網(wǎng)絡風險似乎往往很難量化，這使得保險公司很難適當?shù)爻斜Ｆ渚W(wǎng)絡風險政策。威脅載體的數(shù)量和不斷發(fā)展的威脅，如新型惡意軟件/勒索軟件，導致出現(xiàn)對適當定價的困惑。承保網(wǎng)絡風險政策的公司需要衡量指標，以幫助降低其投資組合中的風險。

為什么保險公司需要“注意缺口”？

隨著網(wǎng)絡風險的重要性不斷增加，公司現(xiàn)在認識到，傳統(tǒng)的商業(yè)一般責任(CGL)政策缺乏對這些新風險的覆蓋。認識到這一點，保險公司試圖利用專門的網(wǎng)絡風險政策。網(wǎng)絡風險政策充當“缺口”保險，在CGL和業(yè)務連續(xù)性政策中的排除限制投保人恢復的情況下提供保險。然而，保險公司......

例如，在最近的一次保險糾紛中，一家保險公司聲稱NotPetya攻擊是網(wǎng)絡戰(zhàn)，從而援引戰(zhàn)爭排除來限制保險。然而，即使包括了網(wǎng)絡風險政策的排除，網(wǎng)絡風險公司也需要知道投保人的控制是否應該有效地減少惡意軟件和勒索軟件威脅。

為什么公司難以承保網(wǎng)絡安全政策

網(wǎng)絡政策承保類似于上世紀90年代中后期的環(huán)境污染政策問題。正如沒有人能夠預測化學品泄漏將在何時以及如何發(fā)生一樣，也沒有人能夠預測惡意行為者將在何時以及如何試圖侵入公司的系統(tǒng)、網(wǎng)絡和軟件。然而，同樣類似于環(huán)境覆蓋，組織可以對其業(yè)務實踐和控制負責。

誰收集數(shù)據(jù)?

許多組織收集數(shù)據(jù)，但有時公司從別人那里購買或為別人管理數(shù)據(jù)。如果你的投保人不是收集信息的人，你需要了解是誰在收集信息，并了解他們在傳輸、存儲和收集信息方面的安全程度。

數(shù)據(jù)存儲在哪里?

與了解誰收集數(shù)據(jù)類似，你還需要知道信息存儲和傳輸?shù)奈恢?。用戶需要知道?shù)據(jù)是存儲在本地、云端還是數(shù)據(jù)中心。你甚至可能需要知道信息所在的區(qū)域。

如何保護數(shù)據(jù)?

即使你知道數(shù)據(jù)收集的“人”和“地點”，你仍然需要知道投保人及其供應鏈如何保護數(shù)據(jù)安全。供應流中的一個薄弱控制就可能導致數(shù)據(jù)泄露，保險公司必須根據(jù)其網(wǎng)絡風險政策進行承保。

建立承保網(wǎng)絡安全保險政策的指標

無論你的保險公司希望通過這些信息來確定一家公司是否值得投資，還是你的精算師正在努力評估你的網(wǎng)絡風險產(chǎn)品的財務風險，你都需要了解你的保險客戶如何保護他們的數(shù)據(jù)。

安全評級幫助保險公司更好地定價其網(wǎng)絡風險政策，以降低其投資組合中的風險。安全評級使用公開可用的信息，并評估由控制弱點引起的潛在數(shù)據(jù)泄露風險。網(wǎng)絡安全保險提供商可以使用安全評級來了解您的投保人及其供應流合作伙伴保護數(shù)據(jù)的方式，以便您可以根據(jù)指標編寫政策，而不僅僅是猜測。

安全評級提供了清晰的指標，幫助網(wǎng)絡風險保險公司分析投保人對業(yè)務的風險。就像保險公司在撰寫CGL或汽車政策前審查信用評級或個人駕駛歷史以獲取可操作的情報一樣，安全評級提供了關于投保人或潛在投保人的安全配置文件的信息。

Web應用風險

惡意行為者使用基于web的應用程序作為獲取未經(jīng)授權訪問用戶信息的方式。一些最常見的形式包括跨站腳本(XSS)、SQL注入和安全配置錯誤。安全評級平臺持續(xù)監(jiān)控互聯(lián)網(wǎng)的潛在控制弱點，增加了惡意行為者使用web應用程序訪問系統(tǒng)、網(wǎng)絡和服務的風險。當使用安全評級來降低承保風險時，低評級的潛在投保人有一些弱點，使他們更有可能遭遇數(shù)據(jù)泄露，并增加您提出索賠的可能性。

網(wǎng)絡安全風險

隨著組織將關鍵任務的業(yè)務操作轉(zhuǎn)移到云端，網(wǎng)絡安全變得更加重要。一個配置錯誤的云資源可能會對整個供應流造成嚴重破壞。安全評級有助于收集信息，例如使公司面臨數(shù)據(jù)泄露風險的令人討厭的錯誤配置S3存儲桶。網(wǎng)絡安全得分低意味著該公司對您的保險公司是一個增加的責任。

IP聲譽

惡意軟件和勒索軟件攻擊，如NotPetya攻擊，通過在后臺運行，看起來像常規(guī)程序來滲透到組織的基礎設施中。安全評級可以幫助識別其網(wǎng)絡被感染的潛在投保人。此外，由于安全評級不斷監(jiān)測這些類型的滲透，保險公司可以實時了解其投保人和潛在投保人的反惡意軟件和反勒索軟件保護的工作情況。公司越早發(fā)現(xiàn)潛在的惡意軟件或勒索軟件攻擊，公司經(jīng)歷的資金和停機時間就越少。知識產(chǎn)權聲譽類別的低安全評級意味著投保人面臨更大的風險，沒有很好地管理其控制。

補丁速度

許多公司缺乏財務資源來定期更新其IT資產(chǎn)。無論是舊筆記本電腦還是服務器，所有IT資產(chǎn)都需要使用最新的安全補丁進行更新。惡意攻擊者通過使用常見漏洞(CVE)和攻擊組織缺乏安全補丁更新來滲透到組織中。雖然30天是普遍接受的安全更新時間框架，但并不是所有組織都定期打補丁。如果你希望承保一家安全評級較低的公司來打補丁，你可能會增加保險公司的財務風險。

虹科網(wǎng)絡安全評級如何幫助網(wǎng)絡風險保險公司

虹科網(wǎng)絡安全評級持續(xù)監(jiān)控互聯(lián)網(wǎng)，攝取公開的信息，為確定一家公司是否值得冒風險提供必要的衡量標準。我們的分析和機器學習能力不斷更新，以便保險公司可以監(jiān)控其投資組合中的威脅。

我們的研究發(fā)現(xiàn)，評級為D或F的公司遭遇數(shù)據(jù)泄露的可能性是評級為A-C的公司的五倍。網(wǎng)絡安全政策承保人可以使用我們的評級來確定投保人或潛在投保人是否保持有效的控制。例如，如果一家評級為A的公司遭遇數(shù)據(jù)泄露，疏忽的可能性很低，這意味著政策可能會彌補他們的損失。然而，安全評級為D或F的投保人可能不會保持持續(xù)有效的控制，這可能表明保險問題。

虹科網(wǎng)絡安全評級不僅為組織的總體安全狀況提供信息，而且我們的平臺還為我們的十個因素提供個人安全評級。使用虹科網(wǎng)絡安全評級的網(wǎng)絡風險保險公司可以對個人控制弱點獲得可操作的洞察。例如，雖然一家公司的網(wǎng)絡安全評級可能是A，但其修補程序Cadence評級可能是D。網(wǎng)絡風險保險公司可以定期審查其投資組合，并使用虹科網(wǎng)絡安全評級平臺的補救建議向投保人提供可行的反饋。這些詳細的分析還可以幫助深入了解發(fā)生數(shù)據(jù)泄露索賠時的特定控制弱點。

最后，虹科網(wǎng)絡安全評級易于閱讀的安全評級使您的保險公司的所有成員都能夠了解承保潛在政策的內(nèi)在風險。承銷商可以很容易地看到一家公司的風險有多大，以及這些風險在哪里，從而實現(xiàn)更準確的定價。

虹科推薦

虹科網(wǎng)絡安全評級

虹科網(wǎng)絡安全評級是一個安全風險評估平臺，使企業(yè)能夠以非侵入和由外而內(nèi)的方式，對全球任何公司的安全風險進行即時評級、響應和持續(xù)監(jiān)測。

隨著數(shù)字化轉(zhuǎn)型的加速，云服務，IoT，越來越緊密的第三方供應商等，企業(yè)如果只關注自己組織內(nèi)部的安全遠遠不夠，越來越多的數(shù)據(jù)泄露/安全事件是由第三方供應鏈引起的。虹科網(wǎng)絡安全評級方案最全面的量化（A-F評分）企業(yè)自身及第三方供應鏈的網(wǎng)絡安全情況，獲得C、D或F評級的公司被入侵或面臨合規(guī)處罰的可能性比獲得A或B評級的公司高5倍。讓企業(yè)能夠?qū)崟r把握自身及第三方供應商的網(wǎng)絡安全健康情況，及時避免潛在網(wǎng)絡安全/數(shù)據(jù)泄露帶來對企業(yè)業(yè)務和信譽影響的風險。

該平臺使用可信的商業(yè)和開源威脅源以及非侵入性的數(shù)據(jù)收集方法，對全球成千上萬的組織的安全態(tài)勢進行定量評估和持續(xù)監(jiān)測。網(wǎng)絡安全評級提供十個不同風險因素評分的詳細報告：

應用安全、端點安全、CUBIT評分、DNS健康、黑客通訊、IP信譽、信息泄露、網(wǎng)絡安全、修補頻率、社會工程

虹科網(wǎng)絡安全評級為各行各業(yè)的大小型企業(yè)提供最準確、最透明、最全面的安全風險評級。

了解虹科網(wǎng)絡安全更多技術干貨/應用案例，歡迎前往【虹科網(wǎng)絡安全】官方網(wǎng)站：https://haocst.com/

聯(lián)系方式鏈接：https://tl-tx.dustess.com/SNt7XyP3X1

聯(lián)系我們|Tel：13533491614