安全评级服务(SRS)是一项能够帮助企业对其庞大的第三方供应商存在的安全问题进行检测和评估的新技术。

现代企业面临着大量不同类型的安全威胁，包括向他们供货的第三方供应商的安全风险和安全缺陷。

开发这样一个能够帮助企业对第三方供应商进行安全识别及评估的产品是一项很有挑战性的工作。

——Security Scorecard CEO及联合创始人 Aleksandr Yampolskiy

在耶鲁大学获得密码学专业博士学位，并曾经在微软、甲骨文等大公司的IT部门工作的 Aleksandr Yampolskiy，在认识到他可以帮助企业解决多供应商安全风险问题后，于2013年创建了 Security Scorecard。

“让我日思夜想的是，我可以很好的控制自己公司内部的风险，但我并不知道我的供货商是否和我一样尽心尽力的去保护我的数据。”

总部设在纽约有60名员工的 Security Scorecard公司，在2015年获得了 Sequoia Capital 1250万美金的A轮融资。Security Scorecard 所做的是监控互联网上每个企业的百万级的信号和兆兆级别的数据。然后，按照Yampolskiy所说，Scorecard从局外人的角度对这些公司的安全进行评估。

SecurityScorecard近期发布了一个新的平台产品，企业使用这个平台就能够自动发现这个企业在使用的供货商。Yampolskiy说，大多数企业在从事经营过程中面对着不可预知的下游风险，因为他们并不总是知道他们的供货商使用的所有下一级供货商。

例如，一个机构与它的合作方有生意来往，合作方使用Dropbox存储相关数据， Slack进行通信，GitHub存储代码。如果任何一个合作方使用的工具（例如Dropbox，Slack或者Github）遭到黑客攻击，那么，这对于这个企业就是具有威胁性的。

“所以我们创造了一项能够自动挖掘与自己有合作关系公司的技术，并申请了专利，他们何以使用这个技术且不需要告诉我们他们是谁。”他说，“我们正在关注各种各样的能够向我们显示出公司使用特定第三方服务的信息踪迹。

SecurityScorecard使用多种技术去收集数据通知自动供货商检测（AVD）系统的引擎，Yamposkiy说，“已经收集的数据交给SecurityScorecard的机器学习算法去帮助改进精确度和冗余度，并且减少误报的风险。SecurityScorecard利用专利的爬虫和检索技术和一些开源工具，包括Elasticsearch”，他补充道，“Elasticsearch技术是基于Apache Lucene并且提供搜索能力。”

“展望未来”，Yampolsiy说，“SecurityScorecard持续扩张自己的能力并且正在为网络安全创造多样化的分析模型。我们正在对获取和侦查情报的新方法加倍投入。”

作者：Robin