信息化觀察網(wǎng)

本文來自微信公眾號“安全419”，作者/七月。

由于網(wǎng)絡安全本身的攻防對抗本質(zhì)，決定了無論組織如何提升自身的網(wǎng)絡安全建設水平和防御能力，攻擊者也不會放棄發(fā)起攻擊的努力。面對當前網(wǎng)絡威脅的發(fā)展趨勢，組織不能無動于衷，必須要適應并積極應對，以阻擋在攻擊技術(shù)、攻擊手段甚至商業(yè)模式方面不斷演進的攻擊者。

網(wǎng)絡保險從誕生至今有超過20個年頭，隨著近些年來網(wǎng)絡威脅形勢的日趨嚴峻，這一險種也被眾多組織視作是彌補網(wǎng)絡安全事件損失的方式之一。眾所周知，從一場沉重的網(wǎng)絡攻擊事件中（如勒索軟件攻擊等）恢復的財務負擔在較大程度上刺激了網(wǎng)絡保險的增長，保險公司所提供的保險產(chǎn)品往往涵蓋了包括安全事件響應成本、業(yè)務中斷和數(shù)據(jù)恢復所導致的損失。

每次說到網(wǎng)絡保險都會提到勒索軟件攻擊，沒錯，勒索軟件攻擊已迅速發(fā)展為整個互聯(lián)網(wǎng)中最普遍的攻擊行為之一，據(jù)此前深信服發(fā)布的《2022年勒索軟件態(tài)勢分析報告》顯示，2022年全網(wǎng)遭受勒索攻擊高達3583萬次,與去年相比增加了1300+萬次。

客戶受損它承擔

網(wǎng)絡保險是勒索軟件攻擊的推動者？

排除政治等其他原因，勒索軟件攻擊的主要目的在于獲利，之所以大量的聲音都在呼吁受害組織不要支付贖金，就是為了遏制攻擊者通過此類攻擊獲利的念頭，而不是支付贖金進一步刺激他們針對其他潛在目標發(fā)起后續(xù)連綿不斷的攻擊，但現(xiàn)實情況我們也看到了——攻擊仍在持續(xù)，支付贖金的行為也在持續(xù)。

坦率地說，要求組織不得支付贖金確實有些過于理想化，畢竟不同的組織在面對攻擊后果的承受能力是不同的。同日常中的買賣一樣，組織會在贖金金額和損失之間進行權(quán)衡，如果贖金相對過高，受害組織可能會決定自己解決問題，不支付贖金；如果贖金金額相對較低，那么難以滿足攻擊者的獲利目的。在某個金額相對“合理”的區(qū)間內(nèi)，雖然不能保證犯罪分子會恢復數(shù)據(jù)，但組織的管理者們可能會認為支付贖金要比自己去嘗試恢復更便宜，反而可能是更為經(jīng)濟的選擇。

到了這里，我們也會考慮一個問題——網(wǎng)絡保險是否對投保企業(yè)通過支付贖金以恢復數(shù)據(jù)的意愿起到了某種促進作用呢？

如果組織所購買網(wǎng)絡保險的條款中包含了支付勒索軟件攻擊的贖金一項，那么毫無疑問，很有可能會促進管理層做出授權(quán)支付贖金的決定。如果不考慮后續(xù)的投保，那么至少這一次，通過保單索賠幾乎不會給企業(yè)增加額外的成本，且相關的數(shù)據(jù)、業(yè)務系統(tǒng)可以迅速恢復。有數(shù)據(jù)顯示，2019年，美國的網(wǎng)絡安全保險同比增長11%，達到創(chuàng)紀錄的22.6億美元，但就在那一時期，勒索軟件攻擊也同樣快速增長，這使得保險公司的賠付率由38%上升到45%。

即便是保單不包括贖金支付，但提供恢復和補救費用，在某種程度上也可能會抑制投保者在防御方面投入的積極性，這仍然是一種權(quán)衡，如果一個組織的管理層確信應對勒索軟件攻擊入侵的成本已經(jīng)被覆蓋，那么他們很可能會不愿意在更優(yōu)的保護措施上追加投入，以進一步降低這種情況出現(xiàn)的可能性。換句話說，如果你都不擔心一件事可能產(chǎn)生的任何后果，那么為什么要費力氣去阻止這件事情發(fā)生的可能呢？

從這個角度看，將網(wǎng)絡保險視為勒索軟件攻擊的推動者之一的觀點似乎站得住，但當我們從另一個角度看，會發(fā)現(xiàn)它的作用更大。

網(wǎng)絡保險可促進投保組織符合最佳網(wǎng)絡安全實踐

需要指出的是，并不是所有的組織都能夠輕松獲得網(wǎng)絡保險，能夠證明自己擁有良好安全態(tài)勢的組織將享受到“優(yōu)惠”待遇——相比其他組織更低的保費支出。在發(fā)生相關安全事件并發(fā)起索賠之后，理賠人員將在授權(quán)支付之前進行盡調(diào)以對受害組織進行評估。畢竟保險公司不是福利機構(gòu)，因此，他們有理由采取一些行動來確保投保組織符合最佳網(wǎng)絡安全實踐。

應對勒索軟件攻擊的安全建設需體系化

如果將網(wǎng)絡上的勒索軟件攻擊視作一種形式，那么最早可以追溯到上個世紀80年代末期，但真正興起則是2000年代中期，自那時起，勒索軟件便一直在威脅著各類組織，而近幾年來，普遍性、專業(yè)性、組織性以及索取贖金的金額之龐大都已經(jīng)成為此類攻擊的特點，從而廣泛的吸引了媒體乃至政府的注意，并將其視作最主要的網(wǎng)絡威脅之一。

對于防守一方的組織而言，通常要做好事前的檢測發(fā)現(xiàn)等相關的防御工作，也要做好事中的響應、處置工作，更要做好事后的恢復工作。尤其是最后者，我們在2022年曾多次強調(diào)災備建設在應對勒索軟件攻擊中的重要性。

這也意味著防御一方需要建立起一套有效的網(wǎng)絡安全體系，畢竟即便是當前最好的網(wǎng)絡安全解決方案也不能保證萬無一失，攻擊者善于利用人為失誤甚至運氣去發(fā)現(xiàn)安全漏洞，并加以利用發(fā)起攻擊，畢竟這一行為可能會帶來的巨大“利潤”給了他們強大的動力。

世界經(jīng)濟論壇《2022年全球網(wǎng)絡安全展望報告》稱，80%的網(wǎng)絡安全領導者認為勒索軟件是對公共安全的重大威脅。勒索軟件損害預計將從2015年的3.25億美元增長到2031年的2650億美元。

盡管政府、安全機構(gòu)、安全企業(yè)都提供了各式各樣的防御建議以及較為成熟的解決方案，更有遠見的組織更是會將網(wǎng)絡保險視作其網(wǎng)絡安全戰(zhàn)略的重要組成部分，但我們也應意識到部署有效的網(wǎng)絡安全戰(zhàn)略需要資源和重點，并不是所有組織都能做到的，就像網(wǎng)絡保險，對于很多企業(yè)而言，一方面是難以達到保險公司要求的購買門檻（如技術(shù)、安全措施等）；另一方面，則是難以負擔的保費支出。

保險數(shù)據(jù)有利于提高安全性

是促進有效防護勒索軟件攻擊的方式之一

如從上一個段落所描述的角度看，網(wǎng)絡保險似乎是勒索軟件攻擊的推動者之一，但我們要知道，真實的答案并非如此。事實上，保險行業(yè)可能掌握著解決勒索軟件攻擊的關鍵。

縱深多層防御的網(wǎng)絡安全防護方法都被廣泛認為是最佳實踐，多層次的保護措施降低了遭受風險的可能性，提高了入侵被迅速識別的能力，并有助于控制和從事件中恢復。但如果說其中究竟哪一層防御措施能提供最有效的保護或最好的投資回報，這很難證明。盡管所有的防御策略都可能是有益的，并且關于最佳實踐的建議是可用的，但目前缺乏證明這種智慧的確鑿數(shù)據(jù)。要證明哪些策略能夠提供最好的防御，需要將經(jīng)歷過勒索軟件入侵的組織與沒有經(jīng)歷過的組織的安全態(tài)勢進行比較。

然而，在保險公司多年來收集的數(shù)據(jù)中，似乎天然就具備更容易尋找答案的潛力，作為保險服務提供者，要想這一過程中不斷地賺到錢，就必須要對投保人提出更高的要求，以避免相關風險的出現(xiàn)，而通過他們多年來所積累的相關數(shù)據(jù)，網(wǎng)絡安全保險實際上可以通過鼓勵投保組織有針對性地改善他們的安全防御，以盡可能地防止他們成為勒索軟件攻擊或部分其他類型攻擊的受害者，從這個角度看，說它可以承擔一個攻擊事件“終結(jié)者”的角色也并不過分。

數(shù)字化對于組織的發(fā)展至關重要，但相應的也不得不面對在管理層面愈加復雜的局面，遏制那些能夠“激勵”攻擊者鋌而走險的動機對于長期的安全是非常重要且必要的，但與此同時也應看到現(xiàn)實——支付贖金在短期內(nèi)仍可能是很多組織在面對此類攻擊時的優(yōu)先選項，因為他們?nèi)狈獙δ芰跋嚓P防護措施。

網(wǎng)絡保險雖然不能徹底解決所有網(wǎng)絡攻擊，也可以在組織受到威脅時通過賠付方式支持組織恢復因攻擊導致的業(yè)務中斷甚至是支付贖金，但更重要的是，在這個過程中他們會更加了解組織在和此類攻擊對抗時失敗的教訓，并也能了解包含哪些安全措施在面對真實的攻擊時是最為有效的詳細信息。

從某種角度上看，網(wǎng)絡保險確實能夠在事件發(fā)生后推動部分投保客戶的管理者做出支付贖金的選擇，但從整個組織的網(wǎng)絡安全戰(zhàn)略角度看，它是必要的一環(huán)，一方面促進了組織為了獲得它而必須加強自身的安全能力建設和水平，以盡可能降低安全事件發(fā)生的可能性；另一方面則在于保險公司所獲得的真實攻擊數(shù)據(jù)將會反過來推動已購買保險的組織進行更為有效的安全建設，畢竟從經(jīng)營的角度看，保險公司是有動力去做好這件事的。