近日,安全公司Black Kite发布了《2022年线上保险业务风险报告》,对承保人和整个线上保险行业面临的新型威胁进行了深入研究,并对目前排名前99的保险公司(按净保费计算)进行了分析。
Black Kite 研究团队从第三方风险的角度深入研究了保险公司的网络安全态势,并重点分析了目前最大的99家保险公司(按净保费排名),揭示了该行业的网络风险和潜在的关注领域。总体而言,保险公司的平均等级为“B”,技术评级为84.6。而评级为“B”的公司发生数据泄露的可能性是获得“A”评级的公司的3倍。
图1 在线业务保险公司等级分布
数据还显示,保险公司的平均勒索软件易感指数评级为0.17(在0.0-1.0的易感等级上,这是个不错的分数)。然而,在这些保险公司中,有18%易感指数高于0.6的临界阈值,这表明其勒索软件的易感性很高。需要注意的是,低易感性并不意味着没有易感性。网络威胁和漏洞每秒都在发生,这也使得持续和主动响应成为了先决条件。
图2 保险公司的勒索软件易感指数
而在与勒索软件相关的安全问题中,“网络钓鱼”的易感性位居榜首,占比82%;泄漏凭据占比66%;数据泄露占比43%;高危漏洞占比42%;公开可见的关键端口占比25%。网络钓鱼对于攻击者来说,成本极低,而一旦成功,即可创造巨额收益。根据思科《2021年网络安全报告》显示,去年86%的组织至少有一个人点击了网络钓鱼链接。此外,数据还表明网络钓鱼占数据泄露事件的90%左右。
图3 与勒索软件相关的安全问题
在网络钓鱼事件中,最常见的请求包括披露凭证、共享个人信息或授予对平台的访问权限。即使是像证书这样简单的东西,也可能是攻击者访问企业整个数据库所需的关键。这也导致了第二个紧迫问题,即泄露的账号信息(占比66%),一旦被泄露到公开网络,就可能导致连锁效应。
由于未及时更新补丁,42%的保险公司至少存在一个可能的严重漏洞,可让黑客获取初始访问点,例如影响深远的Log4j事件就是由此开始的。此外,造成保险公司低技术评级和对勒索软件高易敏性的原因,就在于整体网络状况不佳。研究显示,85%的承保人认为保险公司应该加强其网络安全态势。