《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 安全評(píng)級(jí)/評(píng)分無法反映企業(yè)安全現(xiàn)狀

安全評(píng)級(jí)/評(píng)分無法反映企業(yè)安全現(xiàn)狀

2021-04-27
來源: 互聯(lián)網(wǎng)安全內(nèi)參

  不斷變化的威脅形勢(shì)、監(jiān)管要求、技術(shù)環(huán)境會(huì)對(duì)公司的風(fēng)險(xiǎn)概況產(chǎn)生巨大影響,靜態(tài)的安全評(píng)級(jí)得分無法反映這些變化。

  安全評(píng)級(jí)服務(wù)已成為公司評(píng)估自身以及合作伙伴網(wǎng)絡(luò)安全狀況的一種流行方式。它們不僅對(duì)于建立數(shù)據(jù)能力基線很有幫助,還經(jīng)常在其他場(chǎng)合被用到。例如,它們?cè)诙聲?huì)中充當(dāng)描述公司網(wǎng)絡(luò)風(fēng)險(xiǎn)狀況的“吸睛點(diǎn)”,被供應(yīng)鏈伙伴用來管理第三方風(fēng)險(xiǎn),甚至更可怕的是,被保險(xiǎn)公司用來為網(wǎng)絡(luò)保險(xiǎn)單生成風(fēng)險(xiǎn)概況。

  不幸的是,公司按照這種方式使用這些評(píng)級(jí),就像僅僅看著室外溫度就說“今天會(huì)是個(gè)好天氣”一樣——這是一種不完整的評(píng)估,通常會(huì)犯下嚴(yán)重的錯(cuò)誤。說到底,你公司的“A-”或“B-”評(píng)級(jí)到底意味著什么?它是否真正反映了公司的安全性?通常情況下答案是否定的。所以說,使用這些評(píng)分的網(wǎng)絡(luò)保險(xiǎn)公司依賴的其實(shí)是對(duì)目標(biāo)公司風(fēng)險(xiǎn)的不準(zhǔn)確評(píng)估。

  接下來我們深入研究這個(gè)問題,以下是網(wǎng)絡(luò)保險(xiǎn)公司應(yīng)當(dāng)重新考慮是否使用安全評(píng)級(jí)的三個(gè)原因。

  1. 評(píng)級(jí)是對(duì)某個(gè)時(shí)間點(diǎn)的評(píng)價(jià)

  安全等級(jí)評(píng)估在特定的時(shí)間點(diǎn)進(jìn)行——這就意味著無法洞察未來可能發(fā)生的事情,甚至可能都無法準(zhǔn)確反映那個(gè)時(shí)間點(diǎn)。舉一個(gè)簡(jiǎn)單的例子,也許在進(jìn)行安全等級(jí)評(píng)估時(shí),這家公司的供應(yīng)鏈公司中已在不知情的情況下被攻破。

  2. 評(píng)級(jí)沒有考慮到不斷變化的威脅形勢(shì)

  聯(lián)邦調(diào)查局報(bào)告說,2020年由于新冠疫情,勒索軟件攻擊比前一年猛增400%,贖金金額從數(shù)千美元上升到數(shù)百萬美元。沒有人能夠預(yù)料到這種局面。威脅環(huán)境中類似這樣的微小變化就徹底顛覆了所有公司的風(fēng)險(xiǎn)計(jì)算公式。這是風(fēng)險(xiǎn)暴露重要組成部分,任何公司都必須加以考慮,但安全評(píng)級(jí)卻沒有做到。

  3. 評(píng)級(jí)不是一種正確的基準(zhǔn)值

  網(wǎng)絡(luò)安全威脅是動(dòng)態(tài)變化的,并且應(yīng)對(duì)風(fēng)險(xiǎn)的策略也因行業(yè)而異,這使得保險(xiǎn)公司很難計(jì)算特定的公司風(fēng)險(xiǎn)概況。例如,汽車保險(xiǎn)業(yè)可以利用數(shù)億司機(jī)數(shù)十年的數(shù)據(jù)來為每個(gè)人建立風(fēng)險(xiǎn)檔案。他們清楚,假設(shè)客戶年齡在16-19歲之間,發(fā)生特定數(shù)量事故的概率是有據(jù)可查的,保費(fèi)也反映了這一點(diǎn)。但在網(wǎng)絡(luò)保險(xiǎn)行業(yè)中沒有類似的基準(zhǔn),所以安全評(píng)級(jí)成為了一個(gè)誘人的替代品,因?yàn)樗鼈円子谑褂?,并且安全分?jǐn)?shù)“一目了然”。

  那么,網(wǎng)絡(luò)保險(xiǎn)公司如何做才能更準(zhǔn)確地計(jì)算風(fēng)險(xiǎn)呢?既然沒有靈丹妙藥,保險(xiǎn)公司就需要在這一點(diǎn)上花費(fèi)更多的時(shí)間和金錢來開發(fā)出更準(zhǔn)確的風(fēng)險(xiǎn)概況,只有這樣才能提供既對(duì)他們有利、也對(duì)客戶有用的保單。

  這個(gè)過程同時(shí)需要人工和自動(dòng)化的風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)的計(jì)算必須針對(duì)特定的公司、其行業(yè)和合作伙伴、當(dāng)前的網(wǎng)絡(luò)威脅情況,以及威脅者可能利用的其他外部因素(如全球疫情爆發(fā))來定制。只有這樣,網(wǎng)絡(luò)保險(xiǎn)公司才能很好地進(jìn)行風(fēng)險(xiǎn)評(píng)估,將網(wǎng)絡(luò)保險(xiǎn)打造成為一個(gè)值得信賴的成功行業(yè)。

 


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。