2023年7月12日，Safe Security宣布收购CRQ(Cyber Risk Quantification)网络风险量化供厂商RiskLens，揭示出这一赛道中的暗流涌动。

这家总部位于硅谷的风险管理供应商表示，对RiskLens的收购将帮助CISO回答最高管理层、董事会成员或监管机构提出的有关风险的基本问题，而无需谈论产品或合规性。董事会和高级管理人员每天都会提出有关风险的问题，但回答这些问题的工作可能很困难，因为数据通常分布在风险管理和安全团队之间。

在Safe Security CEO Saket Modi看来，这次交易将使RiskLens通过Safe Security的自动化能力，从单点转向持续评估。

Safe Security表示，将通过购买RiskLens来帮助客户提高整个企业风险的可见性、管理和沟通。RiskLens是业界唯一的网络风险量化开放标准的创建者。

Modi说：“我们不知道是否还有任何其他平台能够提供这种价值。在网络安全风险量化和更广泛的风险管理市场方面，这绝对创造了一个超级能力和杀手级应用类别。”

2023年7月18日，Forrester发布了「The Forrester Wave™: Cyber Risk Quantification, Q3 2023」报告，分析了这一赛道的最新动态，并对比分析了其中的8个厂商，RiskLens在这一报告排名中脱颖而出，夺得了榜首位置。

Forrester的高级分析师Cody Scott表示，近10年来，CRQ网络风险量化主要集中在理论方法上，但在过去的五年里，由于CISO们面临着越来越大的压力来证明他们的安全投资的价值，使得CRQ开始转向了实际应用。将网络风险量化纳入广泛的威胁情报平台的收购，使得这一商业模式变得更加可行，Scott表示。

"在客户关注和行业兴趣方面，这是目前增长最快的市场之一"，Scott表示，"许多关键的参与者已经开始脱颖而出，证明CRQ不仅是一个可行的商业模式，而且对于他们的客户来说它取得了积极的成果。"

Cody Scott指出，历史上，网络风险量化更多地以合规性为导向，专注于帮助公司报告状态，而不是在决策过程中提供帮助。但由于与资产管理和漏洞管理能力的紧密集成，提供商今天可以使用预测分析来生成与特定安全漏洞利用相关的损失预期。

"CRQ从根本上改变了组织对风险管理的思考方式，以及他们从风险管理计划中获得的效益"，Scott说道。

在网络风险量化战略方面，Forrester将RiskLens的策略评为最佳，而Axio、ThreatConnect和Balbix分别在战略类别中获得第二、第三和第四高分。在当前产品优势方面，ThreatConnect在最高得分方面略胜RiskLens，而Axio、KPMG和Balbix分别在Forrester的排名中获得第三、第四和第五的位置。

Cody Scott表示，最成功的网络风险量化提供商可以对风险情景进行建模，并将其分解为具体的变量，同时还可以从多种不同的工具中提取数据，并为客户进行自动计算。网络风险量化工具必须追踪第三方数据的来源，并能够对不同类型的勒索软件攻击进行建模，以解决高管的关切。

未来，Scott预计网络风险咨询服务公司将采取更加以产品为导向的方式进行网络风险量化，同时GRC、ASM以及风险评级公司将首次进入这个领域。新增的网络风险量化功能将使GRC公司不再以合规为中心，同时允许ASM和风险评级公司利用已经收集的数据。

“终端用户的需求仍然是一个他们可以独立使用的产品，而无需持续的专业服务支持或参与以进行维护”，Scott表示。

• 强劲表现者：Balbix、Mastercard、KPMG
• 竞争者：X-Analytics
• 挑战者：Deloitte