目前,在网络安全空间的威胁与防御保持持续对抗、水涨船高的状态下,企业无法通过某一个策略、产品或技术全面消除所有风险。因此,安全建设成为企业面临的一项长期性、持续性工作。当前企业的防御视角以风险管理、风险控制为主,通过调整组织架构、完善管理机制、采购或部署安全产品构建综合防御体系,最终形成涵盖扫描、检测、溯源处置的防御链条。
然而,即便企业开展大量的安全建设工作以提升网络安全成熟度,复杂且层出不穷的安全风险仍然无法穷举、无法被彻底消除。面对残余安全风险,越来越多企业将视线转向了“风险转移”——即容忍一定风险,并通过保险手段转移风险。
一、网络安全保险概念
目前,业内将“网络安全保险”(Cyber Security Insurance)定义为:保险人承保投保人因网络安全事件造成的经济损失或应承担的法律赔偿责任的保险。然而,针对网络安全保险科技,国内外尚未形成明确的概念界定,一定程度上影响了这一产业的发展。本报告尝试首次定义“网络安全保险科技”,为网络安全保险产业的发展创新与变革奠定理论基础。
网络安全保险科技(Cybersecurity Insurance Technology;InsurTech):技术创新在网络安全保险产业发展及其与网络安全产业融合中的应用,将衍生新的模式、业务、流程与产品。网络安全保险科技服务是面向投保人/ 保险公司/ 保险经纪公司,由第三方基于数据搜集、清洗整合,人工智能、云原生等技术创新应用,将保险与技术、风险工程和安全响应服务相结合,映射在投保、承保、理赔等保险环节,旨在通过科技融合保险业态与网络安全业态,以网络安全保险科技服务加强企业网络安全弹性。
从企业网络安全建设的角度来看,网络安全保险科技模型可以与大多数企业网络安全防御体系进行有效适配,并在运营过程中实现持续改进。
图 1 网络安全保险流程在企业网络安全建设体系中的呈现
在安全策略阶段,企业设计顶层网络安全策略、制定网络安全计划时,可以将网络安全保险作为风险转移的重要举措,纳入网络安全计划,并在规划年度网络安全预算时,将网络安全保险作为拟采购的安全服务考虑其中。
在风险识别阶段,基于企业已部署的漏洞扫描、资产测绘等网络安全设备 / 技术,网络安全保险科技服务提供的风险识别与评估能力将从网络安全保险的视角,对残余安全风险进行二次筛查,梳理出可保险风险(尚未发生的或使保险对象遭受损失的风险,通过企业网络安全体系建设、网络安全设备和现有的安全举措暂时无法完全覆盖或解决的风险,安全投入产出性价比低的风险,即被视为可通过保险方式转移的保险风险范畴), 进而将风险评估结果通过量化、定级等方式,转化为核保依据与定价参考。
在安全防御阶段,基于风险评估结果,协助企业制定整改建议,从而对企业面临的可控风险进行事前主动干预,通过安全产品、技术、培训等举措预降低企业出险概率。
在安全检测阶段,通过实时风险监测系统重点监测承保范围内的网络安全风险,不仅可以进一步加强企业的风险发现能力,使其成为企业风险监测系统中的重要组成部分,还将为后续理赔阶段提供取证支撑。
在安全响应阶段,围绕承保风险,企业可依托于网络安全保险科技服务,借助第三方安全力量实现对安全事件的快速响应,开展事件调查、损害评估、取证报告等工作,从而为下一阶段的理赔提供参考基础。
在安全恢复阶段,企业可基于溯源调查结果,通过其原有的安全技术及能力进行系统恢复和漏洞修复,并优化安全运营。此外,依托于网络安全保险科技的配套理赔服务,保险公司能够快速完成保险义务,赔偿投保企业的直接经济损失、第三方责任赔偿及备份/ 数据恢复等所产生的费用,帮助企业在收敛风险的同时成功完成风险转移。
二、网络安全保险的需求本质
图 2 网络安全投入收益比
企业网络安全建设的本质不仅仅是安全问题,也是成本收益问题。而网络安全保险需求的本质也不仅仅是风险转移,还包含成本收益的衡量。风险意味着潜在损失——财产损失、名誉损失、商业价值等次级损失,而安全建设是为了以更低的成本规避风险带来的更大潜在损失。图 2 的横坐标为网络安全投入,纵坐标为网络安全收益,以投资回报平衡线为基准,企业在网络安全方面投入的增长呈现明显的边际效用递减趋势。当企业网络安全建设成熟度达到较高的水准时,企业面对残余性风险,可以选择继续加大网络安全投入。虽然仍有一定效果,但从收益性价比而言已经低于基准。这一阶段往往是企业选择网络安全保险的一个比较适当的时期,也说明当网络安全投入已经不足以抵消风险所带来的损失时,网络安全保险就成为了企业更加适宜的选择。
另外,根据敏感性分析显示,企业损失规模越大,越倾向于使用保险策略而非安全投入策略;根据收益分析显示,企业网络安全投入越大,越倾向于采购网络安全保险覆盖残余安全风险。因此,总体来看,网络安全保险作为风险转移、风险分散的重要举措,其本质上与企业原本的网络安全建设工作并不排斥,而正是企业安全建设的补充手段。
三、风险视角下的行业需求
随着企业数字化转型的深入,各行各业均充斥着大量已知和未知的网络安全风险。安联《2022 年风险晴雨表》指出,勒索软件攻击、数据泄露、远程办公导致的 IT 漏洞和云平台数据供应链中断是企业最为担心的 4 类网络风险 。Coalition 公司《2022 年网络安全保险索赔报告》也提出,2021 年下半年攻击者对该公司投保人提出的平均赎金要求增加了20%,索赔率增加了 10%,小型企业受到的影响尤为严重 。
事实上,除了高频次的主要网络风险,不同行业也遭受着更具针对性的行业攻击。譬如电信互联网行业普遍面临 DDoS 攻击、网络钓鱼、网络黑灰产(撞库)等风险,工业互联网行业存在工控系统漏洞和设备后门、工业通信协议缺陷、供应链攻击等风险,车联网行业则遭受了车载信息交互系统漏洞、通信安全、配套设施(App)安全等隐患,医疗行业难免门户网站篡改风险、应用服务高危端口与安全漏洞和以勒索病毒为代表的恶意程序风险。若不加防范,上述风险还会继续导致数据被未经授权访问、泄露、丢失等次级风险,引发业务中断、成本损失。
1. 电信和互联网行业
DDoS 攻击:电信和互联网行业是遭受 DDoS 攻击的重灾区,目前 DDoS 攻击的类型多样,包括流量型 DDoS 攻击( 如 SYNFlood、UDPFlood、ICMPFlood、ACKFlood 等)、应用层 DDoS 攻击(如HttpGetFlood、CC 攻击等)、慢速 DDoS 攻击以及基于漏洞的DDoS 攻击等,攻击往往出于敲诈勒索、恶意商业竞争、炫耀式攻击等原因,通过攻击穷尽目标的服务器或带宽资源,导致其服务被迫暂时中断或停止,使正常用户无法访问,进而对目标企业的经济和名誉造成损害。
伴随 DDoS 攻击的逐渐产业化与服务化,各种在线 DDoS 平台、肉鸡交易渠道层出不穷,“僵尸网络”的低价出售成为趋势,恶意个体实施 DDoS 攻击的门槛逐渐降低,为电信互联网行业带来了更大的威胁。
网络钓鱼:人往往是企业安全的薄弱点,也是网络钓鱼攻击的锚点。Facebook 和 Google 在内的诸多互联网公司一直是网络钓鱼攻击的重点目标。从鱼叉式网络钓鱼到商业邮件欺诈,网络钓鱼的方式多样且结合时事热点,充分利用人性漏洞,引导错误操作。包括将发件人伪装成受害者信任的个体或组织,将邮件主题设置为热点事件或工资单等与受害者息息相关的内容,将邮件附件植入病毒。一场针对企业员工的网络钓鱼攻击,将引发凭证泄露、后门植入乃至系统入侵,使企业资产、内部信息暴露在攻击者的面前,最终造成企业内部数据泄露, 业务中断等风险。
撞库:撞库是网络黑灰产的一种类型,也是电信企业、电商等互联网企业面临的高风险之一。攻击者通过弱密码嗅探、拖库、对高权限账号的暴力破解等方式获取数据。以拖库为例,由于大多数人倾向于在多个站点上使用相同密码,因此攻击者首先通过编写恶意程序对服务型网站发起攻击,获取大量用户信息,再基于大量的用户信息生成对应的字典表,从而对其他相关站点进行试探性登陆。一旦用户在其他站点上使用了相同密码,这也意味着撞库的成功——攻击者再次获得更多的用户信息。一旦攻击者通过撞库方式获得高价值的用户信息,其很可能将实施二次危害,譬如破解金融账户,窃取或转移受害者账户上的资金;出售用户账号、密码及其他个人信息,使用户遭受短信轰炸式营销、电信诈骗;利用用户账号推广非法业务、贩卖违法物品、承接刷量业务等活动,从而进一步延长不法获利链条,谋取更高额的非法收益。
随着黑灰产的产业链上下游分工精细、规模和技术提升,企业防御撞库的难度也在增长。被撞库的企业虽为受害者,但因其自身安全控制不到位却成为“雪球效应”中的一分子。
2. 车联网行业
车载信息交互系统漏洞:车载信息交互系统安全与车机自身的网络安全息息相关。由于部分车辆的车载网络数据加密和消息验证机制不完善,一旦攻击者发现系统漏洞、侵入车载网络设备,就会针对漏洞进行跳板式攻击、植入病毒程序,干扰车内部件功能,造成车载信息交互系统的网络瘫痪、硬件故障,并泄露车主信息和出行记录,甚至影响车辆驾驶安全。
车载信息交互系统由远程信息处理器(T-BOX) 和车载信息娱乐系统(IVI)组成,主要提供对外通信、远程控制、信息采集、定位防盗以及影音娱乐等功能,是车主行车时最为常用也较容易遭遇攻击的车内配件。
通信安全风险:伴随车辆连通性的极大扩展,自动泊车、导航定位等功能已逐渐成为汽车的标配。这就为攻击者利用车辆通信系统内的身份认证或数据加密缺陷发起攻击提供了更多机会。例如,车辆通信系统一般缺乏对信息发送者身份的验证机制,难以抵御攻击者伪造身份进行的动态劫持;若信息在通信过程中加密强度不足,很可能被攻击者趁势伪造、篡改、窃取,使汽车无法识别恶意软件,从而破坏车辆通信系统,阻断车主获取正常服务的途径。
车辆的通信安全主要包括车内通信安全和车外通信安全。前者是指远程信息处理器与车内主机的双向数据传输安全,负责车辆状态信息、控制信息等的传输,通过CAN 总线、车载以太网等技术实现车辆内部系统和设备间的通信;后者是指远程信息处理器与云平台间的双向数据传输安全,通过车载诊断接口(OBD)、无线通信技术(WiFi、蓝牙、4G/5G、C-V2X 等)与外部实体和平台进行信息交互。
配套设施(App)安全:配套设施是指车企为用户提供数字化服务、增强用户粘性而配置的 App 程序。然而,智能网联汽车端App 普遍存在缺乏安全保护机制的问题。大部分车辆并未对未知或来源不明的 App 进行限制,甚至还保留了浏览器的隐藏入口,部分采取软件防护机制的 App 也存在防护强度不够的问题。攻击者一旦登录 App 内部, 就可以轻松获取用户的个人信息、获取到根用户权限。这就导致攻击者可以在后台下载恶意软件、破解通信协议、反编译代码、窃取用户数据,使车主失去 App 的控制权。如果配套 App 还涉及车辆控制功能,甚至可能存在车辆被远程恶意控制的风险。
3. 工控行业
工控系统漏洞和设备后门:在工业互联网中,工控系统作为关键信息基础设施的组成部分,已经成为黑客攻击的主要目标之一。传统的工控系统在设计之初通常缺乏安全考虑,因此往往存在安全配置基线未加固、大量安全漏洞与后门存在等问题。伴随工业互联网的发展,工业生产环境中的智能设备与 IT 网络、办公网络互联,原本封闭可信的工业生产环境被打破,安全风险进一步暴露。与此同时,一旦生产控制层的信息安全风险被恶意利用,攻击者极有可能以此为跳板,进行横向移动,对核心生产数据造成破坏。
工业通信协议缺陷:工业通信协议是工业互联网中通讯双方控制数据传输的协议,用于实现数字设备与网络之间的连接和信息传递,其主要有 Modbus 通信协议、RS-232 通信协议、RS-485 通信协议、HART 通信协议、MPI 通信、PROFIBUS 通信、工业以太网等众多类型。随着自动化和信息化的高度融合、物联网的发展,工业通信协议在发布后往往被工业设施重要供应商广泛应用,也常见于工业物联网,然而随之而来的是通信协议漏洞问题日益突出。
一方面,部分工业通信协议本身就缺乏相应的安全标准,安全水平不高。网络攻击者只需掌握协议构造方式,通过简单的网络接入就可以实现对目标设备的任意数据篡改。另一方面,工业通信协议存在的安全缺陷促使攻击者更为积极地挖掘协议漏洞,利用缓冲区溢出、拒绝服务等漏洞实现通信指令篡改及相应攻击。伴随工控网络与外部网络连接的进程加快,攻击者也将更容易通过网络探测、锁定和攻击目标,给工业互联网企业带来高额损失。
供应链攻击:在工业互联网发展过程中,供应链是其中不可缺少的组织形态,通过资源整合,可以有效实现产品设计、采购、生产、销售、服务等全过程的协同。与此同时,由于工业互联网供应链的全球化态势加强,工业互联网企业的核心技术产品、核心部件、敏感数据被供应链上更多的产品与服务提供商所接触,虽然通过权限设置、供应商安全审查等措施可以收敛一定风险,但供应链的全球化、精细化也使得企业的风险暴露面扩大。全球范围内工业互联网供应链安全事件频发,断供、网络攻击等威胁加剧,工业互联网企业面临着严峻的现实安全挑战。
4. 医疗行业
门户网站篡改风险:在线医疗服务的普及正在推动医疗网站成为开展公共服务、展现机构形象的重要平台载体。但由于应用组件版本较低,医疗机构网站往往存在安全等级低、安全隐患高的问题。其中,实施网站篡改、隐式植入非法信息这一攻击手法较为常见。一旦医疗机构的网页被篡改,可能被植入非正规医院的隐性广告、错误的医护信息以及色情、博彩等非法信息,不仅给机构的形象带来损害,还可能因为错误信息引导,给病患造成财产乃至健康损害。
应用服务高危端口与安全漏洞:数字化、智能化的医疗系统为数据泄露提供了可乘之机。一方面,大量健康医疗服务涉及患者姓名、手机号、身份证号、家庭住址等敏感个人信息,以及挂号记录、检查报告、缴费记录等就医诊断信息,具有高敏感性的特点。上述患者数据、诊疗数据、医保数据等被保存在医院医疗系统的数据库、打印机等应用服务当中,并与公共互联网连通,存在高危端口和漏洞利用可能。另一方面,以手机APP、网站、第三方医疗平台为载体的在线医疗服务不断涌现,然而受限于其安全能力,同样存在弱密码、RCE 漏洞等常见风险,可能引发批量应用服务被恶意控制、大量健康医疗数据泄露的安全事件。
以勒索病毒为代表的僵木蠕毒等恶意程序风险:在寻找到可利用端口、敏感服务或安全漏洞后,攻击者往往会尝试植入僵尸病毒、木马、蠕虫以及勒索病毒等恶意程序,实施大范围的网络欺诈、金钱勒索,甚至盗窃、贩卖医疗数据和患者个人敏感信息。在医疗系统的数据价值高、行业连续性强等背景下,医疗数据面临极大的风险。
本文摘编自赛博研究院、众安科技发布的《2022网络安全保险科技白皮书》,全文下载:
2022网络安全保险科技白皮书
更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。
