近日，安全公司Black Kite發(fā)布了《2022年線上保險(xiǎn)業(yè)務(wù)風(fēng)險(xiǎn)報(bào)告》，對(duì)承保人和整個(gè)線上保險(xiǎn)行業(yè)面臨的新型威脅進(jìn)行了深入研究，并對(duì)目前排名前99的保險(xiǎn)公司(按凈保費(fèi)計(jì)算)進(jìn)行了分析。

Black Kite 研究團(tuán)隊(duì)從第三方風(fēng)險(xiǎn)的角度深入研究了保險(xiǎn)公司的網(wǎng)絡(luò)安全態(tài)勢(shì)，并重點(diǎn)分析了目前最大的99家保險(xiǎn)公司(按凈保費(fèi)排名)，揭示了該行業(yè)的網(wǎng)絡(luò)風(fēng)險(xiǎn)和潛在的關(guān)注領(lǐng)域?？傮w而言，保險(xiǎn)公司的平均等級(jí)為“B”，技術(shù)評(píng)級(jí)為84.6。而評(píng)級(jí)為“B”的公司發(fā)生數(shù)據(jù)泄露的可能性是獲得“A”評(píng)級(jí)的公司的3倍。

圖1 在線業(yè)務(wù)保險(xiǎn)公司等級(jí)分布

數(shù)據(jù)還顯示，保險(xiǎn)公司的平均勒索軟件易感指數(shù)評(píng)級(jí)為0.17(在0.0-1.0的易感等級(jí)上，這是個(gè)不錯(cuò)的分?jǐn)?shù))。然而，在這些保險(xiǎn)公司中，有18%易感指數(shù)高于0.6的臨界閾值，這表明其勒索軟件的易感性很高。需要注意的是，低易感性并不意味著沒(méi)有易感性。網(wǎng)絡(luò)威脅和漏洞每秒都在發(fā)生，這也使得持續(xù)和主動(dòng)響應(yīng)成為了先決條件。

圖2 保險(xiǎn)公司的勒索軟件易感指數(shù)

而在與勒索軟件相關(guān)的安全問(wèn)題中，“網(wǎng)絡(luò)釣魚(yú)”的易感性位居榜首，占比82%;泄漏憑據(jù)占比66%;數(shù)據(jù)泄露占比43%;高危漏洞占比42%;公開(kāi)可見(jiàn)的關(guān)鍵端口占比25%。網(wǎng)絡(luò)釣魚(yú)對(duì)于攻擊者來(lái)說(shuō)，成本極低，而一旦成功，即可創(chuàng)造巨額收益。根據(jù)思科《2021年網(wǎng)絡(luò)安全報(bào)告》顯示，去年86%的組織至少有一個(gè)人點(diǎn)擊了網(wǎng)絡(luò)釣魚(yú)鏈接。此外，數(shù)據(jù)還表明網(wǎng)絡(luò)釣魚(yú)占數(shù)據(jù)泄露事件的90%左右。

圖3 與勒索軟件相關(guān)的安全問(wèn)題

在網(wǎng)絡(luò)釣魚(yú)事件中，最常見(jiàn)的請(qǐng)求包括披露憑證、共享個(gè)人信息或授予對(duì)平臺(tái)的訪問(wèn)權(quán)限。即使是像證書(shū)這樣簡(jiǎn)單的東西，也可能是攻擊者訪問(wèn)企業(yè)整個(gè)數(shù)據(jù)庫(kù)所需的關(guān)鍵。這也導(dǎo)致了第二個(gè)緊迫問(wèn)題，即泄露的賬號(hào)信息(占比66%)，一旦被泄露到公開(kāi)網(wǎng)絡(luò)，就可能導(dǎo)致連鎖效應(yīng)。

由于未及時(shí)更新補(bǔ)丁，42%的保險(xiǎn)公司至少存在一個(gè)可能的嚴(yán)重漏洞，可讓黑客獲取初始訪問(wèn)點(diǎn)，例如影響深遠(yuǎn)的Log4j事件就是由此開(kāi)始的。此外，造成保險(xiǎn)公司低技術(shù)評(píng)級(jí)和對(duì)勒索軟件高易敏性的原因，就在于整體網(wǎng)絡(luò)狀況不佳。研究顯示，85%的承保人認(rèn)為保險(xiǎn)公司應(yīng)該加強(qiáng)其網(wǎng)絡(luò)安全態(tài)勢(shì)。