想要卖网络安全保险,FICO这样的评分机制靠谱吗?

网络安全保险市场正在快速增长中,保险公司面临的一个独特的复杂的问题:如何测量或估算投保人面临的来自网络,网络间谍和黑客的风险。

RiskSense安全研究副总裁兼工程师AnandPaturi说到:“保险行业,目前没有一组基线工具或指标来量化客户的风险”。例如,在人寿保险中,取决于保单的价值,风险可以通过预测预期寿命的精算表或者通过体检来测量各种各样的健康风险因素来衡量。然而对于(风险)数据,该如何确定保险策略的价格?

星期一,在国家保险专员协会2017届会议上,Paturi发表演讲,他认为网络安全问题更为复杂。以今年上半年发生的具有潜在的巨大损失的WannaCry和Petya事件为例,在这两种情况下,恶意软件都依赖于Windows操作系统中的漏洞,这些漏洞在两个或三个月前就已经被修补过了。

这些攻击的受害者由于未能即使修复安全漏洞,将自己暴露了给了攻击者。那么,问题来了,如果其中一家公司投保了网络安全保险,那么,他们应当索赔多少?他们能够索赔多少?

一个司机开罚单超速可能看到投保利率上升,保险公司会跟踪记录你的驾驶习惯,但他们如何追踪你的“网络卫生”?

RiskSense提供了一套解决方案,使用类似FICO的计分方式,对投保公司的网络安全风险进行评估,结果以一个单一的数字表示这家公司的网络安全风险状况。

脆弱点的优先级排序

对脆弱点的优先级进行排序的困难之处在于,对一个拥有数千个端点和数十个甚至数百个软件应用程序的企业而言,已知漏洞的数量可以迅速攀升到数千甚至数万。对于操作系统,大型企业很可能将它们集成到自己定制的应用程序中,这意味着安装一个厂商的补丁可能会破坏某些东西,而且补丁在正式部署之前必须先通过测试。

根据Gartner去年的分析结果可知“组织面临的挑战是统计他们所确定的与现有补救资源相关的脆弱点的绝对数量”。

虽然漏洞扫描能够揭示哪些缺陷的严重程度高,也能让组织意识到系统中可能有数千个缺陷。但是扫描报告无法告诉组织:是否有一个特定的漏洞正在被利用,或者该漏洞是否被“真正的黑客”或网络罪犯使用,也没有说明受影响资产的对组织的重要性。

因此,Gartner的报告里说,对组织而言,可采用的方法是:在某个给定的时间内,关注于减轻和修补漏洞的比例,例如,修复90%的严重漏洞(2周内发现的)。

这种方法只能降低纸上的风险,而不是在现实中得到了解决,实际上攻击者不关心组织是否修复了90&的安全漏洞,他们只关注可以利用的10%的部分。

这有点类似于“戒烟”(提高你的预期寿命)和“开车离开悬崖前”(实际存在的威胁)的关系。

相反,研究人员推荐一种战略方法,在该方法中,对脆弱性数据进行补充,提供有关野生环境中的积极威胁的信息,并了解不同资产对企业的重要性。

战略方法

不同的资产代表着不同的风险,即使是同一漏洞,严重程度也可能不同。漏洞扫描还应当提供漏洞实时威胁指标作为参考数据。诸如“这是漏洞在野外被利用了吗?或者“此漏洞会导致拒绝服务吗?”

对于客户而言“基于你认为重要的东西,可以选择你想要优先考虑的指标”,允许将资产标签作为一个过滤器,这意味着你可以排除一些内容,例如内部的资产的DoS漏洞。最终报告的结果会是一系列严重的漏洞,例如,针对关键资产或重要系统的远程攻击漏洞,该漏洞目前正在野外使用。

这么做的效果是,客户获得一份“更小、更集中”的清单。

Graham指出,所谓的漏洞级别划分或排名,都是虚幻的。“排名列表[漏洞]可以会让用户感觉不错,但在现实中,清单上各个漏洞[它们所代表的风险]之间的相差可能太小而不能测量。”

漏洞管理程序在一个大的企业可能已经做的,但大多数依然要靠人工运营。

Paturi解释说:公司的平台提供不同的服务,融合了漏洞的严重程度,以及关于资产的业务数据发现的地点、在野外利用率等信息。基于其漏洞和所有上下文的数据,RS3评分从本质上说,可以预测一个组织的危险程度。这与FICO评分机制类似,它代表一个客户拖欠贷款或其他形式的信用风险水平,对于网络安全风险,我们也使用相同的方式进行打分,从350到800。

对于保险公司而言,他们提供了一个“多客户端仪表盘”,它提供了对评分的实时查看,使他们能够查看何时可能需要对政策进行审查或重写,因为风险的变化。

“我们只给你一个数字,而不是一长串的因素。”保险公司可以用这个工具实施查看客户的评分,也可以根据风险的变化对某些因素做相应的调整。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/104663.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code