文章来源：虹科网络安全 点击阅读原文：https://mp.weixin.qq.com/s/myCFPYtVVz5TPSFQaKqvLg

网络风险似乎往往很难量化，这使得保险公司很难适当地承保其网络风险政策。威胁载体的数量和不断发展的威胁，如新型恶意软件/勒索软件，导致出现对适当定价的困惑。承保网络风险政策的公司需要衡量指标，以帮助降低其投资组合中的风险。

为什么保险公司需要“注意缺口”？

随着网络风险的重要性不断增加，公司现在认识到，传统的商业一般责任(CGL)政策缺乏对这些新风险的覆盖。认识到这一点，保险公司试图利用专门的网络风险政策。网络风险政策充当“缺口”保险，在CGL和业务连续性政策中的排除限制投保人恢复的情况下提供保险。

例如，在最近的一次保险纠纷中，一家保险公司声称NotPetya攻击是网络战，从而援引战争排除来限制保险。然而，即使包括了网络风险政策的排除，网络风险公司也需要知道投保人的控制是否应该有效地减少恶意软件和勒索软件威胁。

为什么公司难以承保网络安全政策

网络政策承保类似于上世纪90年代中后期的环境污染政策问题。正如没有人能够预测化学品泄漏将在何时以及如何发生一样，也没有人能够预测恶意行为者将在何时以及如何试图侵入公司的系统、网络和软件。然而，同样类似于环境覆盖，组织可以对其业务实践和控制负责。

谁收集数据?

许多组织收集数据，但有时公司从别人那里购买或为别人管理数据。如果你的投保人不是收集信息的人，你需要了解是谁在收集信息，并了解他们在传输、存储和收集信息方面的安全程度。

数据存储在哪里?

与了解谁收集数据类似，你还需要知道信息存储和传输的位置。用户需要知道数据是存储在本地、云端还是数据中心。你甚至可能需要知道信息所在的区域。

如何保护数据?

即使你知道数据收集的“人”和“地点”，你仍然需要知道投保人及其供应链如何保护数据安全。供应流中的一个薄弱控制就可能导致数据泄露，保险公司必须根据其网络风险政策进行承保。

建立承保网络安全保险政策的指标

无论你的保险公司希望通过这些信息来确定一家公司是否值得投资，还是你的精算师正在努力评估你的网络风险产品的财务风险，你都需要了解你的保险客户如何保护他们的数据。

**全评级帮助保险公司更好地定价其网络风险政策，以降低其投资组合中的风险。**安全评级使用公开可用的信息，并评估由控制弱点引起的潜在数据泄露风险。网络安全保险提供商可以使用安全评级来了解您的投保人及其供应流合作伙伴保护数据的方式，以便您可以根据指标编写政策，而不仅仅是猜测。

安全评级提供了清晰的指标，帮助网络风险保险公司分析投保人对业务的风险。就像保险公司在撰写CGL或汽车政策前审查信用评级或个人驾驶历史以获取可操作的情报一样，安全评级提供了关于投保人或潜在投保人的安全配置文件的信息。

Web应用风险
恶意行为者使用基于web的应用程序作为获取未经授权访问用户信息的方式。一些最常见的形式包括跨站脚本(XSS)、SQL注入和安全配置错误。安全评级平台持续监控互联网的潜在控制弱点，增加了恶意行为者使用web应用程序访问系统、网络和服务的风险。当使用安全评级来降低承保风险时，低评级的潜在投保人有一些弱点，使他们更有可能遭遇数据泄露，并增加您提出索赔的可能性。
网络安全风险
随着组织将关键任务的业务操作转移到云端，网络安全变得更加重要。一个配置错误的云资源可能会对整个供应流造成严重破坏。安全评级有助于收集信息，例如使公司面临数据泄露风险的令人讨厌的错误配置S3存储桶。网络安全得分低意味着该公司对您的保险公司是一个增加的责任。
IP信誉
恶意软件和勒索软件攻击，如NotPetya攻击，通过在后台运行，看起来像常规程序来渗透到组织的基础设施中。安全评级可以帮助识别其网络被感染的潜在投保人。此外，由于安全评级不断监测这些类型的渗透，保险公司可以实时了解其投保人和潜在投保人的反恶意软件和反勒索软件保护的工作情况。公司越早发现潜在的恶意软件或勒索软件攻击，公司经历的资金和停机时间就越少。知识产权声誉类别的低安全评级意味着投保人面临更大的风险，没有很好地管理其控制。
补丁速度
许多公司缺乏财务资源来定期更新其IT资产。无论是旧笔记本电脑还是服务器，所有IT资产都需要使用最新的安全补丁进行更新。恶意攻击者通过使用常见漏洞(CVE)和攻击组织缺乏安全补丁更新来渗透到组织中。虽然30天是普遍接受的安全更新时间框架，但并不是所有组织都定期打补丁。如果你希望承保一家安全评级较低的公司来打补丁，你可能会增加保险公司的财务风险。

虹科网络安全评级 如何帮助网络风险保险公司

虹科网络安全评级持续监控互联网，摄取公开的信息，为确定一家公司是否值得冒风险提供必要的衡量标准。我们的分析和机器学习能力不断更新，以便保险公司可以监控其投资组合中的威胁。

我们的研究发现，评级为D或F的公司遭遇数据泄露的可能性是评级为A-C的公司的五倍。网络安全政策承保人可以使用我们的评级来确定投保人或潜在投保人是否保持有效的控制。例如，如果一家评级为A的公司遭遇数据泄露，疏忽的可能性很低，这意味着政策可能会弥补他们的损失。然而，安全评级为D或F的投保人可能不会保持持续有效的控制，这可能表明保险问题。

虹科网络安全评级不仅为组织的总体安全状况提供信息，而且我们的平台还为我们的十个因素提供个人安全评级。使用虹科网络安全评级的网络风险保险公司可以对个人控制弱点获得可操作的洞察。例如，虽然一家公司的网络安全评级可能是A，但其补丁速度评级可能是D。网络风险保险公司可以定期审查其投资组合，并使用虹科网络安全评级平台的补救建议向投保人提供可行的反馈。这些详细的分析还可以帮助深入了解发生数据泄露索赔时的特定控制弱点。

最后，虹科网络安全评级易于阅读的安全评级使您的保险公司的所有成员都能够了解承保潜在政策的内在风险。承销商可以很容易地看到一家公司的风险有多大，以及这些风险在哪里，从而实现更准确的定价。

虹科是在各细分专业技术领域内的资源整合及技术服务落地供应商。虹科网络安全事业部的宗旨是：让网络安全更简单。 凭借深厚的行业经验和技术积累，近几年来与世界行业内顶级供应商Morphisec，DataLocker，Allegro，SSC，Mend，Apposite，Profitap，Cubro，Elproma等建立了紧密的合作关系。我们的解决方案包括终端安全、数据安全、网络安全评级、应用安全分析、网络流量监控、网络仿真测试等行业领先的解决方案。虹科的工程师积极参与国内外专业协会和联盟的活动，重视技术培训和积累。
此外，我们积极参与工业互联网产业联盟、中国通信企业协会等行业协会的工作，为推广先进技术的普及做出了重要贡献。我们在不断创新和实践中总结可持续和可信赖的方案，坚持与客户一起思考，从工程师角度发现问题，解决问题，为客户提供完美的解决方案。