我们已经在2018RSA创新沙盒公司解读（一）和2018RSA创新沙盒公司解读（二）中分别对Acalvio Technologies&Awake Security和BluVector&BigID四家公司进行了揭秘，本文将探秘CyberGRX公司。《CyberGRX简介及技术解读》主要分析了The CyberGRX Exchange的工作流程及技术。

CyberGRX 是目前市场上第三方网络风险管理平台提供商之一，其团队提供的第三方网络风险管理平台，可以有效地识别、评估、减轻和监控整个合作伙伴生态系统中企业的风险敞口。通过自动化和高级分析，CyberGRX解决方案能够让企业协同工作，减轻来自供应商、合作伙伴和客户之间日益增加的相互依赖所带来的威胁。CyberGRX总部位于丹佛，公司的战略投资者包括阿莱格斯资本、Bessemer Venture Partners、百仕通、ClearSky、GV(前谷歌Ventures)、MassMutual Ventures、Rally Ventures和TenEleven Ventures等。

在融资方面，在2016年7月14日，该公司宣布获得了一笔 900 万美元的 A 轮融资，领投方是知名风投 Allegis Capital。此外，参与本轮融资的还包括 Blackstone、TenEleven Ventures、Rally Ventures、GV （前身是谷歌风投）、MassMutual Ventures、以及一批战略投资人。第二年于2017年4月18号，CyberGRX宣布从Bessemer Venture Partners (BVP)牵头的B系列融资中筹集了2000万美元。CyberGRX的首轮投资者也参与了这轮融资。CyberGRX利用这笔资金加速采用世界上第一个全球第三方网络风险管理(TPCRM)交换平台CyberGRX Exchange。该平台之前并未对外开放，仅允许 Aetna、Blackstone、MassMutual、以及其他一些行业领先的合作机构内部使用。

CyberGRX的产品定位于一个全球化的第三方网络安全风险评估情报交易平台，在这个平台上企业们可以像银行业一样将对供应商的安全风险评估工作外包给第三方服务商，而交易平台内的服务商之间能够共享供应商安全风险评估情报，这样企业就能快速识别哪些供应商的安全风险“超标”。这大大提高了企业对供应商进行安全风险评估的效率，同时对于广大供应商来说，加入一家企业的供应商名单再也无需经历漫长的安全审核流程。

供应商安全风险评估交易平台的概念其实并非Blackstone首创，早在2006年S&P就曾试图推出类似服务，但是没有成功，高盛和Moody’s在2015年也进行过安全标准方面的尝试，但是也没有下文。如果CyberGRX能够获得成功，则有望帮助企业节省数十亿美元的法律和合规成本，同时也能彻底解放企业的信息安全主管，而且对于泥沼中的网络安全保险市场来说也是一个重大利好消息。

The CyberGRX Exchange是一个全球性的网络风险信息交换平台，使企业和第三方能够无缝共享和访问第三方网络风险数据。CyberGRX的评估以结构化的方式收集数据，并以问答的形式组织调查流程，因此用户可以很容易地运行平台上的高级分析功能，进行风险优先级排序，持续监控、并形成风险缓解方案。在平台中的历史评估数据可被相关方立即使用，而未在平台中的评估，则会由平台发起、管理和进行结果收集。

图：The CyberGRX Exchange的工作流程

图： CyberGRX平台界面

The CyberGRX Exchange评估分为三层，包括高风险、中风险和低风险的供应商，每层都有不同的权限管控和风险判定流程。

黑石集团，总部位于美国纽约，是一家全球领先的另类资产管理和提供金融咨询服务的机构，同时也是全世界最大的独立另类资产管理机构之一和美国规模最大的上市投资管理公司，1985年由彼得·彼得森(Peter G. Peterson)和史蒂夫·施瓦茨曼(Steve Schwarzman)共同创建。

在2012年，黑石集团开始通过电子表格和电话来进行第三方风险评估，然而集团业务扩展迅速，几乎每个月都有4到6家新增的第三方合作厂家，黑石集团发现传统的电子表格和电话的方法不可维系。有这样的困扰的，并不仅仅只有黑石一家企业。在全球范围内，超过100家企业用户，随着大量第三方业务接入，并没有足够快速的风险管理手段去应对风险的增长。

CyberGRX的平台帮助黑石创建了一个更有效的第三方风险管理项目，让他们更深入地了解哪些风险需要被优先考虑以减轻风险。在CyberGRX的帮助下，黑石现在可以对其供应商进行风险排名，并进行适当的分级评估，并清楚地了解哪些第三方对他们构成了最大的风险。为了更好地理解哪些供应商需要关注，CyberGRX平台的高级分析功能帮助黑石梳理风险的优先级，使黑石能够与供应商和商业伙伴进行更有针对性的风险磋商。此外，一旦黑石的供应商完成评估并将其发布到CyberGRX交易平台，该评估结果就会对黑石的任何一个使用CyberGRX的投资组合公司开放。该交易模式将显著减少黑石集团和其投资对象之间的冗余和重复评估投入。

在与CyberGRX合作的第一年里，黑石评估的供应商数量达到了过去评估总量的五倍。CyberGRX平台极大的减少的了评估相关的资源投入，相关的评估预算从1FTE降低到0.5 FTE。同时，黑石的评估工作如今能够专注于风险管理、消除和缓解 ,而不是过度投入到乏味的电子表格与供应商电话。随着CyberGRX平台的启动和运行，黑石能够对其生态系统构成的威胁进行持续的洞察，而不会增加额外的开销。

“CyberGRX是我们的第三方网络风险管理计划的一个强有力的平台工具。在第一年，我预计我们将能够评估比去年评估的5倍多的供应商，并得以有效分配资源给真正的风险管理和缓解措施。”亚当·弗莱彻，黑石集团的CISO如是评价CyberGRX。