信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安全牛”。

近日，安全公司Black Kite發(fā)布了《2022年線上保險(xiǎn)業(yè)務(wù)風(fēng)險(xiǎn)報(bào)告》，對(duì)承保人和整個(gè)線上保險(xiǎn)行業(yè)面臨的新型威脅進(jìn)行了深入研究，并對(duì)目前排名前99的保險(xiǎn)公司（按凈保費(fèi)計(jì)算）進(jìn)行了分析。

Black Kite研究團(tuán)隊(duì)從第三方風(fēng)險(xiǎn)的角度深入研究了保險(xiǎn)公司的網(wǎng)絡(luò)安全態(tài)勢(shì)，并重點(diǎn)分析了目前最大的99家保險(xiǎn)公司（按凈保費(fèi)排名），揭示了該行業(yè)的網(wǎng)絡(luò)風(fēng)險(xiǎn)和潛在的關(guān)注領(lǐng)域?？傮w而言，保險(xiǎn)公司的平均等級(jí)為“B”，技術(shù)評(píng)級(jí)為84.6。而評(píng)級(jí)為“B”的公司發(fā)生數(shù)據(jù)泄露的可能性是獲得“A”評(píng)級(jí)的公司的3倍。

圖1在線業(yè)務(wù)保險(xiǎn)公司等級(jí)分布

數(shù)據(jù)還顯示，保險(xiǎn)公司的平均勒索軟件易感指數(shù)評(píng)級(jí)為0.17（在0.0-1.0的易感等級(jí)上，這是個(gè)不錯(cuò)的分?jǐn)?shù)）。然而，在這些保險(xiǎn)公司中，有18%易感指數(shù)高于0.6的臨界閾值，這表明其勒索軟件的易感性很高。需要注意的是，低易感性并不意味著沒有易感性。網(wǎng)絡(luò)威脅和漏洞每秒都在發(fā)生，這也使得持續(xù)和主動(dòng)響應(yīng)成為了先決條件。

圖2保險(xiǎn)公司的勒索軟件易感指數(shù)

而在與勒索軟件相關(guān)的安全問題中，“網(wǎng)絡(luò)釣魚”的易感性位居榜首，占比82%；泄漏憑據(jù)占比66%；數(shù)據(jù)泄露占比43%；高危漏洞占比42%；公開可見的關(guān)鍵端口占比25%。網(wǎng)絡(luò)釣魚對(duì)于攻擊者來說，成本極低，而一旦成功，即可創(chuàng)造巨額收益。根據(jù)思科《2021年網(wǎng)絡(luò)安全報(bào)告》顯示，去年86%的組織至少有一個(gè)人點(diǎn)擊了網(wǎng)絡(luò)釣魚鏈接。此外，數(shù)據(jù)還表明網(wǎng)絡(luò)釣魚占數(shù)據(jù)泄露事件的90%左右。

圖3與勒索軟件相關(guān)的安全問題

在網(wǎng)絡(luò)釣魚事件中，最常見的請(qǐng)求包括披露憑證、共享個(gè)人信息或授予對(duì)平臺(tái)的訪問權(quán)限。即使是像證書這樣簡單的東西，也可能是攻擊者訪問企業(yè)整個(gè)數(shù)據(jù)庫所需的關(guān)鍵。這也導(dǎo)致了第二個(gè)緊迫問題，即泄露的賬號(hào)信息（占比66%），一旦被泄露到公開網(wǎng)絡(luò)，就可能導(dǎo)致連鎖效應(yīng)。

由于未及時(shí)更新補(bǔ)丁，42%的保險(xiǎn)公司至少存在一個(gè)可能的嚴(yán)重漏洞，可讓黑客獲取初始訪問點(diǎn)，例如影響深遠(yuǎn)的Log4j事件就是由此開始的。此外，造成保險(xiǎn)公司低技術(shù)評(píng)級(jí)和對(duì)勒索軟件高易敏性的原因，就在于整體網(wǎng)絡(luò)狀況不佳。研究顯示，85%的承保人認(rèn)為保險(xiǎn)公司應(yīng)該加強(qiáng)其網(wǎng)絡(luò)安全態(tài)勢(shì)。