根据金融市场分析公司惠誉评级的数据，从2017年到2022年，网络保险保费成本增长了 178%，其中仅 2022 年就同比增长了 51%。惠誉表示，随着利润和竞争影响定价，以及客户通过改进网络安全措施或放弃网络保险作为其风险管理策略的一部分来适应自己的情况，预计未来几个季度的成本将有所下降。对于一些高风险组织来说，成本已经变得昂贵得令人望而却步，而对于其他组织来说，他们可能无法做出决定，因为保险公司直接拒绝为他们提供承保。还有一些人可能会发现某些保险不再可用。这是伦敦劳合社 (Lloyd's of London)在 2022 年底发出的信息，当时该公司宣布将要求其承保人排除与国家支持的网络攻击相关的损害赔偿。

网络保险的这些发展可能会让客户感到沮丧，但作为高度波动的市场中相对较新的保险产品成熟的一部分，这是可以预料的。随着威胁行为者变得更加老练和好斗，承销商已经吸取了惨痛的教训，迫使他们通过提供旨在提高安全性的指导，在客户的风险管理中发挥更积极的咨询作用。正如大型再保险公司慕尼黑再保险公司北美网络解决方案主管罗伯特·帕里西 (Robert Parisi) 向《华尔街日报》表示的那样，“承保业务正在积极转向‘我们如何才能获得更深入、更有洞察力的观察’。”

一切都在 (12) 控制之下

例如，保险公司 Marsh McLennan Agency 列出了该公司提供的 12 种安全控制措施，以帮助告知其客户的网络安全策略，其中包括警告，如果未能提供前五项控制措施的证据，可能会导致承保资格被取消。另一方面，采用和有效使用所有 12 种方法不仅可以改善组织的整体风险状况，而且很可能会降低网络保险成本。达信报告称，通过采用并记录其建议的控制措施，14% 的客户在过去一年中享受了较低的保费，尽管他们的同行支付了更高的费用。

对于好奇的人来说，这十二个控件包括：

1. 用于远程访问和管理/特权控制的多重身份验证 (MFA)
2. 端点检测和响应 (EDR)
3. 安全、加密且经过测试的备份
4. 特权访问管理 (PAM)
5. 电子邮件过滤和网络安全
6. 补丁管理和漏洞管理
7. 网络事件响应计划和测试
8. 网络安全意识培训和网络钓鱼测试
9. 强化技术，包括远程桌面协议 (RDP) 缓解
10. 日志记录和监控/网络保护
11. 更换或保护报废系统
12. 供应商/数字供应链风险管理

总的来说，此列表中的控件代表了出色的纵深防御，并且应该成为每个安全策略的一部分。对网络安全和风险管理的投资不仅能降低网络保险费，还能最大限度地降低代价高昂的数据泄露风险，这具有良好的商业意义。但是，在威胁不断增加、典型企业技术资产的构成日益复杂和动态的情况下，完成这项任务谈何容易？

向前或退一步

实现这一目标的一大步必须是获得整个网络的完整资产可见性。如今 CISO 普遍感叹的是，他们有责任保护与企业相关并在企业中运行的每一项资产，无论他们是否知道这些资产在那里。详细信息有助于解决安全漏洞。例如，如果设备在 IT 运营视图之外运行，您如何知道该设备是否已达到其生命周期终点？如何在您不知道已连接到网络的系统上执行补丁和漏洞管理？如果脆弱资产在暗处运作，如何对其进行细分？

当今 IT 和安全运营管理的残酷事实是，虚拟服务、物联网 (IoT) 和移动设备以及运营技术 (OT) 是 IT 行业的普遍现象。其中多达 20%的资产对于 CISO 来说是不可见的，其中任何一项都可能成为攻击媒介或威胁行为者通往目标目的地的路径中的一个步骤。因此，其中任何一个下落不明，都会失去检测、预防或遏制正在进行的攻击的机会。

超越

这就是为什么第 13 个控制——完整的 IT 资产可见性——应该被添加到 Marsh 列表中。由于您无法保护看不到的内容，因此投资能够实现整个网络实时资产可见性的工具对于最大限度地提高安全性、最大限度地降低风险以及保护企业免受勒索软件等威胁至关重要。通过超越提供可见性和控制水平的证明，较低的网络保险费将锦上添花。