網(wǎng)絡(luò)風(fēng)險(xiǎn)似乎往往很難量化,這使得保險(xiǎn)公司很難適當(dāng)?shù)爻斜F渚W(wǎng)絡(luò)風(fēng)險(xiǎn)政策。威脅載體的數(shù)量和不斷發(fā)展的威脅,如新型惡意軟件/勒索軟件,導(dǎo)致出現(xiàn)對適當(dāng)定價(jià)的困惑。承保網(wǎng)絡(luò)風(fēng)險(xiǎn)政策的公司需要衡量指標(biāo),以幫助降低其投資組合中的風(fēng)險(xiǎn)。
為什么保險(xiǎn)公司需要“注意缺口”?
隨著網(wǎng)絡(luò)風(fēng)險(xiǎn)的重要性不斷增加,公司現(xiàn)在認(rèn)識到,傳統(tǒng)的商業(yè)一般責(zé)任(CGL)政策缺乏對這些新風(fēng)險(xiǎn)的覆蓋。認(rèn)識到這一點(diǎn),保險(xiǎn)公司試圖利用專門的網(wǎng)絡(luò)風(fēng)險(xiǎn)政策。網(wǎng)絡(luò)風(fēng)險(xiǎn)政策充當(dāng)“缺口”保險(xiǎn),在CGL和業(yè)務(wù)連續(xù)性政策中的排除限制投保人恢復(fù)的情況下提供保險(xiǎn)。然而,保險(xiǎn)公司......
例如,在最近的一次保險(xiǎn)糾紛中,一家保險(xiǎn)公司聲稱NotPetya攻擊是網(wǎng)絡(luò)戰(zhàn),從而援引戰(zhàn)爭排除來限制保險(xiǎn)。然而,即使包括了網(wǎng)絡(luò)風(fēng)險(xiǎn)政策的排除,網(wǎng)絡(luò)風(fēng)險(xiǎn)公司也需要知道投保人的控制是否應(yīng)該有效地減少惡意軟件和勒索軟件威脅。
為什么公司難以承保網(wǎng)絡(luò)安全政策
網(wǎng)絡(luò)政策承保類似于上世紀(jì)90年代中后期的環(huán)境污染政策問題。正如沒有人能夠預(yù)測化學(xué)品泄漏將在何時(shí)以及如何發(fā)生一樣,也沒有人能夠預(yù)測惡意行為者將在何時(shí)以及如何試圖侵入公司的系統(tǒng)、網(wǎng)絡(luò)和軟件。然而,同樣類似于環(huán)境覆蓋,組織可以對其業(yè)務(wù)實(shí)踐和控制負(fù)責(zé)。
誰收集數(shù)據(jù)?
許多組織收集數(shù)據(jù),但有時(shí)公司從別人那里購買或?yàn)閯e人管理數(shù)據(jù)。如果你的投保人不是收集信息的人,你需要了解是誰在收集信息,并了解他們在傳輸、存儲和收集信息方面的安全程度。
數(shù)據(jù)存儲在哪里?
與了解誰收集數(shù)據(jù)類似,你還需要知道信息存儲和傳輸?shù)奈恢?。用戶需要知道?shù)據(jù)是存儲在本地、云端還是數(shù)據(jù)中心。你甚至可能需要知道信息所在的區(qū)域。
如何保護(hù)數(shù)據(jù)?
即使你知道數(shù)據(jù)收集的“人”和“地點(diǎn)”,你仍然需要知道投保人及其供應(yīng)鏈如何保護(hù)數(shù)據(jù)安全。供應(yīng)流中的一個(gè)薄弱控制就可能導(dǎo)致數(shù)據(jù)泄露,保險(xiǎn)公司必須根據(jù)其網(wǎng)絡(luò)風(fēng)險(xiǎn)政策進(jìn)行承保。
建立承保網(wǎng)絡(luò)安全保險(xiǎn)政策的指標(biāo)
無論你的保險(xiǎn)公司希望通過這些信息來確定一家公司是否值得投資,還是你的精算師正在努力評估你的網(wǎng)絡(luò)風(fēng)險(xiǎn)產(chǎn)品的財(cái)務(wù)風(fēng)險(xiǎn),你都需要了解你的保險(xiǎn)客戶如何保護(hù)他們的數(shù)據(jù)。
安全評級幫助保險(xiǎn)公司更好地定價(jià)其網(wǎng)絡(luò)風(fēng)險(xiǎn)政策,以降低其投資組合中的風(fēng)險(xiǎn)。安全評級使用公開可用的信息,并評估由控制弱點(diǎn)引起的潛在數(shù)據(jù)泄露風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全保險(xiǎn)提供商可以使用安全評級來了解您的投保人及其供應(yīng)流合作伙伴保護(hù)數(shù)據(jù)的方式,以便您可以根據(jù)指標(biāo)編寫政策,而不僅僅是猜測。
安全評級提供了清晰的指標(biāo),幫助網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)公司分析投保人對業(yè)務(wù)的風(fēng)險(xiǎn)。就像保險(xiǎn)公司在撰寫CGL或汽車政策前審查信用評級或個(gè)人駕駛歷史以獲取可操作的情報(bào)一樣,安全評級提供了關(guān)于投保人或潛在投保人的安全配置文件的信息。
Web應(yīng)用風(fēng)險(xiǎn)
惡意行為者使用基于web的應(yīng)用程序作為獲取未經(jīng)授權(quán)訪問用戶信息的方式。一些最常見的形式包括跨站腳本(XSS)、SQL注入和安全配置錯(cuò)誤。安全評級平臺持續(xù)監(jiān)控互聯(lián)網(wǎng)的潛在控制弱點(diǎn),增加了惡意行為者使用web應(yīng)用程序訪問系統(tǒng)、網(wǎng)絡(luò)和服務(wù)的風(fēng)險(xiǎn)。當(dāng)使用安全評級來降低承保風(fēng)險(xiǎn)時(shí),低評級的潛在投保人有一些弱點(diǎn),使他們更有可能遭遇數(shù)據(jù)泄露,并增加您提出索賠的可能性。
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
隨著組織將關(guān)鍵任務(wù)的業(yè)務(wù)操作轉(zhuǎn)移到云端,網(wǎng)絡(luò)安全變得更加重要。一個(gè)配置錯(cuò)誤的云資源可能會(huì)對整個(gè)供應(yīng)流造成嚴(yán)重破壞。安全評級有助于收集信息,例如使公司面臨數(shù)據(jù)泄露風(fēng)險(xiǎn)的令人討厭的錯(cuò)誤配置S3存儲桶。網(wǎng)絡(luò)安全得分低意味著該公司對您的保險(xiǎn)公司是一個(gè)增加的責(zé)任。
IP聲譽(yù)
惡意軟件和勒索軟件攻擊,如NotPetya攻擊,通過在后臺運(yùn)行,看起來像常規(guī)程序來滲透到組織的基礎(chǔ)設(shè)施中。安全評級可以幫助識別其網(wǎng)絡(luò)被感染的潛在投保人。此外,由于安全評級不斷監(jiān)測這些類型的滲透,保險(xiǎn)公司可以實(shí)時(shí)了解其投保人和潛在投保人的反惡意軟件和反勒索軟件保護(hù)的工作情況。公司越早發(fā)現(xiàn)潛在的惡意軟件或勒索軟件攻擊,公司經(jīng)歷的資金和停機(jī)時(shí)間就越少。知識產(chǎn)權(quán)聲譽(yù)類別的低安全評級意味著投保人面臨更大的風(fēng)險(xiǎn),沒有很好地管理其控制。
補(bǔ)丁速度
許多公司缺乏財(cái)務(wù)資源來定期更新其IT資產(chǎn)。無論是舊筆記本電腦還是服務(wù)器,所有IT資產(chǎn)都需要使用最新的安全補(bǔ)丁進(jìn)行更新。惡意攻擊者通過使用常見漏洞(CVE)和攻擊組織缺乏安全補(bǔ)丁更新來滲透到組織中。雖然30天是普遍接受的安全更新時(shí)間框架,但并不是所有組織都定期打補(bǔ)丁。如果你希望承保一家安全評級較低的公司來打補(bǔ)丁,你可能會(huì)增加保險(xiǎn)公司的財(cái)務(wù)風(fēng)險(xiǎn)。
虹科網(wǎng)絡(luò)安全評級如何幫助網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)公司
虹科網(wǎng)絡(luò)安全評級持續(xù)監(jiān)控互聯(lián)網(wǎng),攝取公開的信息,為確定一家公司是否值得冒風(fēng)險(xiǎn)提供必要的衡量標(biāo)準(zhǔn)。我們的分析和機(jī)器學(xué)習(xí)能力不斷更新,以便保險(xiǎn)公司可以監(jiān)控其投資組合中的威脅。
我們的研究發(fā)現(xiàn),評級為D或F的公司遭遇數(shù)據(jù)泄露的可能性是評級為A-C的公司的五倍。網(wǎng)絡(luò)安全政策承保人可以使用我們的評級來確定投保人或潛在投保人是否保持有效的控制。例如,如果一家評級為A的公司遭遇數(shù)據(jù)泄露,疏忽的可能性很低,這意味著政策可能會(huì)彌補(bǔ)他們的損失。然而,安全評級為D或F的投保人可能不會(huì)保持持續(xù)有效的控制,這可能表明保險(xiǎn)問題。
虹科網(wǎng)絡(luò)安全評級不僅為組織的總體安全狀況提供信息,而且我們的平臺還為我們的十個(gè)因素提供個(gè)人安全評級。使用虹科網(wǎng)絡(luò)安全評級的網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)公司可以對個(gè)人控制弱點(diǎn)獲得可操作的洞察。例如,雖然一家公司的網(wǎng)絡(luò)安全評級可能是A,但其修補(bǔ)程序Cadence評級可能是D。網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)公司可以定期審查其投資組合,并使用虹科網(wǎng)絡(luò)安全評級平臺的補(bǔ)救建議向投保人提供可行的反饋。這些詳細(xì)的分析還可以幫助深入了解發(fā)生數(shù)據(jù)泄露索賠時(shí)的特定控制弱點(diǎn)。
最后,虹科網(wǎng)絡(luò)安全評級易于閱讀的安全評級使您的保險(xiǎn)公司的所有成員都能夠了解承保潛在政策的內(nèi)在風(fēng)險(xiǎn)。承銷商可以很容易地看到一家公司的風(fēng)險(xiǎn)有多大,以及這些風(fēng)險(xiǎn)在哪里,從而實(shí)現(xiàn)更準(zhǔn)確的定價(jià)。
虹科推薦
虹科網(wǎng)絡(luò)安全評級
虹科網(wǎng)絡(luò)安全評級是一個(gè)安全風(fēng)險(xiǎn)評估平臺,使企業(yè)能夠以非侵入和由外而內(nèi)的方式,對全球任何公司的安全風(fēng)險(xiǎn)進(jìn)行即時(shí)評級、響應(yīng)和持續(xù)監(jiān)測。
隨著數(shù)字化轉(zhuǎn)型的加速,云服務(wù),IoT,越來越緊密的第三方供應(yīng)商等,企業(yè)如果只關(guān)注自己組織內(nèi)部的安全遠(yuǎn)遠(yuǎn)不夠,越來越多的數(shù)據(jù)泄露/安全事件是由第三方供應(yīng)鏈引起的。虹科網(wǎng)絡(luò)安全評級方案最全面的量化(A-F評分)企業(yè)自身及第三方供應(yīng)鏈的網(wǎng)絡(luò)安全情況,獲得C、D或F評級的公司被入侵或面臨合規(guī)處罰的可能性比獲得A或B評級的公司高5倍。讓企業(yè)能夠?qū)崟r(shí)把握自身及第三方供應(yīng)商的網(wǎng)絡(luò)安全健康情況,及時(shí)避免潛在網(wǎng)絡(luò)安全/數(shù)據(jù)泄露帶來對企業(yè)業(yè)務(wù)和信譽(yù)影響的風(fēng)險(xiǎn)。
該平臺使用可信的商業(yè)和開源威脅源以及非侵入性的數(shù)據(jù)收集方法,對全球成千上萬的組織的安全態(tài)勢進(jìn)行定量評估和持續(xù)監(jiān)測。網(wǎng)絡(luò)安全評級提供十個(gè)不同風(fēng)險(xiǎn)因素評分的詳細(xì)報(bào)告:
應(yīng)用安全、端點(diǎn)安全、CUBIT評分、DNS健康、黑客通訊、IP信譽(yù)、信息泄露、網(wǎng)絡(luò)安全、修補(bǔ)頻率、社會(huì)工程
虹科網(wǎng)絡(luò)安全評級為各行各業(yè)的大小型企業(yè)提供最準(zhǔn)確、最透明、最全面的安全風(fēng)險(xiǎn)評級。
了解虹科網(wǎng)絡(luò)安全更多技術(shù)干貨/應(yīng)用案例,歡迎前往【虹科網(wǎng)絡(luò)安全】官方網(wǎng)站:https://haocst.com/
聯(lián)系方式鏈接:https://tl-tx.dustess.com/SNt7XyP3X1
聯(lián)系我們|Tel:13533491614