aperçu bref et approfondi de la présence internet externe d'une entreprise. Ils surveillent et m'alertent des problèmes liés à mon empreinte, et ils me fournissent également un moyen rapide d'évaluer si un fournisseur prend la sécurité au sérieux.
Que n’aimez-vous pas à propos de the product?
Ils peuvent être pointilleux lorsqu'ils font une erreur. Il peut falloir plusieurs points de contact pour les amener à supprimer une adresse IP qui n'est pas la mienne et qu'ils m'ont attribuée par erreur.
Quels sont les problèmes que the product résout, et en quoi cela vous est-il bénéfique?
Notifications de vulnérabilité externe et gestion des fournisseurs.
Examen de SecurityScorecard
Qu'aimez-vous le plus à propos de the product?
La plupart des fonctionnalités sont précieuses. Les évaluations de l'atlas sont la partie que j'aime le plus sur cette plateforme.
Que n’aimez-vous pas à propos de the product?
Rien de spécial. Ce produit est un très bon produit principalement pour les clients liés au secteur bancaire.
Quels sont les problèmes que the product résout, et en quoi cela vous est-il bénéfique?
La plupart du temps, géré avec le portefeuille lié aux applications et la gestion des risques informatiques sur le type de choses de la carte de score de sécurité.
Provides security footprint insights and is free, but not enough features are included in the free tier
What is our primary use case?
We were asked by a customer to respond to issues raised on the platform regarding our security score.
We are using the free offering at the moment. For something that was not part of our selection, I would like to have more features available. In that context, the paid subscription is pricey for an organization of our size.
As the approach is widely automated information gathering, there is a wide gap from free to paid which makes it hard for smaller organizations to get better security awareness. There is always the notion that a breach is expensive, however, that does not mean vendors can collect anything they like in terms of pricing. It has to be reasonable.
They freshly introduced Attack Surface Index where you can search for specific software in their database. The free tier got a bunch of requests for free to get a feel of the feature. It was very nice to snoop around to find out who has which vulnerability listed or how many vulnerable exchange boxes are out there in France still running on Exchange 2013. The feature went into paid tier after a period.
How has it helped my organization?
With SecurityScorecard we gained more insight into our security footprint. The platform does very little to help with issues. Maybe that is for paid subscribers. Every so often, issues are re-surfacing and you have to re-explain everything.
Don't get me wrong, although it is not very nice to have security issues (or symptoms of such) thrown at you, it is nicer than some ransom demand.
With its automated approach, nothing is missed on the IPs your organization is related to. Still, it is extra work. We use the findings as a todo-list whenever something pops up.
In the past months, we had success at removing findings that are not our own like the Skype for business-IP hosted by Microsoft.
We had some findings regarding open ports after publishing systems on public IPs. We found out that way the firewall opens several ports for every public IP when enabled. Now we can disable these pro-active.
What is most valuable?
You can have notifications for changes in your score. It really helps to not have to come back every now and then to look score changes up.
I also like the report options in place. They could be more configurable but there will always be disagreement on reporting options.
You can also invite team members to help solve problems.
It's good for a security solution. You can protect your logins with MFA.
We use the findings as a means to keep third parties up-to-date by forwarding reports to them so they can see we are able to track every vulnerability.
What needs improvement?
There could be more information in regards to solving problems like hints on what specifically to look for.
There should be the option to split responsibility for certain areas. This would be mandatory if we want to invite external consultants to look at things together.
As mentioned above, the pricing for a paid subscription is too high for "just" a monitoring platform.
They don't fix your issues. Instead, you have to come up with a good explanation of why things are the way they are. Small teams might not have the patience to re-submit closure of issues due to the fact that the explanation for the issue is not accepted.
For how long have I used the solution?
We have been working with the service for over three years now.
What do I think about the stability of the solution?
We had no issues with stability so far. There is no high-volume traffic going on when using it. We discovered that login requires disabling the "no-tracking"-option in MS Edge Browser.
What do I think about the scalability of the solution?
It's a web-based service. There should be no issue with scalability.
How are customer service and support?
It's not the most responsive technical support so far. Most issues are not fixed in an hour. Users shouldn't expect confirmation to be there at that time. If you expect 1-3 days you are well-positioned with a no-fee service.
The response quite improved on most inquiries over the last year.
How would you rate customer service and support?
Which solution did I use previously and why did I switch?
We did not previously use a different solution.
How was the initial setup?
The initial setup is easy. You just log in with your work email. That's it.
What about the implementation team?
I suspect that no one was tasked with security to onboard here.
As their database already has all your public outings (IT-wise) there is nothing to set up, really. Just register and claim your tenant, invite your team and your set.
Don't forget to enable MFA!
What was our ROI?
There is no ROI for a free tier. We would need to provide an explanation about paid subscriptions for just a security ticket system in the cloud.
What's my experience with pricing, setup cost, and licensing?
They already have set up for most organizations with their security footprint gathered from WHOIS, DNS, and other sources. Therefore, no setup cost would be reasonable. The pricing could be split into a lower-paid tier for smaller organizations and another higher tier for others with a more security-focused outlook. $1000 per month is more than some companies pay for their internet connections in total.
UPDATE: they have a new 400$ a month tier for starters.
They cover the complete IPv4 address space with their own sensor network.
They change their perspective on what actually impacts your score over time which you should be aware in order to get no surprises when your score drops suddenly. But that is a very transparent process with a heads-up on what to expect by the new scoring mechanism. Our score got dumped once and is now back on the same level.
A lot of the findings are open for discussion (you can claim that is not a finding within good reason). They hear you out and some of the new scorings are in answer to customer requests (as I see it - could be mistaken though).
Which other solutions did I evaluate?
We were forced (or rather, invited) to use that solution by a customer.
What other advice do I have?
Don't expect answers for closing issues right away. There are still people involved who re-check the issues for proper fixes and if your explanation for "that's no issue" is acceptable.
Resolve time improves if you state a link to sites that proof your changes like https://redirect-checker.org/ or https://httpstatus.io/.
Just like with AI, context enriches the issue for the one handling it, making it easier to speak of the same things, which is not always easy.
Look for integrations into other systems. Maybe you can tap into your XDR for Securityscorecard to get more data and have a better view of your exposure.
Which deployment model are you using for this solution?
Public Cloud
If public cloud, private cloud, or hybrid cloud, which cloud provider do you use?
Other
Outil d'évaluation des risques informatiques d'entreprise
Qu'aimez-vous le plus à propos de the product?
Le rapport de vulnérabilité inclut tous les aspects de la sécurité, y compris l'application, l'infrastructure informatique et la signature reflétant les logiciels malveillants. Il détermine ces vulnérabilités à partir de l'empreinte extérieure sans analyse authentifiée. Le rapport montre toutes les informations qu'un pirate peut voir de l'extérieur. De plus, il aide l'organisation à choisir le partenaire qui sécurise correctement leur informatique.
Que n’aimez-vous pas à propos de the product?
Lorsqu'il y a une nouvelle organisation avec laquelle vous souhaitez vous associer, cela prend environ sept jours pour fournir son rapport de risque. Parfois, elle évalue plus haut pour la vulnérabilité liée aux certificats. Parfois, elle inclut également la fausse représentation d'IP dans le rapport.
Quels sont les problèmes que the product résout, et en quoi cela vous est-il bénéfique?
Évaluation des risques des fournisseurs
Rapport facilement représenté dans n'importe quel outil GRC
SecurityScorecard - Revue
Qu'aimez-vous le plus à propos de the product?
Facile à administrer les domaines et livrer les résultats au Conseil
Que n’aimez-vous pas à propos de the product?
la structure des prix est un peu compliquée à gérer
Quels sont les problèmes que the product résout, et en quoi cela vous est-il bénéfique?
Image claire de toutes les vulnérabilités externes pour un domaine spécifique (et tous les fournisseurs associés)
Bon logiciel
Qu'aimez-vous le plus à propos de the product?
Je pense que la meilleure fonctionnalité est celle de l'évaluation, je peux comparer plus d'une entreprise.
Que n’aimez-vous pas à propos de the product?
Je n'aime pas devoir résoudre le problème moi-même.
Quels sont les problèmes que the product résout, et en quoi cela vous est-il bénéfique?
Le problème que je résous, comme la fermeture d'une faille de sécurité, a été exposé au public.
