近日，年线安全公司Black Kite发布了《2022年线上保险业务风险报告》，上保对承保人和整个线上保险行业面临的险业险研新型威胁进行了深入研究，并对目前排名前99的年线保险公司(按净保费计算)进行了分析。

Black Kite 研究团队从第三方风险的上保角度深入研究了保险公司的网络安全态势，并重点分析了目前最大的险业险研99家保险公司(按净保费排名)，揭示了该行业的年线网络风险和潜在的关注领域。总体而言，上保保险公司的险业险研平均等级为“B”，技术评级为84.6。年线而评级为“B”的上保公司发生数据泄露的可能性是获得“A”评级的公司的3倍。

图1 在线业务保险公司等级分布

数据还显示，险业险研保险公司的年线平均勒索软件易感指数评级为0.17(在0.0-1.0的易感等级上，这是上保个不错的分数)。然而，高防服务器险业险研在这些保险公司中，有18%易感指数高于0.6的临界阈值，这表明其勒索软件的易感性很高。需要注意的是，低易感性并不意味着没有易感性。网络威胁和漏洞每秒都在发生，这也使得持续和主动响应成为了先决条件。

图2 保险公司的勒索软件易感指数

而在与勒索软件相关的安全问题中，“网络钓鱼”的易感性位居榜首，占比82%;泄漏凭据占比66%;数据泄露占比43%;高危漏洞占比42%;公开可见的关键端口占比25%。网络钓鱼对于攻击者来说，成本极低，而一旦成功，即可创造巨额收益。根据思科《2021年网络安全报告》显示，去年86%的组织至少有一个人点击了网络钓鱼链接。此外，数据还表明网络钓鱼占数据泄露事件的90%左右。

图3 与勒索软件相关的安全问题

在网络钓鱼事件中，最常见的云服务器请求包括披露凭证、共享个人信息或授予对平台的访问权限。即使是像证书这样简单的东西，也可能是攻击者访问企业整个数据库所需的关键。这也导致了第二个紧迫问题，即泄露的账号信息(占比66%)，一旦被泄露到公开网络，就可能导致连锁效应。

由于未及时更新补丁，42%的保险公司至少存在一个可能的严重漏洞，可让黑客获取初始访问点，例如影响深远的Log4j事件就是由此开始的。此外，造成保险公司低技术评级和对勒索软件高易敏性的原因，就在于整体网络状况不佳。研究显示，85%的承保人认为保险公司应该加强其网络安全态势。