网络安全保险正迅速成为各大规模企业必备的安全措施。目前已经有三分之一的美国企业购买了网络安全保险,预计到2022年这一市场规模将增至140亿美元。

保险公司正在赚钱。2017年,网络安全保险公司仅支付了32%的保费,比去年支付的费用要少48%。大多数企业的网络安全保险成本相对较低,通常仅为其他保险费用的1%至3%。商界大佬告诉我,比起在保险上数百万美元的投入,他们为网络安全保险支付的费用从5000美元到2.5万美元不等。这看起来很划算,但真的是这样的吗?

什么是社交工程削减条款?

我最近听说大量的网络安全保险条款都包含了“社交工程”削减条款。也就是说如果你的的组织机构经历了社交工程相关的攻击,那么预期的赔付额将大大低于完整保单中承诺的金额。举例来说,一个市政府告诉我他们有一份价值5000万美元的网络安全保险,但如果一项索赔涉及社交工程,那么保险公司最多只会赔付20万美元(假设免赔额也是这个数字)。

如果你的网络安全保险包含这样的条款,将会是一个巨大的损失!

大多数网络安全保险保单(目前有170多家网络安全保险公司)不包括这一条款,但它在一些保单上的出现应该引起整个网络安全界的关注。

70%到90%的成功数据泄露事件都与社交工程攻击有关。这种类型的攻击通常以钓鱼邮件(最常见),诱导用户安装某些东西的恶意网页、特洛伊木马邮件或欺诈电话的形式出现。现在很难找到一个不涉及社交工程的公开攻击,无论攻击者是利用社交工程作为主要的初始载体还是作为攻击的一部分。

这意味着5000万美元的保单实际上可能只值20万美元。你的潜在损失可能不仅仅是较小的支付上限。我是怎么知道的?因为如果你不认为存在风险会接近更高的上限,你就不会签订这份合同。问题是,保险索赔上限应该是多少?如果涉及社交工程,削减赔偿金额是否合理?

我明白网络安全保险公司为什么想要加入有关社交工程相关的条款。他们是为了节省巨额资金。如果客户不了解大多数网络安全事件中都会涉及社交工程攻击,他们就不会意识到高达90%的情况该条款都没有覆盖到。

如何判断你的网络保险真正的投保范围

我并不是为了让你相信在所有成功的数据泄露事件以及绝大多数勒索软件攻击中(这通常是网络安全保险公司赔付的范围),有70%到90%都涉及社交工程。你的组织机构受到社交工程攻击的风险可能与全球平均水平不同。

你需要计算出与其他类型的攻击载体(例如打补丁的软件、窃听、错误配置、用户错误、内部攻击)造成的成功攻击事件相比,社交工程导致的网络安全事件在你的企业发生的频率。大多数组织机构可能会同意,他们经历的大多数重大网络安全事件都与社交工程有关。

在我看来很多公司都犯了一个错误,那就是他们对网络安全事件的分类。大多数人认为如果要将一次网络入侵称为网络安全事件,这次入侵必须很重大并造成了巨大的损害。事实是,只要黑客或恶意软件突破了你的防线,哪怕只有几分钟,你都经历了网络安全事件。你可能并不清楚这些。

我鼓励组织机构注意每一个突破他们首个防线的恶意软件程序。如果你的网络安全防御系统能在恶意软件试图进入你的环境的那一刻阻止它们,那就太棒了,你面临的风险为零。但是如果同样的恶意软件程序在被检测到之前已经存在了几分钟到几天(没有一个反恶意软件扫描是100%准确的),那么你就已经遇到了一起网络安全事件。这次事件可能会造成重大的损失也可能不会,但这次事件会给你的防线造成漏洞并增加环境风险。

开始测量停留时间——在恶意软件被检测到和删除之前,它们在你的环境中存在的时间。通过在仅审核模式下使用应用程序控制程序,然后将检测日期和时间与恶意程序第一次被执行的时间进行比较,你可以轻松获得环境中任何恶意软件停留的时间。这么做不会捕获到环境中存在的所有恶意软件,但在大多数环境中,这都是一大风险。

当你发现恶意软件在你的环境中驻留超过几分钟之后才被检测和删除时,请试图确认恶意软件是如何进入你的环境的。是通过社交工程、未打补丁的软件还是其他攻击载体?然后计算社交工程与其他载体相比所占的百分比。

大多数组织机构会发现,社交工程是突破防线最有效的方式。这是因为大多数恶意软件感染不会导致全面的数据泄露,但通过社交工程却可以。

然后计算在你的环境中成功的社交工程攻击的百分比(与其他攻击载体相比),通过这种方式来计算你的网络安全保险真正赔付的范围。下面是一个例子:

假设你有一个5000万美元的网络安全事故保险,其中社交工程有关的上限是20万美元,而社交工程要为你所在企业90%的网络安全事件负责。基于风险的赔付金额应该是 $50,000,000 x 10% (不涉及社交工程的部分) 加上 $200,000 x 90% (涉及社交工程的部分)。500万加18万,等于518万。

因此,无论你为网络安全事故保险支出了多少,经风险调整后的最高赔付额都是518万美元,而不是5000万美元。经过风险调整后的赔付金额,远低于保单总价

网络安全保险机构正在提供一项有价值的服务。我们都是成年人,这些保险公司没有做什么不道德或者非法的事情。他们把所有的承诺都写进了法律条款中。将 “社交工程” 削减条款写进合同中可能是指望客户不知道社交工程在网络安全事件中的发生频率。

如果我是一位购买网络安全事故保险的负责人,我绝不会允许这种条款存在于我签署并支付的保单中。这就好比买了一份不包括电气火灾的火灾保险。你可以这么做,但这并不值得。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。