產業觀察:發展網絡安全保險產業 構建新型網絡安全生態
2023年7月,工業和信息化部與國家金融監督管理總局聯合印發《關于促進網絡安全保險規范健康發展的意見》(以下簡稱《意見》),為網絡安全保險市場進一步走向規范健康發展提供了明確指導。根據《意見》指導,本文基于“蜜點”的網絡安全保險體系重新梳理了網絡安全和網絡安全保險之間的關系,探討了如何推動網絡安全保險產業健康有序發展、促進企業加強網絡安全風險管理、降低網絡安全事件發生概率,構建新型網絡安全生態和建設網絡安全社會化服務體系,對統籌調配網絡安全保險領域相關力量、資源、技術,科學精準布局網絡安全保險產業,高效全面發展網絡安全保險生態具有十分重要的借鑒意義。
一、網絡安全保險的重要意義
隨著我國數字經濟的蓬勃發展,各領域的網絡化、智能化轉型持續推進,網絡空間安全威脅和風險日益突出,使得網絡安全風險成為數字時代最大的風險之一。網絡安全保險作為風險轉移的重要手段可以在轉移殘余風險、優化資源配置、保障組織財務穩定性和業務連續性等方面發揮重要作用,能夠有效聚合各方力量,共同提升網絡安全風險治理水平,為數字經濟發展和網絡強國建設提供重要支撐。事實表明,網絡安全保險的重要意義可以從風險管理、社會成本、安全指數、社會責任和品牌賦能等五個方面體現出來。
(一)提升企業網絡安全風險管理水平網絡安全保險有助于企業在戰略、業務以及戰術層面提升網絡安全風險防范能力。與其他險種不同,網絡安全保險的投保門檻較高,要求被保企業在投保前加強風險管控并通過保險企業要求的安全體檢。投保后,被保企業需要按照相關標準規范和要求開展日常主動防御,進行網絡安全風險管理,而非被動響應。這種主動防御模式對被保企業提出了更高的安全要求,需要主動發現問題并及時改進,不斷提升安全能力。因此,被保企業參與網絡安全保險的過程,實質上就是提升網絡安全管理意識、強化網絡安全保障能力的一種表現形態。(二)降低網絡安全保障社會總成本網絡安全保險不僅有助于降低網絡安全事件發生概率,還能夠通過保險的形式擇優采用更為有效的防護手段,避免企業各自為戰造成資源浪費。隨著企業數字化轉型的深入,網絡安全風險也隨之增加。若企業獨自解決安全問題,可能會導致手段多樣且缺乏交互,造成資源浪費。通過網絡安全保險,企業可以將風險轉移至保險公司,由保險公司統一承保、統一加固,選擇最優、普適性的方案提升企業的安全防御能力。此外,還可以利用網絡安全保險提供的經濟賠償和風險管理服務,減少企業管理的邊際成本,降低社會總成本。(三)構建安全指數為用戶安全狀態背書保險公司在進行風險評估時,會對被保企業的安全狀態進行深入了解,同時考慮技術和管理兩方面的控制措施,綜合評估網絡安全狀況,構建企業安全指數。安全指數能夠精準反映企業的網絡安全防御水平,為用戶安全狀態背書。此外,保險公司會持續關注被保企業的網絡安全狀況,確保風險評估結果和實際的出險概率保持一致。如果企業的網絡安全狀況發生變化,比如出現了新的安全漏洞,保險公司會及時調整評估結果和安全指數。這種動態調整的機制可以保證安全指數的準確性和有效性。安全指數作為被保企業網絡安全能力的體現,可以成為企業在市場競爭中的重要優勢。客戶在選擇合作伙伴或產品時,會更加傾向于選擇那些網絡安全保障能力更強的企業。因此,通過網絡安全保險,構建安全指數為用戶安全狀態背書,企業可以增強用戶信任,提升自身市場競爭力。(四)助力企業更好履行社會責任企業社會責任不僅體現在其產品或服務上,還體現在其風險治理能力上。網絡安全風險是當前企業面臨的主要風險之一,網絡安全保險可以幫助企業有效地管理這一風險,從而更好地履行其對社會和客戶的責任。尤其是擁有大量個人信息數據但不具備網絡安全應對能力的企業,網絡安全保險是一種有效的風險轉移工具。發生網絡安全事故后,網絡安全保險可以為企業提供經濟支持,用于賠償因事故造成的第三方損失,如數據泄露或營業中斷帶來的損失。這種經濟補償可以確保企業有足夠的能力去應對網絡安全事故帶來的后果,減輕其經濟壓力,從而更好地履行其社會責任,形成良好的社會形象。(五)賦能品牌為安全產品及服務背書提供安全服務或產品的企業,通過附贈網絡安全保險,可為其服務或產品增加可信度。網絡安全保險的作用不僅在于事故發生后的經濟補償,更在于提升了企業對于網絡安全風險的防控能力,進而增強了其品牌信譽。如果產品的出險率較高,將會提高該產品的保險費用,進而壓縮企業的利潤空間,甚至增大被市場淘汰的風險。因此,安全服務商有充足的動力去提高自身的網絡安全防御實力,以減少風險,增強競爭力。網絡安全保險的存在,不僅為安全服務商的產品和服務提供了可靠的背書,同時也對其品牌價值產生了積極的賦能效果。這體現在它可以增強客戶對品牌的信任度,提高產品的市場競爭力。而安全服務商在提升產品和服務網絡安全保障水平的過程中,也進一步展示了其專業的網絡安全防御實力,從而形成了良性循環,使品牌信譽不斷提升。總的來說,網絡安全保險不僅可以幫助被保企業提高風險管理能力、降低社會成本、構建安全指數、增強社會責任,還可為安全服務商的安全產品賦能商業價值。以上功能的綜合作用將有力推動網絡安全產業生態的重構。
二、網絡安全保險的服務屬性
不同于傳統財產險,網絡安全保險對由于網絡安全事件造成的負面影響進行賠償,賠償內容包括自身財產損失以及對第三方的賠償責任。保險公司在各個階段提供保險合同約定的網絡安全保障服務,因此具有很強的服務屬性。本章通過對投保前的風險評估、承保中的風險控制和出險后的響應與理賠來闡述網絡安全保險的服務。
(一)投保前的風險評估在投保前,風險評估主要是保險公司了解被保企業網絡安全健康狀況的過程,保險公司根據風險評估結果確定是否承保并制定合適價格和保險方案。投保前風險評估范圍和保險標的相關,通常被保險人作為保險標的,包括其所有相關信息系統和資產,如果保險標的是特定系統或資產,則只需對特定資產或系統開展評估。通常被保企業確定保險需求時首要遵循的是“高額損失原則”,即優先投保發生概率不高但可能造成嚴重損失的網絡安全事件;而對于發生概率較高但損失并不嚴重的網絡安全事件,更適宜采取相應的網絡安全措施來降低風險。保險公司會根據評估報告判斷是否能夠承保相關風險,并為被保企業設計滿足其需求的保險方案。與傳統風險評估不同,網絡安全保險的風險評估需要考慮業務場景和需求,因此會帶來風險評估方法的創新,例如安全評級與風險量化等技術。安全評級主要基于主動安全探測和大數據分析等技術,對特定目標進行快速安全檢查,通過定量的方法對其安全健康狀態進行評級。評級結果一方面可以應用于網絡安全保險領域進行核保和定價;另一方面也可以應用于供應商安全管理領域,對供應商的安全健康狀態進行自動化安全檢查和管理,對安全評級較低的供應商采取限制措施,從而防范供應商安全風險。風險量化技術則需要對保單所承保的風險場景進行貨幣式風險量化,這種技術將來還可以應用于網絡安全績效評估上,幫助管理者更好地評估網絡安全投資的回報率。(二)承保中的風險控制在承保中,保險雙方需強化風險預防管理,開展防災防損工作,采取措施減少或消除風險發生的因素,降低安全事件發生概率,從而提高保險公司的經濟效益。由于網絡安全風險的動態性和復雜性,保險公司需要采取手段對保險標的進行持續的風險監測和管理,了解被保企業的風險變化情況。一旦監測到攻擊行為,保險公司會向被保企業發出整改要求,敦促其立即進行安全加固和漏洞修補,以提高企業網絡的安全性。此外,保險公司還需要對被保企業開展安全意識培訓,從而進一步把風險控制在合理的范圍內,這有助于企業在安全事故發生之前提前發現并解決問題。防災防損是保險領域非常重要的環節,保險的目的不是賠償,而是通過風險預防管理等措施提高被保企業的安全防御能力。在網絡安全保險中,風險控制措施的成本需要由保險公司支付。因此,保險公司從降本增效的角度考慮,需要成本更低、更有效的創新技術。此外,隨著業務量的增長,保險公司會為被保企業建設統一的安全監測中心,通過威脅情報或信息共享的技術方式實現風險共擔,降低整體累積風險。由此,可大幅提升被保企業的整體安全防御能力,降低保險公司出險率。(三)出險后的響應與理賠在響應過程中,企業一旦發生網絡安全事故,網絡安全保險的技術服務商會第一時間為被保企業提供應急響應服務,幫助企業開展應急響應工作,以盡量降低企業損失。在理賠過程中,網絡安全保險技術服務商需重點評估網絡安全事件的起因以及其造成的損失是否在承保范圍內,保險公司將根據保險合同條款對企業的經濟損失進行賠償,如業務中斷損失、數據恢復成本、法律訴訟費用等。然而,如果網絡安全事件是由于在承保期間被保企業未履行安全保護義務所造成的,則屬于被保企業因自身因素導致的損失,保險公司可以不予理賠。網絡安全保險在理賠環節還需防范道德風險的問題,以防止騙保行為發生。在發生網絡安全事件后,保險公司會委托專業機構對事件的威脅源、攻擊方法、攻擊路徑等進行分析,確定事件產生的原因。如果發現存在人為故意等違法行為,保險公司可根據除外責任拒絕理賠。
三、基于“蜜點”的網絡安全保險服務體系
(一)“蜜點”提出的背景
主動防御是一種前瞻性的安全策略。2023年5月1日開始實施的國家標準《信息安全技術關鍵信息基礎設施安全保護要求》將主動防御列為新的安全要求。主動防御以對攻擊行為的監測發現為基礎,采取暴露面收斂、誘捕、溯源、干擾和阻斷等措施,開展攻防演習和威脅情報工作,以提升對網絡威脅與攻擊行為的識別、分析和主動防御能力。與遭受到攻擊后才進行安全應對的被動防御不同,主動防御的重點在于預防與發現,被稱為“護衛模式”;而被動防御的重點在于抗打擊和不被攻垮,稱之為“自衛模式”。主動防御對于推動網絡安全保險行業的發展具有重要意義。一方面,網絡安全保險可以推動被保企業中實施主動防御策略來監測被保系統的安全狀況,全面評估網絡安全風險,提高企業安全管理水平,減少網絡安全事故造成的損失,增強企業競爭力。另一方面,網絡安全保險可以作為一個統一的抓手,統籌所保護企業之間的攻擊情況,及時發現大范圍的關聯攻擊,以最小的代價最大程度地及時發現攻擊者存在,從而降低網絡安全事故發生概率,推動網絡安全產業的發展。“護衛模式”的關鍵在于“感知—研判—阻斷”。其中,感知為基礎、研判構核心、阻斷是根本。因此,“護衛模式”的基礎在于“感知”,即要確切地發現攻擊者的存在。為此,我們提出了“蜜點”的概念,旨在及時發現攻擊者的身份。(二)“蜜點”的技術思路傳統的網絡安全保障體系主要遵循防范-檢測-響應-恢復(PDRR)模型,即事先防范、事前入侵檢測、事中應急響應、事后恢復。在入侵檢測方面,一般采用規則檢測或異常檢測,即便采取了基于“蜜罐”的誘捕策略,也只是規則檢測(行為檢測)的一種延伸。然而,對于攻擊者而言,其攻擊手段可以突破已知的各種防御手段。因為大部分防御手段都是公開的,如果攻擊者知道自己無法成功攻擊,他們通常不會浪費時間和資源去做無用功。對于一些民間黑客而言,他們采取的就是“打哪兒指哪兒”的攻擊模式,通過隨機尋找存在漏洞的目標進行攻擊;而APT攻擊則屬于“指哪兒打哪兒”的攻擊模式,攻擊者必定會使用被攻擊者未知的攻擊的手法。因此,依靠規則檢測或異常檢測等方式很難發現這些攻擊行為的存在,自然就不可能知道攻擊者的身份。“蜜點”的思路不再是檢測攻擊流量,而是假定我們無法檢測出未知攻擊。因此,“蜜點”的策略是布設陷阱,設置一些內部人員不會或不應訪問的IP地址,一旦攻擊者成功滲透到內部網絡并試圖進行橫向移動攻擊,他們會有很大概率碰撞到這些IP地址。由于我們預先假定正常人員不會訪問或者沒有超鏈接等渠道訪問這些IP地址,所以只有采取探索技術的橫向移動攻擊者才會踩到這些“蜜點”。因此,我們不再依賴規則或異常檢測來鎖定攻擊者,而是直接通過“踩蜜點”的行為來判定攻擊者是否出現。對于那些路徑固定的、對外提供服務的應用服務器而言,可以采取在系統內部署一些不會被普通用戶所使用的目錄路徑、文件等作為“蜜餌”,一旦有人觸碰到,就可認定是攻擊者。由于攻擊者無法事先了解哪些是路徑蜜點、哪些是誘餌蜜點,在他們嘗試攻擊的過程中,會有很大概率觸碰蜜點,從而暴露其身份。盡管此時防御者尚不清楚攻擊者的具體攻擊手法,但已經知道了誰是攻擊者,讓攻擊者處于明處,自然就可以對其進行防御。所以,“蜜點”的基本邏輯是“以未知應對未知”,既以攻擊者對“蜜點”的未知,來應對防御者對攻擊者的未知。當前,“蜜點”的理念已在冬奧會、廣交會、大運會、亞運會等活動中得到了成功實踐,發現了大量傳統入侵檢測和異常檢測無法發現的攻擊行為。(三)“蜜點”與網絡安全保險在網絡安全保險服務的三個階段中,“蜜點”都有很好的應用。首先是投保前的風險評估階段。這個階段的關鍵在于研判被保企業是否具備攻擊感知能力,可以建議企業通過設置“蜜點”的方式來提升其對網絡攻擊的感知能力。其次是承保中的風險控制。保險企業可以委托相應的安全支撐企業以低成本的方式在被保企業中廣泛布設“蜜點”,并將其匯總到專門為保企業構建的安全監測中心來。這樣做有三個好處:一是“蜜點”的設置不同于在企業網關上進行監測的傳統方式,不會觀察企業自身的網絡流量,從而不會侵犯企業的隱私,這種做法容易被企業所接受;二是一旦發現“踩蜜”行為,可以及時通知被保企業進行整改。如果“踩蜜”者來自外部,則需要核查該來源還訪問過哪些系統,需要立即排查;如果“踩蜜者”來自內部,則說明攻擊者已經控制了內網的結點,需要對之立即清除,并進行溯源,以了解攻擊發生的時間、入侵途徑和方法。由于攻擊者的身份已經確定,這種核查就變得易如反掌,其能力的大小僅取決于被保企業的日志記錄的詳細程度以及記錄周期的長短。三是由于所有被保企業是共用一個安全監測中心,因此,如果一個被保企業監測到了“踩蜜點”的攻擊者,可以將它同步到其他所有被保企業,從而實現主動協同防御。最后是出險后的響應與理賠。在理賠過程中,首先要確定攻擊者的“采蜜者”身份是否在承保過程中已通知給了被保企業,如果是,則需要深入研究為何在知曉攻擊者身份的情況下讓其得逞?這將為是否理賠以及理賠額度的判定提供依據。
四、結語
隨著數字經濟與實體經濟的深度融合,無人駕駛汽車、AI大模型等技術快速發展。新技術在帶來便利的同時必然會帶來新的安全問題,維護企業系統的安全穩定也將付出更多成本。從伴生效應角度來看,任何技術、任何領域都沒有絕對的安全。在這種情況下,攻擊者是未知的,何時發起攻擊也是未知的。網絡安全保險正是針對網絡空間的這種不確定性進行保障的一種方式,發展由“蜜點”加持的網絡安全保險產業,不僅有助于被保企業構建并完善網絡安全風險管理體系,強化網絡安全風險應對能力,合理規劃企業的網絡安全預算,降低企業面臨的網絡安全壓力,而且還有助于降低網絡安全保險的出險率,提升網絡安全保險企業的效益,這對構建新型的網絡安全生態,促進數字經濟的健康有序發展具有重大的利好作用。
(作者為中國工程院院士、廣州大學網絡空間安全學院名譽院長)
分享讓更多人看到