本文来自微信公众号“安全419”,作者/七月。
由于网络安全本身的攻防对抗本质,决定了无论组织如何提升自身的网络安全建设水平和防御能力,攻击者也不会放弃发起攻击的努力。面对当前网络威胁的发展趋势,组织不能无动于衷,必须要适应并积极应对,以阻挡在攻击技术、攻击手段甚至商业模式方面不断演进的攻击者。
网络保险从诞生至今有超过20个年头,随着近些年来网络威胁形势的日趋严峻,这一险种也被众多组织视作是弥补网络安全事件损失的方式之一。众所周知,从一场沉重的网络攻击事件中(如勒索软件攻击等)恢复的财务负担在较大程度上刺激了网络保险的增长,保险公司所提供的保险产品往往涵盖了包括安全事件响应成本、业务中断和数据恢复所导致的损失。
每次说到网络保险都会提到勒索软件攻击,没错,勒索软件攻击已迅速发展为整个互联网中最普遍的攻击行为之一,据此前深信服发布的《2022年勒索软件态势分析报告》显示,2022年全网遭受勒索攻击高达3583万次,与去年相比增加了1300+万次。
客户受损它承担
网络保险是勒索软件攻击的推动者?
排除政治等其他原因,勒索软件攻击的主要目的在于获利,之所以大量的声音都在呼吁受害组织不要支付赎金,就是为了遏制攻击者通过此类攻击获利的念头,而不是支付赎金进一步刺激他们针对其他潜在目标发起后续连绵不断的攻击,但现实情况我们也看到了——攻击仍在持续,支付赎金的行为也在持续。
坦率地说,要求组织不得支付赎金确实有些过于理想化,毕竟不同的组织在面对攻击后果的承受能力是不同的。同日常中的买卖一样,组织会在赎金金额和损失之间进行权衡,如果赎金相对过高,受害组织可能会决定自己解决问题,不支付赎金;如果赎金金额相对较低,那么难以满足攻击者的获利目的。在某个金额相对“合理”的区间内,虽然不能保证犯罪分子会恢复数据,但组织的管理者们可能会认为支付赎金要比自己去尝试恢复更便宜,反而可能是更为经济的选择。
到了这里,我们也会考虑一个问题——网络保险是否对投保企业通过支付赎金以恢复数据的意愿起到了某种促进作用呢?
如果组织所购买网络保险的条款中包含了支付勒索软件攻击的赎金一项,那么毫无疑问,很有可能会促进管理层做出授权支付赎金的决定。如果不考虑后续的投保,那么至少这一次,通过保单索赔几乎不会给企业增加额外的成本,且相关的数据、业务系统可以迅速恢复。有数据显示,2019年,美国的网络安全保险同比增长11%,达到创纪录的22.6亿美元,但就在那一时期,勒索软件攻击也同样快速增长,这使得保险公司的赔付率由38%上升到45%。
即便是保单不包括赎金支付,但提供恢复和补救费用,在某种程度上也可能会抑制投保者在防御方面投入的积极性,这仍然是一种权衡,如果一个组织的管理层确信应对勒索软件攻击入侵的成本已经被覆盖,那么他们很可能会不愿意在更优的保护措施上追加投入,以进一步降低这种情况出现的可能性。换句话说,如果你都不担心一件事可能产生的任何后果,那么为什么要费力气去阻止这件事情发生的可能呢?
从这个角度看,将网络保险视为勒索软件攻击的推动者之一的观点似乎站得住,但当我们从另一个角度看,会发现它的作用更大。
网络保险可促进投保组织符合最佳网络安全实践
需要指出的是,并不是所有的组织都能够轻松获得网络保险,能够证明自己拥有良好安全态势的组织将享受到“优惠”待遇——相比其他组织更低的保费支出。在发生相关安全事件并发起索赔之后,理赔人员将在授权支付之前进行尽调以对受害组织进行评估。毕竟保险公司不是福利机构,因此,他们有理由采取一些行动来确保投保组织符合最佳网络安全实践。
应对勒索软件攻击的安全建设需体系化
如果将网络上的勒索软件攻击视作一种形式,那么最早可以追溯到上个世纪80年代末期,但真正兴起则是2000年代中期,自那时起,勒索软件便一直在威胁着各类组织,而近几年来,普遍性、专业性、组织性以及索取赎金的金额之庞大都已经成为此类攻击的特点,从而广泛的吸引了媒体乃至政府的注意,并将其视作最主要的网络威胁之一。
对于防守一方的组织而言,通常要做好事前的检测发现等相关的防御工作,也要做好事中的响应、处置工作,更要做好事后的恢复工作。尤其是最后者,我们在2022年曾多次强调灾备建设在应对勒索软件攻击中的重要性。
这也意味着防御一方需要建立起一套有效的网络安全体系,毕竟即便是当前最好的网络安全解决方案也不能保证万无一失,攻击者善于利用人为失误甚至运气去发现安全漏洞,并加以利用发起攻击,毕竟这一行为可能会带来的巨大“利润”给了他们强大的动力。
世界经济论坛《2022年全球网络安全展望报告》称,80%的网络安全领导者认为勒索软件是对公共安全的重大威胁。勒索软件损害预计将从2015年的3.25亿美元增长到2031年的2650亿美元。
尽管政府、安全机构、安全企业都提供了各式各样的防御建议以及较为成熟的解决方案,更有远见的组织更是会将网络保险视作其网络安全战略的重要组成部分,但我们也应意识到部署有效的网络安全战略需要资源和重点,并不是所有组织都能做到的,就像网络保险,对于很多企业而言,一方面是难以达到保险公司要求的购买门槛(如技术、安全措施等);另一方面,则是难以负担的保费支出。
保险数据有利于提高安全性
是促进有效防护勒索软件攻击的方式之一
如从上一个段落所描述的角度看,网络保险似乎是勒索软件攻击的推动者之一,但我们要知道,真实的答案并非如此。事实上,保险行业可能掌握着解决勒索软件攻击的关键。
纵深多层防御的网络安全防护方法都被广泛认为是最佳实践,多层次的保护措施降低了遭受风险的可能性,提高了入侵被迅速识别的能力,并有助于控制和从事件中恢复。但如果说其中究竟哪一层防御措施能提供最有效的保护或最好的投资回报,这很难证明。尽管所有的防御策略都可能是有益的,并且关于最佳实践的建议是可用的,但目前缺乏证明这种智慧的确凿数据。要证明哪些策略能够提供最好的防御,需要将经历过勒索软件入侵的组织与没有经历过的组织的安全态势进行比较。
然而,在保险公司多年来收集的数据中,似乎天然就具备更容易寻找答案的潜力,作为保险服务提供者,要想这一过程中不断地赚到钱,就必须要对投保人提出更高的要求,以避免相关风险的出现,而通过他们多年来所积累的相关数据,网络安全保险实际上可以通过鼓励投保组织有针对性地改善他们的安全防御,以尽可能地防止他们成为勒索软件攻击或部分其他类型攻击的受害者,从这个角度看,说它可以承担一个攻击事件“终结者”的角色也并不过分。
数字化对于组织的发展至关重要,但相应的也不得不面对在管理层面愈加复杂的局面,遏制那些能够“激励”攻击者铤而走险的动机对于长期的安全是非常重要且必要的,但与此同时也应看到现实——支付赎金在短期内仍可能是很多组织在面对此类攻击时的优先选项,因为他们缺乏应对能力及相关防护措施。
网络保险虽然不能彻底解决所有网络攻击,也可以在组织受到威胁时通过赔付方式支持组织恢复因攻击导致的业务中断甚至是支付赎金,但更重要的是,在这个过程中他们会更加了解组织在和此类攻击对抗时失败的教训,并也能了解包含哪些安全措施在面对真实的攻击时是最为有效的详细信息。
从某种角度上看,网络保险确实能够在事件发生后推动部分投保客户的管理者做出支付赎金的选择,但从整个组织的网络安全战略角度看,它是必要的一环,一方面促进了组织为了获得它而必须加强自身的安全能力建设和水平,以尽可能降低安全事件发生的可能性;另一方面则在于保险公司所获得的真实攻击数据将会反过来推动已购买保险的组织进行更为有效的安全建设,毕竟从经营的角度看,保险公司是有动力去做好这件事的。