2022年線上保險業務風險研究
責編:gltian |2022-04-27 13:36:17
近日,安全公司Black Kite發布了《2022年線上保險業務風險報告》,對承保人和整個線上保險行業面臨的新型威脅進行了深入研究,并對目前排名前99的保險公司(按凈保費計算)進行了分析。
Black Kite 研究團隊從第三方風險的角度深入研究了保險公司的網絡安全態勢,并重點分析了目前最大的99家保險公司(按凈保費排名),揭示了該行業的網絡風險和潛在的關注領域。總體而言,保險公司的平均等級為“B”,技術評級為84.6。而評級為“B”的公司發生數據泄露的可能性是獲得“A”評級的公司的3倍。
圖1 在線業務保險公司等級分布
數據還顯示,保險公司的平均勒索軟件易感指數評級為0.17(在0.0-1.0的易感等級上,這是個不錯的分數)。然而,在這些保險公司中,有18%易感指數高于0.6的臨界閾值,這表明其勒索軟件的易感性很高。需要注意的是,低易感性并不意味著沒有易感性。網絡威脅和漏洞每秒都在發生,這也使得持續和主動響應成為了先決條件。
圖2 保險公司的勒索軟件易感指數
而在與勒索軟件相關的安全問題中,“網絡釣魚”的易感性位居榜首,占比82%;泄漏憑據占比66%;數據泄露占比43%;高危漏洞占比42%;公開可見的關鍵端口占比25%。網絡釣魚對于攻擊者來說,成本極低,而一旦成功,即可創造巨額收益。根據思科《2021年網絡安全報告》顯示,去年86%的組織至少有一個人點擊了網絡釣魚鏈接。此外,數據還表明網絡釣魚占數據泄露事件的90%左右。
圖3 與勒索軟件相關的安全問題
在網絡釣魚事件中,最常見的請求包括披露憑證、共享個人信息或授予對平臺的訪問權限。即使是像證書這樣簡單的東西,也可能是攻擊者訪問企業整個數據庫所需的關鍵。這也導致了第二個緊迫問題,即泄露的賬號信息(占比66%),一旦被泄露到公開網絡,就可能導致連鎖效應。
由于未及時更新補丁,42%的保險公司至少存在一個可能的嚴重漏洞,可讓黑客獲取初始訪問點,例如影響深遠的Log4j事件就是由此開始的。此外,造成保險公司低技術評級和對勒索軟件高易敏性的原因,就在于整體網絡狀況不佳。研究顯示,85%的承保人認為保險公司應該加強其網絡安全態勢。