当前网络威胁形势及网络保险的挑战

关键要点

• 网络攻击、尤其是勒索软件袭击的增加，给企业和网络保险公司带来了严峻挑战。
• 网络保险提供商已提高保费并增强审查流程，企业因此面临更高的保险成本和更低的保障。
• 企业应积极展示其网络安全控制的有效性，以便获得保险覆盖、降低保费。

如今网络威胁形势严峻，尤其是勒索软件攻击的激增，给企业及其网络保险公司带来了重大挑战。近年来，由于索赔数量超过预期，保险政策变得不再盈利，网络保险提供商纷纷提高保费，有些甚至达到了两倍或三倍的幅度，同时缩减保险限额、加强审核流程等，导致安全和风险管理人员面临巨大的压力。

根据风险管理协会的评估，“到2022年，网络保险成为商业和政府组织的高层问题。风险管理人员感到幸运的是，如果他们能够续保网络保险、保持现有保障并将保费上涨控制在50%以下。”

网络保险公司需了解的事项

由于存在各种风险，许多网络保险申请表相对表面化。为了简化申请审查，大多数申请都只提问一些关于安全控制是否存在的“是或否”问题。有的申请表允许申请者提供更多的背景信息，但大部分申请并不考虑风险或控制的变化。那么，申请表上未提问的问题呢？大多数申请没有询问商业是否符合特定安全框架（如NIST）或公司是否采取/如何利用第三方威胁情报来主动防御新出现的威胁。

虽然申请者与保险提供者之间会有后续的对话来审查申请，以及某种标准评估或甚至渗透测试，但这些评估工具都有明显局限性，最好情况下，它们的结果仅代表一个时间点，而非持续的准备状态。在缺乏证明申请者的安全控制有效、配置正确且始终经过验证的情况下，保险商往往会根据申请者的二元回答做出覆盖决策和定价，采用基于整个行业平均水平的一刀切公式。

最终，确保保险提供者根据申请者实际安全控制能力和抵御攻击能力做出保险决策，是申请者的责任。

以下是企业需要确保网络保险公司了解的关于公司网络安全计划的四个关键领域：

关键领域 | 详情
—|—
安全控制级别 | 保险商需要了解现有控制的有效性及其配置是否正确，而不仅仅是列出所使用的控制工具。
抵御真实攻击的能力 | 展示公司IT环境能够成功拦截真实攻击为申请者提供了谈判成本的有力证据。
终端检测和响应及防火墙的有效性 | 展示申请者的终端检测和响应（EDR）及防火墙技术在抵御先进威胁方面的有效性，能让保险公司感到安心。
对新兴威胁的主动防御 | 及时应对和缓解新兴威胁不仅减少组织受害的可能性，还为保险提供者提供了额外的安全保障。

如今，企业期望其网络保险政策覆盖网络赎金、品牌声誉风险、罚款及来自数字供应链的第三方责任风险。为了获得合理的保障，首席信息安全官（CISO）需要向保险提供者验证并记录其安全控制的有效性以及公司的恢复能力。

实现持续安全验证（CSV），一种利用安全工具和技术结合攻击者的战术、技术与程序（TTP）的自动化方法，可以帮助实现这一目标。通过在生产环境中进行真实的攻击场景测试，安全团队可以验证控制措施是否到位、配置正确以及按预期工作。

展示公司网络韧性的有力证据可以帮助申请者获得保险覆盖，甚至可能进一步拉伸公司的预算。虽然每个环境有所不同，但一些公司据称通过安全控制验证将保费降低了15%-20%。

实施强大的安全控制并持续测试其有效性的公司应该能够从中受益，反过来，网络保险公司也能够信任所投保公司的风险。这是一种互惠互利的局面。

Avishai Avivi，SafeBreach首席信息安全官