收藏 分销(赏)

网络安全保险科技白皮书.pdf

上传人:宇*** 文档编号:3734185 上传时间:2024-07-16 格式:PDF 页数:37 大小:5.07MB 下载积分:10 金币
下载 相关 举报
网络安全保险科技白皮书.pdf_第1页
第1页 / 共37页
网络安全保险科技白皮书.pdf_第2页
第2页 / 共37页


点击查看更多>>
资源描述
Research Finding第一章 全球网络安全保险发展现状第二章 网络安全保险多元市场需求第三章 科技助推多产业深度融合第四章 科技智绘网络安全保险新业态第五章 网络安全保险科技发展建议附录 网络安全保险科技企业生态 参考文献概念界定网络安全保险科技模型网络安全保险科技图谱1.1 1.22.1 2.22.32.4产业发展:风险与破局网络政策培育:加快试点探索网络安全保险的需求本质 风险视角下的行业需求商业视角下的场景需求 保险视角下的产品需求产业融合发展形态产业链及厂商生态现状产业融合发展挑战3.13.23.34.14.25.15.25.35.4全球范围内的创新探索网络安全保险前沿科技应用加强宣传推介力度推动数据要素流动落实行业标准规范提升产业链路能力0101040508111215171823232527303031310105111825303234目录CONTENTS目前,业内将“网络安全保险”(Cyber Security Insurance)定义为:保险人承保投保人因网络安全事件造成的经济损失或应承担的法律赔偿责任的保险。然而,针对网络安全保险科技,国内外尚未形成明确的概念界定,一定程度上影响了这一产业的发展。本报告尝试首次定义“网络安全保险科技”,为网络安全保险产业的发展创新与变革奠定理论基础。网络安全保险科技(Cybersecurity Insurance Technology;InsurTech):技术创新在网络安全保险产业发展及其与网络安全产业融合中的应用,将衍生新的模式、业务、流程与产品。网络安全保险科技服务是面向投保人/保险公司/保险经纪公司,由第三方基于数据搜集、清洗整合,人工智能、云原生等技术创新应用,将保险与技术、风险工程和安全响应服务相结合,映射在投保、承保、理赔等保险环节,旨在通过科技融合保险业态与网络安全业态,以网络安全保险科技服务加强企业网络安全弹性。概 念 界 定Research Finding网络安全问题不同于传统工程问题,由于风险的变化性与规则的难以界定,网络安全领域的一大挑战在于缺少数据和模型来表述变量、制定策略。当前,围绕网络安全风险控制与管理,业界基于闭环控制、主动防御的动态安全理念,先后提出了 P2DR、P2DR2、IPDRR 等多种动态风险模型。P2DR 模型是由美国 ISS 公司提出的动态网络安全体系的代表模型,其包括 Policy(安全策略)、Protection(防护)、Detection(检测)和 Response(响应)。P2DR2 模型同样以安全策略(policy)为中心,构造多层次、全方位和立体的区域网络安全环境。其包括Policy(安全策略)、Protection(防护)、Detection(检测)、Response(响应)和 Recovery(恢复)。IPDRR 模型 来自美国国家标准与技术研究所(National Institute of Standards and Technology;NIST)制定的 Cybersecurity Framework 的核心内容,包括 Identify(风险识别)、Protect(安全防御)、Detect(安全检测)、Respond(安全响应)和 Recover(安全恢复)。通过对上述 3 个主要的网络安全模型的拆解,可以发现基本涵盖了安全策略、风险识别、安全防御、安全检测、安全响应及安全恢复 6 大模型因子。相关模型因子与网络安全保险相关配套服务能力进行绞合,进而可以形成一个新型的“网络安全保险科技模型”(InsurTech-PIPDR2),从而推动网络安全保险能够相对无感知地嵌入企业网络安全建设各个部分。网 络 安 全 保 险 科 技 模 型Cyber Security Insurtech White Paper2022 网络安全保险科技白皮书01风险识别与评估。确定业务优先级、梳理风险、影响评估、安全资源优先级划分保证业务连续性。在受到攻击时,限制其对业务产生的影响。主要为人为干预前的自动化保护措施在攻击产生时即时监测,同时监控业务和保护措施是否正常运行实时监测扫描潜在风险与攻击行为基于风险评估报告,制定整改建议,并针对保险风险进行承保,限制风险对业务产生的影响风险识别与评估。确定业务优先级、梳理风险、影响评估、安全资源优先级划分借助安全产品、技术、培训等举措预防安全事件的发生检测和监控网络系统,发现新的威胁和弱点,通过循环反馈来及时做出有效的响应。当攻击者穿透防护系统时,检测功能将与防护系统形成互补制定保险风险策略梳理企业残余安全风险安全策略(Policy)风险识别(Identify)安全防御(Protection/Protect)安全检测(Detection/Detect)表 0-1 网络安全保险科技模型与网络安全模型的交叉对比模型因子P2DR 模型P2DR2 模型IPDRR 模型网络安全保险科技模型 InsurTech-PIPDR2恢复系统、再现攻击行为恢复系统和修复漏洞,并进行预防和修复出险理赔安全恢复(Recover)事件调查、评估损害、收集证据、报告事件和恢复系统风险响应与处置紧急响应和恢复处理(系统恢复和信息恢复)在安全策略指导下,通过动态调整访问控制系统的控制规则,发现并及时截断可疑链接、杜绝可疑后门和漏洞,启动相关报警信息安全响应(Response/Respond)从企业网络安全建设的角度来看,网络安全保险科技模型可以与大多数企业网络安全防御体系进行有效适配,并在运营过程中实现持续改进。Cyber Security Insurtech White Paper2022 网络安全保险科技白皮书02在安全策略阶段,企业设计顶层网络安全策略、制定网络安全计划时,可以将网络安全保险作为风险转移的重要举措,纳入网络安全计划,并在规划年度网络安全预算时,将网络安全保险作为拟采购的安全服务考虑其中。在风险识别阶段,基于企业已部署的漏洞扫描、资产测绘等网络安全设备/技术,网络安全保险科技服务提供的风险识别与评估能力将从网络安全保险的视角,对残余安全风险进行二次筛查,梳理出可保险风险(尚未发生的或使保险对象遭受损失的风险,通过企业网络安全体系建设、网络安全设备和现有的安全举措暂时无法完全覆盖或解决的风险,安全投入产出性价比低的风险,即被视为可通过保险方式转移的保险风险范畴),进而将风险评估结果通过量化、定级等方式,转化为核保依据与定价参考。在安全防御阶段,基于风险评估结果,协助企业制定整改建议,从而对企业面临的可控风险进行事前主动干预,通过安全产品、技术、培训等举措预降低企业出险概率。在安全检测阶段,通过实时风险监测系统重点监测承保范围内的网络安全风险,不仅可以进一步加强企业的风险发现能力,使其成为企业风险监测系统中的重要组成部分,还将为后续理赔阶段提供取证支撑。在安全响应阶段,围绕承保风险,企业可依托于网络安全保险科技服务,借助第三方安全力量实现对安全事件的快速响应,开展事件调查、损害评估、取证报告等工作,从而为下一阶段的理赔提供参考基础。在安全恢复阶段,企业可基于溯源调查结果,通过其原有的安全技术及能力进行系统恢复和漏洞修复,并优化安全运营。此外,依托于网络安全保险科技的配套理赔服务,保险公司能够快速完成保险义务,赔偿投保企业的直接经济损失、第三方责任赔偿及备份/数据恢复等所产生的费用,帮助企业在收敛风险的同时成功完成风险转移。Cyber Security Insurtech White Paper2022 网络安全保险科技白皮书03图 0-1 网络安全保险流程在企业网络安全建设体系中的呈现网络安全保险科技图谱立足于“保险+安全+科技”的新型服务模式,网络安全保险科技企业则围绕风险宇宙、数据科学及技术应用三个方向构建科技实践体系。这也是网络安全保险有别于传统财产险的主要方面。网 络 安 全 保 险 科 技 图 谱Cyber Security Insurtech White Paper2022 网络安全保险科技白皮书04图 0-2 网络安全保险科技图谱网络安全保险作为一项投保险种,早在 20 世纪 90 年代就伴随着 IT 网络的发展及安全风险的再配置与转移而诞生。经过 20 余年全球数字化经济市场发展、网络技术更迭,网络安全保险已经成为数字市场经济条件下重要的风险管理和风险转移手段。目前,囿于全球 IT 网络发展的起步时间不一、发展进程不对称,网络安全保险在各国各地区存在不同的市场成熟度与社会普遍接受度。其中,我国在网络安全保险行业正处于发展前期,并开始进入风口阶段。与此同时,借助科技手段,跨行业、跨领域开展网络安全保险,成为保险行业发展的又一市场增长点,有潜力挖掘一个千亿乃至万亿级的蓝海市场。全球网络安全保险发展现状PART1风险是驱动企业投保的首要动力。企业在经营过程中,会面临内部风险和外部风险,前者包括战略风险、财务风险、运营风险、操作风险,后者包括法律合规风险、技术风险、市场风险、产业风险等。若要保证企业网络安全,就要将企业可能存在的人为、系统安全、操作风险等多重运营风险及法律合规风险降低到可控的范围之内。随着网络攻击、网络安全违规事件的频繁发生,企业为维护正常经营,除加强自身防火墙、加密与认证、网络入侵检测等安全基础设施建设之外,从成本收益优化的目的出发,也会购买网络安全保险进行增强防护。可以说,安全基础设施建设是风险缓解的主要措施,而网络安全保险是风险转移的最佳选择,两者的结合成为企业安全最高效的投资组合。保险层面,以往其他财产保险的承保范围越来越无法全面、有针对性地保护企业免受网络风险侵害。为减少网络风险带来的巨额攻击损失和合规成本,网络安全保险应运而生。从网络安全保险推出至今,投保规模随着网络技术的飞速发展而不断增长。据 Research And Markets 发布的2022 年全球网络安全保险市场报告显示,2021 年网络安全保险市场规模为 92.9 亿美元,2022 年约为 119 亿美元,预计到 2027 年将达到 292 亿美元,年复合年增长率 19.47%,体现出巨大的市场需求和发展空间。可以预见,随着万物互联、IT 劳动力短缺,全球网络安全保险市场规模将进一步爆发。(1)网络安全保险产业发展历程在过去 30 年时间里,全球的网络安全保险产业发展经历了起步、逐步发展和快速上升三个阶段。20 世纪 90 年代,全球网络安全保险进入萌芽阶段,保险公司和安全企业的合作模式初步确立。在发展初期,网络安全保险的主要模式是通过保险为安全公司的服务增信,同时为用户提供涵盖保险服务的全面风险管理解决方案。在这个时期,保险的承保范围仅涵盖对第一方损失(企业自身经营风险)的保障,主要存在投保企业获客渠道受限,风险分散能力、量化能力薄弱,客户网络安全风险意识淡薄和法律法规缺失等问题。1.1 产业发展:风险与破局Cyber Security Insurtech White Paper2022 网络安全保险科技白皮书0521 世纪 10 年代,网络安全保险进入初步探索阶段。随着企业合规要求的提高以及企业风险意识的提升,网络安全保险产品也逐渐完善优化。一方面,合规政策推动了网络安全的发展。一系列网络安全法律法规的出台和监管政策的强化执行,使网络安全保险的投保需求得到释放。保险公司也推出综合险的产品,将第一方损失和第三方损失均纳入了承保范围。另一方面,企业的安全意识也在逐步提高。在网络安全事件频发、经济损失持续攀升的背景下,企业对网络安全风险防御的逐渐重视驱动企业进行投保。在这个阶段,行业发展更多地面向企业的风险管控需求,将保险服务和专业技术手段结合起来,实现对全流程风险敞口的管控。2013 年至今,全球的网络安全保险进入快速上升阶段。欧盟通用数据保护条例(General Data Protection Regulation,简称“GDPR”)的生效进一步强化了数据主权的保护、加大了行政处罚的力度,并且拉动了网络安全保险需求。同时,第三方风险管理技术服务机构开始出现,保险科技公司和网络安全公司崭露头角,围绕风险量化、保险定价、合作模式等问题进行重点发展。其中,保险科技公司负责数据收集分析、差异化保险定价、风险源头全面监控,网络安全公司负责通过漏洞扫描、威胁发现,利用专业手段协助客户方抵御安全风险。在保险服务和网络安全科技的融合助推下,网络安全保险的核保、承保可靠性提高,投保需求持续上涨,推动我国网络安全保险市场向更高水平开放、促进保险与科技双向赋能。(2)国内外网络安全保险主要市场欧美市场:欧美的网络安全保险市场起步较早,目前发展较为成熟。美国是网络安全保险的最大市场,占全球份额的 90%以上;欧洲的网络安全保险市场虽然起步比美国晚,但近几年网络安全事故的频发,也加快了欧洲网络安全保险发展与成熟的脚步。美国方面,2021 年 5 月,美国政府问责局发布了保险经纪公司达信(Marsh)的数据,显示各行业客户购买网络保险的比例从 2016 年的 26%上升到2020 年的 47%。此外,2022 年第一季度,美国保险的网络定价上涨了 110%,索赔活动的频率和严重程度的提高大大拉动了价格的上涨,超过 60%的保险客户采取了更高的留存率来帮助抵消保费影响。网络安全保险公司也重点关注公司的风险控制环境和网络安全成熟度从而决定是否承保。欧洲方面,数据提供商 Statista 预测其网络保险市场在 2020 年至 2030 年间将呈指数级增长,在 2020 年至 2025年间规模翻一番,年平均增长率约为 20%。Cyber Security Insurtech White Paper2022 网络安全保险科技白皮书06Cyber Security Insurtech White Paper2022 网络安全保险科技白皮书07总的来说,目前欧美网络安全保险市场呈现出法律法规促进投保需求释放、专业机构指导网络安全保险规范发展、产业主体合作探索网络安全保险发展路径的特点。首先,立法层面的引导和监管拉动了网络安全投保需求。从发展驱动因素来看,全球已有超过 15个国家和地区发布了超一百部的网络和数据安全相关法案,包括美国计算机欺诈和滥用法消费者数据保护法统一个人数据保护法、欧盟通用数据保护条例网络安全法案数据治理法案数据服务法案数据市场法案、德国联邦个人信息保护法联邦数据保护法IT 安全法、英国国家网络安全战略 2022-2030、法国法国国家数字安全战略在内的法律法规陆续出台和完善,强化了各国的行业监管。巨额罚款乃至刑事处罚的威慑撬动了企业的网络安全合规需求。以 GDPR 为例,截至目前为止罚款总额已超过 16 亿欧元,单次最大罚款达 7 亿欧元之多。因此,除加强自身网络基础设施建设外,企业也将目光投向了能够抵御法律合规风险的网络安全保险上来,激发了网络安全保险市场活力。其次,政府部门联合行业协会等组织建立产业规范,开展网络安全保险政策研究,强化风险应对能力。例如,美国纽约州金融服务部发布网络保险风险框架,提出网络安全保险的七步流程,为保险公司业务的开展提供指南。欧洲保险和职业养老金管理局制定“网络承保战略”,指明网络风险监管优先事项,并鼓励优秀产业实践应用推广。德国保险协会也为中小企业制定了标准化网络安全保险保单模板,目前已被国内约 50%的保险公司采用。第三,产业主体合力探索,推动网络安全保险发展。一是明确承保范围、引领市场规范化发展。例如,欧洲保险公司劳合社于 2016 年发布劳合社网络攻击风险应对战略,要求旗下保险公司明确网络安全承保范围,促进市场规范化发展。二是促进数据共享、优化保险模型。欧洲保险和职业养老金管理局于 2021 年发布开放式保险:访问和共享保险相关数据一文,提倡建立“健全的开放式保险框架”、开放访问及共享保险数据,扩大网络保险保费数据获取途径。另外,伦敦大学学院教授亨利斯科奇(Henry RK Skeoch)在 IT 安全技术领域期刊Computers&Security上发表文章称可以基于戈登-洛布(Gordon-Loeb)模型构造竞争性网络安全和投资决策的 GL-CI 保险模型,以便更科学地确定保险索赔概率。三是探索创新发展模式、发挥人工智能等技术优势。例如利用 AI 技术强化分析能力,生成实时监测图景,提高决策的速度和准确性;以及实现常规风险的选择、定价和欺诈检测自动化,从而降低赔付率与恢复费用。中国市场:我国网络安全保险产业起步较晚,存在企业投保需求受众还需进一步激活、保险公司风险把控能力还需提升、网络安防技术尚待与保险评估定损流程相匹配等问题。然而,伴随着网络安全系列法律法规的实施落地、重要行业领域网络安全顶层设计的密集出台,我国网络安全保险产业已迎来发展机遇期。根据中国工业信息安全发展研究中心基于头部财产保险公司网络安全保险保费数据以及行业集中率测算,2021 年我国网络安全险保费规模达到 7080 万元,最高保额超 4 亿元,较上一年增长 3.2 倍以上,呈现高速增长的态势。目前我国网络安全保险市场具有发展环境持续优化、保险业与网络安全产业主体融合探索、网络安全风险投保需求逐渐上升的特点。一是网络安全保险受到政府部门的高度关注。国家层面,网络安全法数据安全法个人信息保护法陆续颁布实施,使我国网络安全法律体系框架基本搭建完成;行业主管部门层面,围绕政策制定、产品开发、服务模式创新等方面进行了积极探索与规则细化(详见“1.2 政策培育:加快试点探索”表格 1-1)。二是保险公司开始网络安全保险“本土化”尝试,开发多种网络安全保险产品,与网络安全科技企业融合发展。例如,众安网络安全保险面向不同行业、场景的差异化网络安全风险管理需求,推出了不同层次的网络安全保险产品矩阵,服务各体量类型客户的投保需求;同时,为企业提供基于保险的主动我国的网络安全保险产业呈现出起步晚、发展快的特点。产业的快速发展不仅源于需求侧的增长,也得益于相关政策的引导培育。“国民经济和社会发展十四五规划和 2035 年远景目标纲要”提出,要壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业,催生新产业新业态新模式。2022开年之际,我国监管部门先后发布银行保险机构信息科技外包风险监管办法金融科技发展规划(2022-2025 年)关于银行业保险业数字化转型的指导意见金融标准化“十四五”发展规划安全合规、主动风险管理、主动安全运营的一站式服务,助力企业在数字经济时代提升数字化资产安全防护水平和风险对抗能力。三是数字化转型深入推进,网络风险的防护意识不断提升。随着网络安全保险的落地案例逐渐增多,一些重点行业的投保需求逐步提高。例如易遭受网络攻击的金融、制造业企业,关键信息基础设施运营单位,外资、合资或具备海外业务的中资企业,为了规避网络攻击造成的巨大经济损失风险、寻求风险转移,都将有越来越强烈的网络安全保险购买意愿。等一系列文件,明确了保险数字化转型的目标和任务,为保险创新发展提供坚实的政策基础,促进保险服务进入数字化新周期。与此同时,聚焦试点探索起步、政府规范引导、相关标准出台、安全即服务趋势加强等发展特点,为更好地保障企业的网络安全、推进网络安全保险规范运营、夯实网络安全保险保障工作基础,各相关部门也在上述政策的指导下,接连出台了一系列关于网络安全保险的指引性文件。1.2 政策培育:加快试点探索表 1-1 近年来我国政府部门发布的部分网络安全保险相关政策及文件发布时间部 门文 件内 容2022 年 7 月中国银保监会、上海人民政府关于印发中国(上海)自由贸易试验区临港新片区科技保险创新引领区工作方案的通知鼓励保险机构加强与网络安全领域科技企业的合作,创新网络安全保险服务模式,促进网络安全产业与保险业共赢发展,为企业提供安全、可靠的网络环境。提倡发展“保障+风控+服务”三位一体的新型网络安全保险,集保险与网络安全企业合力,为企业研发综合性的保险解决方案。Cyber Security Insurtech White Paper2022 网络安全保险科技白皮书08表 1-1 近年来我国政府部门发布的部分网络安全保险相关政策及文件发布时间部 门文 件内 容1)推进安全服务化布局,倡导“安全即服务”理念,鼓励企业设立安全运营服务中心,由提供产品向提供服务和解决方案转变。引导党政部门和重点企事业单位提升网络安全服务采购比例。2)培育面向网络安全领域的商业保险技术、产品、管理和服务创新能力,构建覆盖多层面的保险服务机制,培育事前预防、事中防护、事后补偿的全周期网络安全保险服务保障模式。1)应强化产融合作机制建设,探索开展网络安全保险,加快网络安全保险政策引导和标准制定,强化网络安全风险应对能力。2)面向电信和互联网、工业互联网、车联网等领域,开展网络安全保险服务试点。共 5 章 83 条,包括总则、基本业务规则、特别业务规则、监督管理和附则。重点内容包括:一是厘清互联网保险业务的适用和衔接政策;二是规定互联网保险业务经营要求;三是规范互联网保险营销宣传;四是规范互联网保险售后服务;五是按经营主体分类监管,规定“特殊业务规则”;六是完善监管政策和制度措施,做好政策实施过渡安排。支持财产保险公司制定数字化转型战略,加大科技投入和智力支持,打造具备科技赋能优势的现代保险企业。鼓励财产保险公司利用大数据、云计算、区块链、人工智能等科技手段,对传统保险操作流程进行更新再造,提高数字化、线上化、智能化建设水平。探索开展网络安全保险。研究网络安全保险相关政策和标准规范,共同培育市场,试点先行,构建“保险+风险管控+服务”模式,提升网络安全社会治理能力。关于落实网络安全保护重点措施 深入实施网络安全等级保护制度的指导意见上海市建设网络安全产业创新高地行动计划(2021-2023 年)网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)/推动财产保险业高质量发展三年行动方案(20202022 年)关于促进网络安全产业发展的指导意见(征求意见稿)互联网保险业务监管办法成立网络安全保险专班。探索开展网络安全保险服务。工信部工信部公安部中国银保监中国银行保险监督管理委员会上海市经信委和银保监局上海市经济信息化委市委网信办市发展改革委市科委市财政局市通信管理局2022 年 6 月2021 年 12 月2021 年 9 月2021 年 7 月2020 年 12 月2020 年 7 月2019 年 9 月Cyber Security Insurtech White Paper2022 网络安全保险科技白皮书09表 1-2 近年来我国行业组织发布的网络安全保险相关团体标准一览发布时间部 门文 件内 容是保险行业首个针对网络安全保险服务规范标准,规定了网络安全保险服务的服务基本条件、服务提供过程以及服务质量评价和改进,形成了网络安全保险承保、风控、理赔服务的统一标准要求。评估指引引导保险机构结合投保人网络安全保险风险评估的实际情况,对业务、资产、威胁、脆弱性分别进行计算,最终得出一个具体的风险分值,并在风险分值的基础上,再划分风险等级。风险分值与风险等级用于评判、衡量拟投保保险标的网络安全风险状况。试图通过建立一套风险评估指标、流程、内容,规范对拟投保系统的风险评估,得出风险等级、风险分值,定量化地呈现拟投保系统网络安全风险状况,为后续开展网络安全保险业务提供参考依据。技术要求共包括十章,分别为范围、规范性引用文件、术语与定义、缩略语、概述、保险服务基本规定、承保前风险评估要求、承保中风险管控要求、事件发生后应急处置服务要求、保险理赔服务要求。此外,标准中还包括附录 A,内容为保险安全服务流程。评价指南共包括六章,分别为范围、规范性引用文件、术语与定义、网络安全保险服务特点、网络安全保险信息安全服务提供方基本要求以及评价程序。同时,标准中还包括附录 A,内容为网络安全保险安全服务评价指标。网络安全保险服务技术要求(征求意见稿)网络安全保险安全服务能力评价指南(征求意见稿)网络安全保险服务规范(征求意见稿)网络安全保险安全风险评估实施指南(征求意见稿)面向网络安全保险的风险评估指引上海市信息安全行业协会上海市信息安全行业协会中国网络安全产业联盟中国网络安全产业联盟上海市保险同业公会2022 年 6 月2022 年 3 月2022 年 5 月2022 年 6 月2021 年 11 月Cyber Security Insurtech White Paper2022 网络安全保险科技白皮书10需求是产业发展及创新的首要生产力,网络安全保险的发展则离不开其背后的多层次需求。聚焦成本收益、行业需求、商业场景需求等多角度,探究网络安全保险市场需求本质,以中微观视角建立风险认知,为企业是否应该选择网络安全保险、开展风险控制工作提供前置视角。网络安全保险多元市场需求PART2目前,在网络安全空间的威胁与防御保持持续对抗、水涨船高的状态下,企业无法通过某一个策略、产品或技术全面消除所有风险。因此,安全建设成为企业面临的一项长期性、持续性工作。当前企业的防御视角以风险管理、风险控制为主,通过调整组织架构、完善管理机制、采购或部署安全产品构建综合防御体系,最终形成涵盖扫描、检测、溯源处置的防御链条。然而,即便企业开展大量的安全建设工作以提升网络安全成熟度,复杂且层出不穷的安全风险仍然无法穷举、无法被彻底消除。面对残余安全风险,越来越多企业将视线转向了“风险转移”即容忍一定风险,并通过保险手段转移风险。2.1 网络安全保险的需求本质Cyber Security Insurtech White Paper2022 网络安全保险科技白皮书11图 2-1 网络安全投入收益比企业网络安全建设的本质不仅仅是安全问题,也是成本收益问题。而网络安全保险需求的本质也不仅仅是风险转移,还包含成本收益的衡量。风险意味着潜在损失财产损失、名誉损失、商业价值等次级损失,而安全建设是为了以更低的成本规避风险带来的更大潜在损失。图 1 的横坐标为网络安全投入,纵坐标为网络安全收益,以投资回报平衡线为基准,企业在网络安全方面投入的增长呈现明显的边际效用递减趋势。当企业网络安全建设成熟度达到较高的水准时,企业面对残余性风险,可以选择继续加大网络安全投入。虽然仍有一定效果,但从收益性价比而言已经低于基准。这一阶段往往是企业选择网络安全保险的一个比较适当的时期,也说明当网络安全投入已经不足以抵消风险所带来的损失时,网络安全保险就成为了企业更加适宜的选择。另外,根据敏感性分析显示,企业损失规模越大,越倾向于使用保险策略而非安全投入策略;根据收益分析显示,企业网络安全投入越大,越倾向于采购网络安全保险覆盖残余安全风险。因此,总体来看,网络安全保险作为风险转移、风险分散的重要举措,其本质上与企业原本的网络安全建设工作并不排斥,而正是企业安全建设的补充手段。随着企业数字化转型的深入,各行各业均充斥着大量已知和未知的网络安全风险。安联2022 年风险晴雨表指出,勒索软件攻击、数据泄露、远程办公导致的 IT 漏洞和云平台数据供应链中断是企业最为担心的 4 类网络风险。Coalition 公司2022年网络安全保险索赔报告也提出,2021 年下半年攻击者对该公司投保人提出的平均赎金要求增加了20%,索赔率增加了 10%,小型企业受到的影响尤为严重。事实上,除了高频次的主要网络风险,不同行业也遭受着更具针对性的行业攻击。譬如电信互联网行业普遍面临 DDoS 攻击、网络钓鱼、网络黑灰产(撞库)等风险,工业互联网行业存在工控系统漏洞和设备后门、工业通信协议缺陷、供应链攻击等风险,车联网行业则遭受了车载信息交互系统漏洞、通信安全、配套设施(App)安全等隐患,医疗行业难免门户网站篡改风险、应用服务高危端口与安全漏洞和以勒索病毒为代表的恶意程序风险。若不加防范,上述风险还会继续导致数据被未经授权2.2 风险视角下的行业需求访问、泄露、丢失等次级风险,引发业务中断、成本损失。(1)电信和互联网行业DDoS 攻击:电信和互联网行业是遭受 DDoS攻击的重灾区,目前 DDoS 攻击的类型多样,包括流 量 型 DDoS 攻 击(如 SYNFlood、UDPFlood、ICMPFlood、ACKFlood等)、应用层DDoS攻击(如HttpGetFlood、CC 攻击等)、慢速 DDoS 攻击以及基于漏洞的DDoS攻击等,攻击往往出于敲诈勒索、恶意商业竞争、炫耀式攻击等原因,通过攻击穷尽目标的服务器或带宽资源,导致其服务被迫暂时中断或停止,使正常用户无法访问,进而对目标企业的经济和名誉造成损害。伴随 DDoS 攻击的逐渐产业化与服务化,各种在线 DDoS 平台、肉鸡交易渠道层出不穷,“僵尸网络”的低价出售成为趋势,恶意个体实施 DDoS 攻击的门槛逐渐降低,为电信互联网行业带来了更大的威胁。网络钓鱼:人往往是企业安全的薄弱点,也是Cyber Security Insurtech White Paper2022 网络安全保险科技白皮书12网络钓鱼攻击的锚点。Facebook 和 Google 在内的诸多互联网公司一直是网络钓鱼攻击的重点目标。从鱼叉式网络钓鱼到商业邮件欺诈,网络钓鱼的方式多样且结合时事热点,充分利用人性漏洞,引导错误操作。包括将发件人伪装成受害者信任的个体或组织,将邮件主题设置为热点事件或工资单等与受害者息息相关的内容,将邮件附件植入病毒。一场针对企业员工的网络钓鱼攻击,将引发凭证泄露、后门植入乃至系统入侵,使企业资产、内部信息暴露在攻击者的面前,最终造成企业内部数据泄露,业务中断等风险。撞库:撞库是网络黑灰产的一种类型,也是电信企业、电商等互联网企业面临的高风险之一。攻击者通过弱密码嗅探、拖库、对高权限账号的暴力破解等方式获取数据。以拖库为例,由于大多数人倾向于在多个站点上使用相同密码,因此攻击者首先通过编写恶意程序对服务型网站发起攻击,获取大量用户信息,再基于大量的用户信息生成对应的字典表,从而对其他相关站点进行试探性登陆。一旦用户在其他站点上使用了相同密码,这也意味着撞库的成功攻击者再次获得更多的用户信息。一旦攻击者通过撞库方式获得高价值的用户信息,其很可能将实施二次危害,譬如破解金融账户,窃取或转移受害者账户上的资金;出售用户账号、密码及其他个人信息,使用户遭受短信轰炸式营销、电信诈骗;利用用户账号推广非法业务、贩卖违法物品、承接刷量业务等活动,从而进一步延长不法获利链条,谋取更高额的非法收益。随着黑灰产的产业链上下游分工精细、规模和技术提升,企业防御撞库的难度也在增长。被撞库的企业虽为受害者,但因其自身安全控制不到位却成为“雪球效应”中的一分子。(2)车联网行业车载信息交互系统漏洞:车载信息交互系统安全与车机自身的网络安全息息相关。由于部分车辆的车载网络数据加密和消息验证机制不完善,一旦攻击者发现系统漏洞、侵入车载网络设备,就会针对漏洞进行跳板式攻击、植入病毒程序,干扰车内部件功能,造成车载信息交互系统的网络瘫痪、硬件故障,并泄露车主信息和出行记录,甚至影响车辆驾驶安全。车载信息交互系统由远程信息处理器(T-BOX)和车载信息娱乐系统(IVI)组成,主要提供对外通信、远程控制、信息采集、定位防盗以及影音娱乐等功能,是车主行车时最为常用也较容易遭遇攻击的车内配件。通信安全风险:伴随车辆连通性的极大扩展,自动泊车、导航定位等功能已逐渐成为汽车的标配。这就为攻击者利用车辆通信系统内的身份认证或数据加密缺陷发起攻击提供了更多机会。例如,车辆通信系统一般缺乏对信息发送者身份的验证机制,难以抵御攻击者伪造身份进行的动态劫持;若信息在通信过程中加密强度不足,很可能被攻击者趁势伪造、篡改、窃取,使汽车无法识别恶意软件,从而破坏车辆通信系统,阻断车主获取正常服务的途径。车辆的通信安全主要包括车内通信安全和车外通信安全。前者是指远程信息处理器与车内主机的双向数据传输安全,负责车辆状态信息、控制信息等的传输,通过 CAN 总线、车载以太网等技术实现车辆内部系统和设备间的通信;后者是指远程信息处理器与云平台间的双向数据传输安全,通过车载诊断接口(OBD)、无线通信技术(WiFi、蓝牙、4G/5G、C-V2X 等)与外部实体和平台进行信息交互。配套设施(App)安全:配套设施是指车企为用户提供数字化服务、增强用户粘性而配置的 App程序。然而,智能网联汽车端 App 普遍存在缺乏安Cyber Security Insurtech White Paper2022 网络安全保险科技白皮书13全保护机制的问题。大部分车辆并未对未知或来源不明的 App 进行限制,甚至还保留了浏览器的隐藏入口,部分采取软件防护机制的 App 也存在防护强度不够的问题。攻击者一旦登录 App 内部,就可以轻松获取用户的个人信息、获取到根用户权限。这就导致攻击者可以在后台下载恶意软件、破解通信协议、反编译代码、窃取用户数据,使车主失去App的控制权。如果配套App还涉及车辆控制功能,甚至可能存在车辆被远程恶意控制的风险。(3)工控行业工控系统漏洞和设备后门:在工业互联网中,工控系统作为关键信息基础设施的组成部分,已经成为黑客攻击的主要目标之一。传统的工控系统在设计之初通常缺乏安全考虑,因此往往存在安全配置基线未加固、大量安全漏洞与后门存在等问题。伴随工业互联网的发展,工业生产环境中的智能设备与 IT 网络、办公网络互联,原本封闭可信的工业生产环境被打破,安全风险进一步暴露。与此同时,一旦生产控制层的信息安全风险被恶意利用,攻击者极有可能以此为跳板,进行横向移动,对核心生产数据造成破坏。工业通信协议缺陷:工业通信协议是工业互联网中通讯双方控制数据传输的协议,用于实现数字设备与网络之间的连接和信息传递,其主要有 Modbus通信协议、RS-232 通信协议、RS-485 通信协议、HART 通信协议、MPI 通信、PROFIBUS 通信、工业以太网等众多类型。随着自动化和信息化的高度融合、物联网的发展,工业通信协议在发布后往往被工业设施重要供应商广泛应用,也常见于工业物联网,然而随之而来的是通信协议漏洞问题日益突出。一方面,部分工业通信协议本身就缺乏相应的安全标准,安全水平不高。网络攻击者只需掌握协议构造方式,通过简单的网络接入就可以实现对目标设备的任意数据篡改。另一方面,工业通信协议存在的安全缺陷促使攻击者更为积极地挖掘协议漏洞,利用缓冲区溢出、拒绝服务等漏洞实现通信指令篡改及相应攻击。伴随工控网络与外部网络连接的进程加快,攻击者也将更容易通过网络探测、锁定和攻击目标,给工业互联网企业带来高额损失。供应链攻击:在工业互联网发展过程中,供应链是其中不可缺少的组织形态,通过资源整合,可以有效实现产品设计、采购、生产、销售、服务等全过程的协同。与此同时,由于工业互联网供应链的全球化态势加强,工业互联网企业的核心技术产品、核心部件、敏感数据被供应链上更多的产品与服务提供商所接触,虽然通过权限设置、供应商安全审查等措施可以收敛一定风险,但供应链的全球化、精细化也使得企业的风险暴露面扩大。全球范围内工业互联网供应链安全事件频发,断供、网络攻击等威胁加剧,工业互联网企业面临着严峻的现实安全挑战。(4)医疗行业门户网站篡改风险:在线医疗服务的普及正在推动医疗网站成为开展公共服务、展现机构形象的重要平台载体。但由于应用组件版本较低,医疗机构网站往往存在安全等级低、安全隐患高的问题。其中,实施网站篡改、隐式植入非法信息这一攻击手法较为常见。一旦医疗机构的网页被篡改,可能被植入非正规医院的隐性广告、错误的医护信息以及色情、博彩等非法信息,不仅给机构的形象带来损害,还可能因为错误信息引导,给病患造成财产乃至健康损害。应用服务高危端口与安全漏洞:数字化、智能化的医疗系统为数据泄露提供了可乘之机。一方面,大量健康医疗服务涉及患者姓名、手机号、身份证号、家庭住址等敏感个人信息,以及挂号记录、检查报告、缴费记录等就医诊断信息,具有高敏感性的特点。上述患者数据、诊疗数据、医保数据等被保存在医院医疗系统的数据库、打印机等应用服务当中,Cyber Security Insurtech White Paper2022 网络安全保险科技白皮书14并与公共互联网连通,存在高危端口和漏洞利用可能。另一方面,以手机
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员


开通VIP      成为共赢上传

当前位置:首页 > 研究报告 > 其他

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服