2022年网络保险业务风险报告：勒索病毒和供应链攻击激增

前言
 
网络环境的波动性和复杂性颠覆了网络保险业务的格局，这迫使业界重新评估与其相关的网络风险。至2026年，全球网络保险市场预计将以平均每年25%的复合增长率增长，与此同时，网络保险也将制定严格的定价标准和承保标准。
 
保险公司需要快速精准地评估每个投保人的网络健康状况，因此，他们需要在全球范围内招募承销商，部署相关应用并展开尽职调查。重要的是，保险公司的供应将变得庞大而复杂，这使其生态系统更容易遭受数据泄露或勒索软件攻击的影响。
 
除了对整个网络保险市场面临的新兴威胁进行研究之外，Black Kite Research还分析了2019年保费收入排名前99位的保险公司，以便更好地了解他们的网络状况和风险等级。
 
这项研究的目的是为网络保险行业的CISO们和保险公司提供有关新型网络风险的洞察和见解，帮助他们有效识别并抵御可能阻碍业务的网络威胁。
 
主要发现
 
1、相较于普通保险公司，超过一半的大型保险公司遭遇网络攻击的概率增加了3倍；
 
2、18%的保险公司的勒索病毒易感指数高于临界阈值0.6，表明其非常容易遭受勒索攻击；
 
3、前82%的保险公司容易受到网络钓鱼攻击；
 
4、软件供应商是供应链攻击最常见的来源，占2021年所有第三方事件的25%。
 
网络趋势和新兴风险
 
远程办公模式的兴起意味着更多的未知网络环境、未知设备，以及各个公司及人员之间更高频的互联互通。对于网络保险公司而言，这种变化和增长将显著提高承保的风险等级，事实上，更高昂的保费往往意味着更严峻的风险。
 
根据WoodruffSawyer公司的一项调查，62%的保险公司预计保费将在未来一年大幅增长，这种增长是勒索攻击和供应链攻击快速上升的直接结果。此外，保费增长还源于整体市场的认知调整，通过定价正确反映当前环境的整体风险水平。
 
•勒索软件 

如今，全球每11秒就会发生一次勒索攻击，在2021年，这个数据是每分钟六次。事实上，迄今为止最大一笔勒索攻击的赎金是由一家保险公司在2021年支付的，总额略低于4000万美元，而2021年的平均支付金额约为13万美元。
 
勒索事件造成的影响远不止赎金本身，其往往超过了最初估计的财务支出。这种连锁反应带来的成本还包括声誉受损和业务中断的代价。根据Coveware的数据，今年到目前为止，企业若遭受勒索攻击恢复业务平均需要三周时间，全面修复的成本接近200万美元，比2021年平均100万美元的财务损失翻了一番。
 
网络保险对此有什么帮助？
 
网络保险可以覆盖企业意外宕机期间损失的业务利润和部分固定支出，但随着风险的上升和更多的索赔要求，保费变得非常高昂。
 
当损失开始超过预估，保险公司因此陷入困境，同时催生了更多持续性、自动化风险评估的市场需求，投保人可以依此评估自身的安全投入和组合方式是否合理。
 
•数字供应链 

世界各地的企业见证了越来越多的网络攻击，特别是针其数字供应链的攻击。拥有多个行业客户的软件和科技公司最容易成为第三方安全事件中的活靶子。
 
根据Black Kite研究小组在其最新的年度第三方违规报告中的数据，软件供应商是最常见供应链攻击来源， 占2021年所有安全事件的25%。 此外，因第三方违约，15亿用户的PII（个人身份信息）被泄露。想要恢复被暴露的敏感数据既昂贵又耗时，而且会带来聚合性风险。
 
何为聚合性风险？
 
聚合性风险考虑了与网络安全事件的规模和范围相关的风险。从本质上讲，一起较大的事故可能会引发连锁反应，在几个关键行业造成连带事故，如果影响足够大，就会触发系统性的崩溃。具体地说，在网络保险领域，一起导致保险公司投资组合中多家保险公司业务中断或凭证泄露的事件，可能会在上述单一事件中引发一群投保人的损失。
 
纵观2021年最具影响力的安全事件， 攻击者具有明显的针对性策略——他们的目标是那些为上下游企业提供解决方案或服务的产品和公司。这些有针对性的攻击事件给保险公司敲响警钟:如果一家被攻击公司的所有客户同时受到影响，该怎么办?
 
软件供应链攻击在2021年增加了300%，对2022年及以后的预测将继续保持相同的态势轨迹。Forrester预测，2022年60%的安全事故将由第三方事件造成。即使一家企业认为自身具有健全的安全策略，但也只需要一个薄弱的供应商就很容易遭受入侵。
 
对于保险公司来说，这种飙升意味着首先要对欲投保的客户采取更严格的协议，尤其是在他们的风险水平已经处于高位的情况下。根据Evidence的最新数据，通常由于无法达到的要求和高昂的保费，75%的第三方供应商不符合雇佣他们的企业制定的保险要求，这通常是由于高标准的要求和高昂的保费。此外，第三方对所有要求方面的的平均合规率仅为25%。
 
网络保险公司的第三方风险管理态势
 
Black Kite从第三方风险的视角更深入地研究了保险公司的网络态势。在这项研究中，其团队分析了2019年保费收入最高的99家保险公司，以揭示该行业的网络威胁和潜在的风险领域。
 
•整体风险等级 

 
总体而言，保险公司的平均风险等级为B级或“良好”，平均风险等级分为84.6。
 
Black Kite遵循并应用MITRE开发的框架来确定公司的总体评级，将高度技术性的术语转换为简单的字母等级。网络风险评级是一种开源情报的集合，可以让人们了解一家公司的整体网络健康状况。
 
总评级是20个不同类别维度评估的加权平均值，覆盖了足够广的检测范围，每个类别以及每个控制点在整体等级中具有不同的权重。Black Kite提供了290个控制点，拥有各种与MITRE的TTP对应的权重以尽可能地消除误报。在本项研究中，评级为“B”的公司遭遇数据泄露的可能性是评级为“A”的公司的3倍。
   
•勒索病毒易感评级 

数据还显示，保险公司的平均勒索软件易感指数评级为0.17（易感等级为0.0-1.0上，则态势非常好）。然而，在这些保险公司中，有18%的易感指数高于0.6的临界阈值，这表明其非常容易遭受勒索病毒的攻击。需要注意的是，低易感性并不意味着不会被感染。网络威胁和漏洞无时无刻地出现，这也使得持续和主动响应成为先决条件。
  •其他易中招的网络威胁 

在所研究的保险公司面临的与勒索软件相关的安全问题中，易受网络钓鱼攻击位居榜首，占比82%，泄漏账号占比66%，数据泄露占比43%，高危漏洞占比42%，暴露关键端口占比25%。
  对于攻击者来说，网络钓鱼成本极低，而一旦成功，即可创造巨额收益。企业缺乏针对员工的安全意识和技能培训是网络钓鱼能够成功的主要原因，木桶效应决定了，整个企业只要有一名大意的员工，就有可能中招。思科的2021年网络安全报告表明，去年86%的企业至少有一名员工点击过网络钓鱼链接。此外，数据还表明，大约90%的数据泄露事件是由网络钓鱼造成的。

 
最常见的“诱饵”包括披露账户、共享个人信息或授予平台访问权限。即使是像证书这样简单的东西，也可能是攻击者访问企业整个数据库所需的关键。这也导致了第二个紧迫的问题，即账号信息的泄露，一旦账户信息被公开或倒卖，还可能引发连锁反应。
 
数据还显示，由于未及时更新补丁，42%的保险公司系统至少存在一个可利用的危险漏洞，它让攻击者获得了初始访问的抓手，例如影响深远的Log4j事件就是由漏洞引发的。
 
综上所述，造成保险公司网络风险评级和对勒索软件易感性高的原因，就在于整体网络健康状况欠佳。46% 的承销商认为，网络风险将在 2022 年大幅增加，85%的承销商认为保险公司应该加强其网络安全建设，没有一家承销商认为提高保费就能够有效降低风险。毕竟，着眼问题的本质并改善，才是缓解风险的有力策略。