近日,安全公司黑风筝发布《2022年线上保险业务风险报告》,对保险公司和整个互联网保险行业面临的新威胁进行了深入研究,并对当前排名前99的保险公司进行了分析.(以净保费为基础)进行了分析。BlackKite研究团队从第三方风险角度深入审视保险公司的网络安全态势,聚焦当前最大的99家保险公司(按净保费排名),揭示行业网络风险和潜在关注点。总体而言,该保险公司的平均评级为“B”,技术评级为84.6。评级为“B”的公司发生数据泄露的可能性是评级为“A”的公司的三倍。图1在线业务保险公司等级分布数据也显示,保险公司的平均勒索软件易感指数等级为0.17(在0.0-1.0的易感等级上,这是一个不错的分数)。然而,这些保险公司中有18%的易感性指数高于0.6的临界阈值,表明对勒索软件的敏感性很高。需要注意的是,低敏感性并不代表没有敏感性。网络威胁和漏洞每秒都在发生,持续主动的响应成为先决条件。图2保险公司勒索软件易感性指数在与勒索软件相关的安全问题中,“钓鱼”的易感性排名第一,占比82%;凭据泄露占66%;数据泄露占比43%;高危漏洞占比42%;公开可见的关键端口占25%。网络钓鱼对于攻击者来说成本非常低,但如果成功,则可以产生巨额利润。据思科《2021年网络安全报告》称,86%的组织在去年至少有一个人点击了网络钓鱼链接。此外,数据还显示,网络钓鱼约占数据泄露的90%。图3与勒索软件相关的安全问题在网络钓鱼事件中,最常见的请求包括披露凭据、共享个人信息或授予对平台的访问权限。即使像证书这样简单的东西也可能是攻击者访问企业整个数据库所需的密钥。这也导致了第二个紧迫的问题,即账户信息泄露(占比66%),一旦泄露到公网可能会引发连锁反应。由于没有及时修补,42%的保险公司至少存在一个潜在的关键漏洞,让黑客获得了初始访问点,例如开始的影响深远的Log4j事件。此外,由于整体网络状况不佳,保险公司的技术评??级较低且对勒索软件的敏感性较高。研究表明,85%的保险公司认为保险公司应该加强其网络安全态势。
