Decyzje o ryzyku CVE poparte dowodami
Czy ta podatność CVE realnie zagraża Twojej usłudze?
AllowGate daje deterministyczną odpowiedź wraz z możliwością prześledzenia procesu decyzyjnego, której oczekują Twoi audytorzy. Koniec z tonięciem w szumie CVE. Koniec z udowadnianiem każdego wyjątku od zera.
Wybieramy 15-30 liderów bezpieczeństwa do rozmów koncepcyjnych. 5-15 zaproszonych do płatnego wcześniejszego dostępu. Bez newslettera.
{
"cve": "CVE-2024-21413",
"service": "payments-api",
"decision": "deny",
"winning_rule": "tag:internet_facing AND severity >= high",
"justification": [
"exposure: public (high confidence)"
,
"reachability: confirmed via static analysis"
,
"no scoped exception applies"
],
"decision_confidence": "high"
}Tendencja w zespołach bezpieczeństwa pod presją audytu
Większość CVE to nie jest realne ryzyko
Skanery zgłaszają tysiące podatności na kwartał. Mniej niż 5% realnie zagraża konkretnej usłudze w jej rzeczywistym środowisku.
Decyzje nie przechodzą audytu
"Zaakceptowaliśmy ryzyko" nie wystarczy audytorowi SOC 2 ani NIS2. Audytor chce poznać tok rozumowania, dowody i politykę, która to uzasadniła.
Wyjątki stają się trwałe
Trzymane w arkuszach kalkulacyjnych, przeklejane między zgłoszeniami, nigdy nie wygasają. Po trzech latach nikt nie pamięta, dlaczego zostały przyznane.
Silnik polityk, a nie kolejny skaner
AllowGate nie szuka CVE. Twoje skanery już to robią. Decyduje, co każde znalezisko oznacza dla konkretnej usługi, której dotyczy.
Wpina się między Twoje skanery a bramki: skany obrazów i pakietów przed wdrożeniem, znaleziska runtime po wdrożeniu.
Dwuetapowa ewaluacja. Najpierw wszystkie reguły obowiązujące dla Twojej usługi, środowiska i tagów sklejają się w jedną efektywną politykę. Następnie ryzyko CVE jest dostosowywane do kontekstu (ekspozycja, osiągalność, środowisko, pewność) i oceniane wobec polityki.
Każda decyzja jest jedną z trzech: allow, deny lub undetermined. Każdej towarzyszą reguła rozstrzygająca, dopasowane reguły, przesłonięte reguły i łańcuch dowodów, który do niej doprowadził. Te same dane wejściowe, ten sam wynik. Zawsze.
Ten sam silnik obsługuje środowiska IT i OT. Dla zasobów sterujących procesem fizycznym atestowana klasyfikacja safety-consequence podnosi minimalny próg istotności, a kontrakt z odbiorcami systemu zabrania interpretowania decyzji deny jako polecenia zatrzymania działającego zasobu OT - eskalacja odbywa się poza tym mechanizmem.
Przeczytaj pełne podejście ->Zaprojektowane pod kątem standardów zgodności wymagających udokumentowanych decyzji CVE
NIS2 ISO 27001 SOC 2 PCI DSS DORA HIPAA IEC 62443
Jeszcze bez audytu? To i tak istotne. Większość problemów pojawia się przed audytem, nie w jego trakcie.
Jak działa wcześniejszy dostęp
Krok 1
Rejestracja
Sam e-mail, 5 sekund. Otwarte dla każdego.
Krok 2
Selekcja
15-30 rozmów. Spotkania po 30 minut.
Krok 3
Wcześniejszy dostęp
5-15 płatnych miejsc. Indywidualny onboarding, wsparcie twórcy.
Osoby niewybrane do wcześniejszego dostępu otrzymują zaproszenie do drugiej fazy bety i rabat na premierę.
Pytania
Nie. AllowGate przyjmuje wyniki działania Twoich istniejących skanerów i decyduje, które z nich zagrażają którym usługom. Zastępuje proces triage i obsługi wyjątków, a nie sam skaner.
AllowGate łączy sygnały z Twoich istniejących narzędzi (wyniki skanerów, telemetria runtime, analiza kodu) z jawnym kontekstem, który dostarczasz. Każdy sygnał niesie poziom pewności, a sygnały o niskiej pewności mają ograniczony wpływ na decyzję.
Nie. AllowGate nigdy nie sięga po Twój kod źródłowy. Przyjmuje to, co już generują Twoje istniejące narzędzia - wyniki skanerów, telemetrię runtime, rezultaty analizy kodu - i decyduje, co oznaczają dla każdej usługi. Sygnały trafiają do nas; kod zostaje u Ciebie.
Obejmuje oba. Poza przypadkiem IT, AllowGate przyjmuje atestowaną klasyfikację safety-consequence dla każdego zasobu i wykorzystuje ją do podniesienia minimalnego progu istotności dla funkcji safety-critical. Systemy lub podmioty podejmujące działania na podstawie decyzji deny dla działającego zasobu OT muszą eskalować lub zastosować środek zaradczy, który nie przerywa procesu. Kontrakt wyraźnie zabrania interpretowania decyzji deny jako polecenia zatrzymania lub odłączenia działającego procesu przemysłowego. Zasoby IT nie mają przypisanej takiej klasyfikacji i działają zgodnie z wcześniejszymi zasadami.
Polityki w AllowGate są jawne, mają określony zakres i można je łączyć. Reguły na poziomie tenanta, projektu, usługi i środowiska łączą się w jedną efektywną politykę w momencie decyzji. Większość “nietypowych” polityk okazuje się wyrażalna.
Każda decyzja tworzy łańcuch uzasadnień z regułą rozstrzygającą, dopasowanymi regułami, przesłoniętymi regułami i poziomem pewności decyzji. To dowód, którego audytorzy oczekują w ramach SOC 2 CC7.1, ISO 27001 A.8.8, PCI DSS 6.3 i DORA RTS w zakresie ryzyka ICT.
Tak, jeśli zmierzacie w tę stronę. Problemy z triage’em i wyjątkami pojawiają się długo przed wizytą audytora. Im wcześniej polityka zostanie jednoznacznie sformułowana, tym łatwiejszy będzie późniejszy audyt.
Tak. Wcześniejszy dostęp jest płatny, ze znaczącym rabatem względem cennika GA. Koszt omówimy na pierwszej rozmowie, nie wcześniej.
AllowGate jest budowane przez Opservio, spółkę zarejestrowaną w Polsce (UE). Mały zespół z silnym przekonaniem co do tego, jak powinien przebiegać proces priorytetyzacji i oceny zgłoszeń CVE. Rozmawiamy z 15-30 liderami bezpieczeństwa, żeby skonfrontować to zdanie, zanim pójdziemy dalej.
Jesteśmy obecnie w fazie rozmów z design partnerami. Wcześniejszy dostęp otwiera się po rozmowach z około 25 osobami. Daty obiecujemy tylko wtedy, gdy możemy ich dotrzymać.
Nie w fazie rozmów. Jeśli dołączysz do płatnego wcześniejszego dostępu, integracja jest dobrowolna, ograniczona zakresem i regulowana krótką umową pilotażową, którą zawieramy zanim jakiekolwiek dane zostaną przekazane.
Pomóż nam zbudować AllowGate jak należy.
Wolimy 15 konkretnych rozmów niż 50 powierzchownych. Jeśli triage CVE jest częścią Twojego tygodnia, chcielibyśmy Cię wysłuchać.
Tylko e-mail. Odpowiadamy w ciągu 1 tygodnia.