根據金融市場分析公司惠譽評級(Fitch Ratings)的資料,從2017年到2022年,網路保險費的成本增加了178%,僅2022年就同比增長了51%。 惠譽表示,由於利潤率和競爭影響定價,預計未來幾個季度成本將下降,客戶通過改進網路安全措施或放棄網路保險作為其風險管理策略的一部分來適應自己的情況。 對於一些高風險組織來說,成本已經變得非常昂貴,而對於其他組織來說,他們可能無法做出決定,因為保險公司直接拒絕承保他們。 還有一些人可能會發現某些保險不再可用。 這是倫敦勞合社(Lloyd's'S of London),當時該公司宣布將要求其保險公司排除與國家支援的網路攻擊相關的損害賠償。
網路保險的這些發展可能會讓客戶感到沮喪,但作為在高度波動的市場中相對較新的保險產品成熟的一部分,它們是可以預期的。 隨著威脅行為者變得越來越複雜和咄咄逼人,承銷商已經吸取了慘痛的教訓,迫使他們通過提供旨在提高安全性的指導,在客戶的風險管理中發揮更積極的諮詢作用。 正如大型再保險公司慕尼黑再保險(Munich Re)北美網路解決方案負責人羅伯特·帕里西(Robert Parisi)告訴《華爾街》**,“承保業務正在積極轉向'我們如何才能獲得更深入、更有見地的觀察'。 ”
例如,保險公司Marsh McLennan Agency列出了該公司提供的12項安全控制措施,以幫助其客戶制定網路安全政策,包括警告未能提供前五項控制措施的證據可能會導致保險資格被取消。 另一方面,採用並有效使用所有 12 種方法不僅可以改善組織的整體風險狀況,而且很可能會降低網路保險成本。 達信報告稱,通過採用並記錄其建議的控制措施,儘管同行支付的費用較高,但14%的客戶在過去一年中享受了較低的保費。
對於好奇的人來說,這十二個控制項包括:
用於遠端訪問和管理的多重身份驗證 (MFA) 特權控制 端點檢測和響應 (EDR) 安全、加密和測試的備份 特權訪問管理 (PAM) 電子郵件過濾和網路安全補丁管理和漏洞管理 網路事件響應計畫和測試網路安全意識培訓和網路釣魚測試強化技術,包括遠端桌面協議 (RDP) 緩解 日誌記錄和監控 網路防護: 報廢系統的更換或保護 數字鏈風險管理 一般來說,此列表中的控制措施代表了出色的深度防禦,應該成為每個安全策略的一部分。投資於網路安全和風險管理不僅可以降低網路保險費,還可以最大限度地降低代價高昂的資料洩露風險,這在商業上很有意義。 但是,隨著威脅的增加以及典型企業技術資產的日益複雜和動態組合,這項任務說起來容易做起來難。
向前一步或後退一步
實現這一目標的一大步必須是在整個網路中獲得完整的資產可見性。 如今,首席資訊保安官們普遍感到遺憾的是,他們有責任保護與業務相關並在業務中執行的每一項資產,無論他們是否知道自己的存在。 詳細資訊有助於解決安全漏洞。 例如,如果裝置在 IT 運營檢視之外執行,您如何知道裝置是否已達到其生命週期的終點? 如何在不知道已連線到網路的系統上執行補丁和漏洞管理? 如果易受攻擊的資產在陰影中運作,您如何細分它?
當今 IT 和安全運營管理的殘酷事實是,虛擬服務、物聯網 (IoT) 和移動裝置以及運營技術 (OT) 是 IT 行業的常見現象。 這些資產中多達 20% 對 CISO 是不可見的,其中任何乙個都可能是攻擊媒介或威脅參與者到達目標目的地的路徑中的乙個步驟。 因此,其中任何乙個都下落不明,並且失去了檢測、預防或遏制正在進行的攻擊的機會。
因此,第13項控制措施(全面的IT資產可見性)應被新增到達信列表中。 由於您無法保護看不見的東西,因此投資能夠在整個網路中實現實時資產可見性的工具對於最大限度地提高安全性、最大限度地降低風險以及保護您的企業免受勒索軟體等威脅至關重要。 除了提供可見性和控制力的證明之外,降低網路保險費將是錦上添花。