簡單地說,每個資訊保安計畫都涵蓋兩個方面:保護和響應。成功的網路安全計畫應該包括這兩者,不過無論就哪個方面來講,企業需要處理好這五個問題:
1.他們已經控制並完全實施的事情;
2.他們可以處理,但難以解決的事情;
3.他們必須努力應對但仍然無法管理的事情;
4.他們不知道如何處理的事情(在流程、技術或人員方面的投資不會帶來差異);
5.他們的程式由人來定義和管理,而人難免犯錯。
現在的問題是:企業如何應對這些不可避免的現實問題,特別是認識到在損害發生之前企業無法檢測所有的攻擊,或者無法在不影響業務的情況下緩解每個安全事件。
對於某些企業來說,這些問題的答案就是網路安全保險。
保險經紀公司lockton公司網路風險業務主管ben beeson表示:「首席資訊保安官完全會支援網路安全保險,因為這可以稍微減輕他們的負擔。」
儘管如此,網路安全保險是每家公司都應該考慮的做法嗎?或者說,這只是少部分公司的可行選擇?為了回答這些問題,我們需要看看網路安全保險在企業安全計畫內發揮的作用,但首先我們需要明確網路安全保險是什麼。在2023年rsa大會中,網路安全保險是多個討論的焦點。在本文中,技術以及金融服務的專家**了這個話題以及它如何適用於現代企業安全計畫。
網路安全保險市場什麼樣?
根據金融服務的一些人表示,網路安全保險的概念已經存在12到16年。optiv security公司安全培訓副總裁blake huebner表示,網路安全保險在上世紀90年代就已經出現。
無論它何時出現,網路安全保險的部署最初主要受隱私和資料洩露法規所推動(這與網路安全技術類似),現在實際發生的安全洩露事故也在推動網路安全保險的發展。
huebner表示:「鑑於target和home depot遭遇的資料洩露事故,這個市場得到很大的推動。醫療保健行業的部署率最高,其次是教育、遊戲、公用事業、金融服務和零售業。這是乙個快速成熟的市場。」
在網路安全保險領域,現在有很多**商和經紀公司,這個市場已經開始賺很多錢。
金融服務公司cna insurance網路及**部門技術負責人jacob ingerslev表示:「目前有將近100家保險公司提供網路安全保險,80%到90%的業務集中在10家公司。」
「在2023年,網路安全保險市場的收入在25億到30億美元之間,」beeson在2023年advisen網路安全會議上說道:「根據pricewaterhousecoopers統計,這已經是乙個有利可圖的市場,在未來四年,這個市場將會增長近四倍,到2023年,該市場估值為70億到80億美元。」
顯然,保險公司正在賺錢,主要來自少量企業。pivotpoint risk analytics公司總裁兼首席執行官julian waits表示:「在美國只有2%的公司有網路安全保險,最大的問題是量化風險,這不是線性的,精算資訊也不成熟,因此保險公司會面臨各種問題『我們如何對這種風險定價?』他們需要購買什麼以及購買多少,他們實際得到什麼回報。」
網路安全保險並不能取代安全最佳做法,但專家表示這是填補安全計畫空白的重要組成部分。風險評估公司datumsec聯合創始人兼首席執行官jonathan niednagel表示:「任何安全專業人士都會告訴你,你永遠不可能100%防止攻擊。如果這是真的,那麼最佳做法和盡職調查會給你95%的保護,而網路安全保險會涵蓋剩下的5%。但很多專業人士認為他們可以部署鬆懈的安全措施,因為他們買了保險,得到了保險的保護。」
網路安全保險該如何整合至企業安全計畫中?
專家表示,總的來說,網路安全保險意義非常。儘管保險單可能意味著要花費很大的成本,但這會讓某些企業覺得在網路安全計畫中包含網路安全保險是更安全的做法。
然而,這並不是像打**給保險公司或經紀人並要求開保單那麼簡單,其中需要涉及大量分析工作。讓事情更複雜的是,企業開始用不同的目光審視風險和網路安全保險。
在target公司資料洩露事故之前,網路安全保險保單是基於靜態方法來評估風險。企業要填寫評估表,向承包方進行講述,可能還需要進行某種形式的對話。在完成評估、開好保單後,保險人將會離開並祈禱未來12個月的安全。
但在target資料洩露事故發生後的世界,我們看到資料洩露事故總是在發生。對保險公司來講,這種「希望和祈禱」模式已經不再可行。網路安全和風險管理公司stroz friedberg副總裁william dixon表示:「網路安全保險是相對較新的金融工具,在我看來,此前網路安全保險只是被視為企業網路安全計畫的之後的想法。」
dixon補充說:「企業現在意識到他們永遠無法通過人力、流程和技術來確保100%的安全性。所以我們看到很多客戶開始選擇把網路安全保險加入網路安全計畫。這並不是作為提高其技術和流程安全成熟性的補充,而是用於處理資料洩漏事故時的恢復工作,包括修復、資料洩露通知、信用監督和外部法律顧問的支援。」
安永公司全球資訊保安負責人ken allan解釋說,對於有些企業來說,想要獲得良好的網路安全保險困難重重。allan說道:「我們乙個大型銀行客戶通過分析以弄清楚他們可對其網路安全投資做些什麼,能否通過花更多錢來保護更多重要資產。結果是,在某些情況下,安全技術非常複雜,採購和維護的成本太高,該銀行最後選擇使用網路安全保險來涵蓋這些風險。」
開發工具 給你的專案買份保險 Python虛擬環境
讀完需要9分鐘 虛擬環境的意義,就如同 虛擬機器 一樣,它可以實現不同環境中python依賴包相互獨立,互不干擾。這在一定程度的意義上,給了我們的專案乙份很有力的保障。在這裡,我把它戲稱為 保險 全網唯一。舉個例子吧。假設我們的電腦裡有兩個專案,他們都用到同乙個第三方包,本來一切都順利。但是由於某種...
如何建設企業網路安全體系
隨著網路的泛化和無邊界化,網路安全問題會越來越嚴峻。單就惡意 一項,就呈現出 增長的趨勢。目前全球已經有 50億惡意樣本,每天還將以300萬種的速度產生。如果把惡意 問題看作天災的話,那麼現代網路同時還面臨著 人禍 稜鏡門 事件揭露了網路資料被監聽的事實,暴露出 網路安全角勢嚴峻。無論資料被惡意 破...
如何避免來自企業內部的網路安全威脅(二)
3.確保對企業關鍵資訊的所有訪問都來自於單個使用者 特定的事件需要與特定的人聯絡起來,以便問責。企業需要清楚知道誰正在網路上操作,他們正在做什麼。使用userlock的粒狀規則和策略來保護網路訪問,在出現問題問責的時候使用者就無從抵賴,userlock可自動識別每乙個使用者的每一項活動。4.對可疑或...