- Do nhu cầu ngày càng tăng và rủi ro của bên thứ ba, các nhà cung cấp bảo hiểm mạng đang đánh giá tình hình bảo mật của doanh nghiệp cẩn thận hơn nhiều, đến mức họ hạn chế hoặc từ chối bảo hiểm dựa trên việc sử dụng một công nghệ cụ thể.
- Trong ba năm qua, các bề mặt tấn công và chiến thuật của đối thủ đã phát triển, kéo theo chi phí và mức phí bảo hiểm mạng cũng tăng theo.
- Đối với “Báo cáo xu hướng thị trường bảo hiểm mạng năm 2022”, Panaseer đã khảo sát 400 công ty bảo hiểm trên toàn thế giới. Các phát hiện cho thấy bảo mật đám mây được đánh giá là yếu tố quan trọng nhất cần xem xét khi đánh giá tình hình bảo mật do sự gia tăng của lực lượng lao động kết hợp.
Các nhà cung cấp bảo hiểm mạng đang đánh giá tình hình bảo mật của các doanh nghiệp chặt chẽ hơn đáng kể do nhu cầu ngày càng tăng và rủi ro rủi ro của bên thứ ba, đến mức họ hạn chế hoặc từ chối bảo hiểm dựa trên việc sử dụng công nghệ cụ thể.
Khi các cuộc tấn công bề mặt và chiến thuật của đối thủ đã gia tăng trong ba năm qua, tỷ lệ và khoản thanh toán bảo hiểm mạng cũng tăng theo. Các công ty bảo hiểm ngày càng có danh sách yêu cầu ngày càng tăng để khách hàng phải tuân theo khi họ phải vật lộn để theo kịp sự phát triển nhanh chóng của các mối lo ngại về an ninh mạng, chẳng hạn như cài đặt xác thực đa yếu tố (MFA). Tuy nhiên, do chi phí của các cuộc tấn công mạng đã tăng lên đáng kể, các nhà cung cấp bảo hiểm mạng hiện đang tiến thêm một bước nữa.
Trong khi cả hai bên tiếp tục tìm cách tăng cường vị thế bảo mật của mình, một số công nghệ và phần mềm có thể có tác động đến phạm vi phủ sóng của công ty. Theo Payal Chakravarty, người đứng đầu sản phẩm tại Liên minh nhà cung cấp bảo hiểm mạng, tỷ giá được xác định bởi các vấn đề cơ bản dẫn đến yêu cầu bồi thường. Các ví dụ bao gồm các vấn đề về chuỗi cung ứng, các mối nguy hiểm liên quan đến đối tác bên thứ ba và giao thức máy tính để bàn từ xa (RDP), những vấn đề này tiếp tục là vấn đề đối với SMB.
Ngay cả khi tỷ giá tăng lên, bà khẳng định rằng các doanh nghiệp vẫn có thể kiểm soát chi phí bằng cách lựa chọn rủi ro một cách khôn ngoan hơn đối với các sản phẩm và công nghệ mà họ sử dụng. Theo Chakravarty, tỷ lệ liên minh phụ thuộc vào công nghệ nhất định; do đó, mỗi lần gia hạn không phải là tốc độ tăng liên tục. Tỷ lệ gia hạn phụ thuộc vào hành vi của người dùng, bao gồm cách họ phản ứng với thông báo của Liên minh, liệu họ có giải quyết được vấn đề hay không và xếp hạng dựa trên công nghệ.
Ví dụ: Chakravarty tuyên bố rằng sự hiện diện của các sản phẩm SonicWall trong mạng của khách hàng có thể làm tăng phí bảo hiểm do số lượng lỗ hổng bảo mật, bao gồm cả lỗ hổng zero-day mà các tác nhân đe dọa đã khai thác gần đây. Chi phí có thể đặc biệt đáng kể nếu một công ty không nhanh chóng sửa chữa một số lỗ hổng nhất định.
“Bạn đã có SonicWall, [and] chúng tôi biết SonicWall là một vấn đề. Chúng tôi đã yêu cầu bạn nâng cấp và nếu bạn không làm điều đó, chúng tôi sẽ tính phí cho bạn,” Chakravarty nói.
“Chi phí sử dụng một sản phẩm sẽ tăng”
Theo Nathan Smolenski, người đứng đầu chiến lược tình báo mạng tại Netskope và cựu giám đốc an ninh thông tin tại Corvus Insurance, chi phí sử dụng một sản phẩm sẽ tăng lên nếu đột nhiên có một số lượng lớn khiếu nại chống lại nhà cung cấp phần mềm. Điều này đã được thể hiện rõ qua đại dịch và sự chuyển đổi nhanh chóng sang làm việc từ xa, điều này đã mở rộng phạm vi tấn công cho kẻ thù. Các tác nhân đe dọa đã sử dụng cấu hình sai và lỗ hổng trong công nghệ như VPN, khiến việc chuyển sang làm việc tại nhà thường xuyên hơn.
Theo Smolenski, cách các doanh nghiệp bố trí nhân viên của họ làm việc từ xa đã trở thành mối quan tâm chính đối với các nhà cung cấp bảo hiểm mạng. Nhiều doanh nghiệp mở RDP vì họ không đủ khả năng mua thêm giấy phép VPN.
“Kẻ xấu nói: ‘Tôi chỉ cần đăng nhập vào Shodan và xem tất cả các phiên RDP có sẵn và thử hack nó’ và điều đó hoàn toàn miễn phí. Điều đó quay trở lại với cấu hình, nhưng lỗ hổng cũng rất lớn. Chúng tôi đã thấy trong thời kỳ đại dịch, nó giống như mọi tháng — Pulse Secure VPN, SonicWall, một cái khác mỗi tháng. Và các công ty bảo hiểm mạng nhìn vào khách hàng và nói, ‘Bạn gặp phải vấn đề đó, bạn cần khắc phục nó ngay bây giờ’, Smolenski nói.
Chakravarty đưa ra nhiều ví dụ hiện đại hơn như Kaseya, bị tấn công năm ngoái và ảnh hưởng đến các nhà cung cấp dịch vụ được quản lý và gói NPM. Vào tháng 2, các tác nhân đe dọa đã ẩn giấu hơn một nghìn gói JavaScript độc hại trên Cơ quan đăng ký NPM.
Bảo mật như một dịch vụ giao an ninh mạng cho các chuyên gia, nhưng đó là con dao hai lưỡi
“[NPM] không có điều khoản nào cho MFA, vì vậy họ gặp phải một vấn đề lớn và điều đó ảnh hưởng đến tất cả mọi người – các doanh nghiệp nhỏ, vừa và lớn. Log4j tác động đến tất cả mọi người, nhưng theo những gì chúng tôi quan sát được thì chủ yếu là VMware Horizon [instances] chúng tôi đã thấy những tuyên bố từ đó,” cô giải thích.
Microsoft được Ismael Valenzuela, phó chủ tịch phụ trách nghiên cứu và tình báo mối đe dọa của BlackBerry nhắc đến là một trong những sản phẩm có nhiều lỗ hổng và rủi ro đáng kể. Ông khuyên nên xem xét các lỗ hổng bị khai thác hàng đầu năm 2021 trong khi phân tích tác động của các sản phẩm có lỗi đối với phạm vi bảo hiểm mạng.
Valenzuela cho biết: “Nếu chúng tôi xem báo cáo đó từ US CERT, chúng tôi sẽ thấy nhiều nhà cung cấp khác nhau trong danh sách, nhưng các lỗ hổng của Microsoft vẫn tiếp tục phổ biến và bị khai thác nhiều nhất trong các vụ vi phạm dữ liệu”.
Tuy nhiên, Andreas Wuchner, CISO tại công ty an ninh mạng Panaseer, khẳng định rằng các thiết kế và cài đặt mạng sẽ được chú trọng thường xuyên hơn các sản phẩm, đặc biệt là liên quan đến đám mây. Ông cho biết các công ty bảo hiểm sẽ đánh giá các vấn đề về kiến trúc hơn là những vấn đề liên quan đến sản phẩm, chẳng hạn như việc sử dụng container và sự hiện diện của phân khúc vi mô.
Panaseer đã thăm dò ý kiến của 400 công ty bảo hiểm trên toàn thế giới về “Báo cáo xu hướng thị trường bảo hiểm mạng năm 2022,” và kết quả cho thấy bảo mật đám mây được đánh giá là yếu tố quan trọng nhất cần cân nhắc khi đánh giá các tình hình bảo mật do sự gia tăng của lực lượng lao động kết hợp.
Microsoft chặn macro theo mặc định nhưng tội phạm mạng đang áp dụng các chiến thuật mới
Quản lý bản vá đã được liệt kê trong báo cáo như một khía cạnh quan trọng khác của việc đánh giá. Theo Wuchner, hầu hết các công ty đang gặp khó khăn trong việc tìm kiếm thời gian thích hợp để vá số lượng lỗ hổng và lỗ hổng phổ biến ngày càng tăng và làm như vậy không ngăn được các phương thức tấn công khác.
“Sẽ quá dễ dàng để đổ lỗi cho các vấn đề về ứng dụng hoặc di sản. Sẽ luôn có lúc có thứ gì đó chưa được vá,” Wuchner nói. Ông nói thêm: “Luôn có cơ hội khai thác zero-day hoặc khả năng xảy ra ransomware kỹ thuật xã hội, nơi mọi người nhấp vào thứ gì đó”.
Rủi ro đã có sẵn
Đôi khi có vẻ như các doanh nghiệp phụ thuộc quá nhiều vào bảo hiểm mạng thay vì tăng cường các quy trình bảo mật hoặc triển khai các biện pháp kiểm soát. Ví dụ: các chuyên gia bảo mật thông tin cho rằng nó ảnh hưởng đến các khoản thanh toán bằng ransomware vì một công ty biết rằng họ sẽ được bồi thường nếu tuân thủ yêu cầu.
Nhiều rủi ro hơn hiện đang được chuyển sang các nhà cung cấp dịch vụ thông qua ngành bảo hiểm mạng.
Jennifer Rothstein, chuyên gia pháp lý và bảo hiểm mạng tại BlueVoyant, mô tả một khái niệm đổi mới về đồng bảo hiểm, trong đó tổ chức được bảo hiểm sẽ phải tự chi trả cho bất kỳ hình thức thanh toán tiền chuộc hoặc chi phí điều tra nào liên quan đến yêu cầu bồi thường về ransomware.
Ngoài ra, theo Rothstein, các công ty bảo hiểm vẫn đang tranh luận về cách xem xét tính bảo mật của các nhà cung cấp bên thứ ba hoặc đối tác kinh doanh của khách hàng. Một trong những trở ngại lớn đối với việc bảo lãnh phát hành là rủi ro của bên thứ ba và vẫn còn những câu hỏi chưa được giải đáp về cách xử lý nó.
Các phương pháp thực hành an ninh mạng tốt nhất để giữ an toàn trước các mối nguy hiểm kỹ thuật số ngày nay
Rothstein cho biết: “Phạm vi bảo hiểm có thể bao gồm hoặc không bao gồm các nhà cung cấp của họ, vì vậy đó là điều chúng tôi đang cố gắng tìm hiểu”.
Môi trường công nghệ vận hành (OT) và hệ thống điều khiển công nghiệp (ICS) là những lĩnh vực đầy thách thức khác cần bảo hiểm. Theo Ian Bramson, người đứng đầu toàn cầu về an ninh mạng công nghiệp của Tập đoàn ABS, giai đoạn đầu của việc đánh giá bảo hiểm mạng đang bắt đầu chú trọng hơn đến an ninh mạng. Lúc đầu, chỉ có một bảng câu hỏi cần phải hoàn thành. Các công ty bảo hiểm hiện nay yêu cầu các giám đốc điều hành cấp cao phải có mặt để các câu hỏi có thể được thảo luận chi tiết hơn.
Ông cũng nói rằng hầu hết khách hàng OT và ICS không thể trả lời câu hỏi mở đầu: “Bạn cần bảo vệ điều gì?” Một khó khăn khác là do hệ thống được thiết kế để tồn tại trong nhiều thập kỷ nên cài đặt ICS hoặc OT có các vấn đề kế thừa. Một ví dụ do Bramson cung cấp là các tuabin gió truyền thống, có tuổi thọ 50 năm nhưng không được chế tạo chú trọng đến bảo mật và cập nhật phần mềm.
“Câu hỏi đặt ra là, tôi có phải trả rất nhiều tiền cho bảo hiểm mạng của mình để chi trả rất ít và có rất nhiều trường hợp ngoại lệ không?” Anh ấy đã giải thích.
Quan trọng hơn, Bramson lưu ý, môi trường OT và ICS củng cố các cơ sở hạ tầng quan trọng. Do đó, các công ty bảo hiểm phải xem xét nhiều hơn việc chỉ là tác nhân đe dọa lấy thông tin cá nhân.
“Tấn công OT có thể gây ra các sự kiện vật lý mạng có tác động lớn hơn nhiều. Thách thức là họ không có cách tốt để bảo lãnh nó,” ông nói.
