网络保险发展的最大阻碍,如何开展风险评估?

随着数字化的进程,企业越来越重视无形资产,而这些资产又极其脆弱,在几分钟之内就可能被损坏或摧毁。网络保险成为了部分企业的选择,以应对这一难以掌控的风险。网络保险行业因此发展迅速,用了仅仅五年的时间,产业规模就超过170亿美元。但总体来说,目前网络保险的覆盖率并不高,尤其在中小规模的企业,尚有很大的市场空间,前景可谓美好。

QQ截图20181018145339

机遇与挑战并存,伴随网络风险的日益复杂,保险公司需要及时、准确的了解潜在客户当前的网络安全状况,并且能够对其网络保险费用做出可靠的预估。不幸的是,威胁的不断变化及越来越多的网络攻击事件使保费的预估变得更加困难。打个比方,当前的风险建模状态就像“试图利用犯罪嫌疑人的数量来计算盗窃造成的经济损失”。

风险评估环节亟待优化

当前,保险公司对投保企业所面临风险的掌握主要依靠调研问卷及第三方外部评级。众所周知,由保单申请企业填写的问卷通常很主观并可能有倾向性,而第三方外部的评级方法单一,测评结果也并不一定准确。这给保险公司的风险评估带来了极大的困难。

另一方面,“聪明”的企业及他们的安全服务商可通过人为的干预影响第三方外部评级机构,获取高于实际的评级:通过修改防火墙的规则,将所有的出站流量引致第三方蜜罐,并过滤来自这些第三方评级公司的入站扫描。这就导致了在承保过程中,保险公司无法了解保单申请企业的真实状况。并且所获取的评估结果也仅是在某一个时间段内的状况反馈。在网络威胁不断变化的今天,如果保险公司的评估过程仍然采用这样过时的方法,那么因承保政策所带来的隐患,可能会带来无法估量的损失。

在公共会计行业,当对公司进行财务审计(包括技术审查)时,没有人只依赖于管理层对问题的回答,必须通过强有力的验证确保获取的数据准确、控制到位。保险公司也应借鉴于此,将内部验证程序纳入承保过程。

由于风险无时无刻都在变化,并且考虑到人为因素,保险公司应将局限于某时间段的评估转向对潜在保单持有企业的持续评估。并且,为了平衡保费及风险,考虑到时效性及人力的投入,保险公司需要将更多的自动化引入到承保的过程中。在过去,完成一份大型的调查问卷(100-200个问题)是一个不小的工程,但问卷结果的客观与准确,确是无法保障的。此外,保险公司使用的第三方外部评级就像开车看后视镜一样,所有显示的数据都是历史数据,反应的都是过去的情况。

引入安全评级服务

一种解决当前问题的方法即“安全评级服务”,Gartner将其定义为,“为组织实体提供持续的、独立的、量化的安全分析和评级服务”。区别于传统的第三方外部评级,不依赖于调研问卷的反馈,不受制于人为因素的干预,通过大数据的方法对企业的安全状况进行综合评估。

保险公司可获取到潜在投保企业的安全评级(不需要入场评估及扫描,也不存在任何的系统入侵),除了评级外还可以详细的了解到投保企业在某个时间区间内受到网络攻击的状况及有哪些安全漏洞、高危端口,是否被植入了恶意代码等详细的情况。并且大量的企业评级数据可助于建立行业基线。在保单的承销过程中,保险公司可依据评级调整保费及政策。同时,保单持有企业的执行管理团队及董事会成员可以获取企业自身的评级,掌握企业所面临的网络风险情况。如今,很多信用卡向其持卡人提供连续的免费信用评分报告,亦是相同的逻辑。

在企业风险模型并不完善的今天,面临“聪明”的企业及安全服务供应商,“安全评级服务”给保险公司带来了更好的风险评估方法,保费与风险更加平衡,使保险公司从不必要的网络保险索赔中得以抽身。

“安全评级服务”从业企业概况

据统计,目前全球专业从事安全评级服务的企业近10家,最早成立的PREVALENT注册时间为2004年。其中,除了UpGuard及安全值外,全部企业均在美国注册。(UpGuard原为一家澳洲初创企业,后把总部搬到了旧金山;安全值为中国团队,总部在北京)。

目前,国内“安全评级服务”的市场认知度并不高,但随着网络环境及企业关系的复杂化,“安全评级服务”将大有可为,除了网络保险行业的应用外,在对企业供应商的风险管理,总部对分支机构的统一管理,政府对行业的监管等众多场景均能带来巨大的价值。

上一篇:libssh CVE-2018-10933 身份验证绕过漏洞分析报告

下一篇:亚信安全预警:大量恐吓勒索垃圾邮件来袭