OneDegree Global 2024台湾保险业网安报告:8成使用SaaS平台帐密外泄
OneDegree Global发布2024台湾保险业网安曝险调查报告,比较2021年底对30家寿产险业者的外在网安曝险情形评级与分析,并追踪报导同30家业者,以评估其在两年内是否改善并提升网安态势。主要目标是协助业者了解产业普遍攻击风险,迅速减少攻击面并提升黑客攻击难度。其中8成业者使用之SaaS平台发生帐号口令外泄,凸显影子IT问题,易被黑客拿来做为社交工程攻击的工具。
金融保险业这两年所面临首要的网安风险,属黑客攻击与社交工程手段为主;同时,随着当地金管会松绑金融上云规范,云端供应商间接成为潜在跳板攻击。生成式人工智能的兴起更引起了企业对社交工程威胁的担忧,金融业尤其关切ChatGPT可能被滥用成为辅助攻击工具。这进一步提醒金融业者,生成式人工智能能够自动化和定制社交工程手段,因此,金融安全主管在未来一年内加强了对社交工程手段的警戒态度,进而提高了相关风险的评估。
OneDegree Global旗下网安品牌Cymetrics商务开发总监,Eric Fang表示:「金融业是信息防护领域扎根最深的产业,然而这次调查发现8成业者使用之 SaaS 平台发生帐号口令外泄,也反映到影子IT现象所导致的结果,最常使用并造成帐密外泄的SaaS 软件,如Adobe、Canva、Dropbox及 LinkedIn等。OneDegree Global希望透过本次的网安曝险调查报告,协助台湾保险业者持续监控企业的网络曝险和系统弱点,提高网安风险管理能力。这不仅能提供客户更好的服务体验,还能保护品牌信誉,提升品牌价值。」
本次网安曝险调查针对五大常见外部曝险面进行分析,重点结果包含:
1. 网络服务:台湾保险业者的表现优异,全部的保险业者针对对外服务皆有进行控管,网安评级平均落在A~A+的等级,跟 2021 年的网安评级平均落在A相较之下,可以看出业者在这两年当中更加留意对外服务的权限管控,也就是从外部的角度收集不到数据,很难针对业者的对外服务进行数据收集及攻击尝试。
2. 网站:台湾保险业者网安评级平均落在A-~C,有13%的业者落在A-,87% 的业者则落在B~C中间,也就是有攻击突破面上的弱点产生,可能因此成为攻击者攻击链的一环,跟2021 的网安评级平均落在B~B-相较之下大幅降低,而评级降低的原因主要在于业者网站的防御设定上有五项安全设置错误比例偏高,推测因其大多为缺省的缘故,导致容易被忽略。
3. 电子邮件:台湾保险业者网安评级平均落在A+~C-,跟2021 的网安评级平均B-~C相较之下,42%的业者落在A以上,大幅改善电子邮件相关设置,而58%的业者仍维持在B-~C,主要在于其业者大多忽略了 DMARC以及SPF设置,导致邮件系统安全出现弱点,使业者因此容易成为攻击者锁定执行社交工程攻击的标的。
4. 帐号口令:为此次调查中与2021年的调查差异最大的测项,台湾保险业者网安评级平均落在C,有80%的业者评级落在C,而2021的网安评级则是平均落在A,只有20%的业者评级落在C。这也与近年来生成式人工智能的快速发展有关,ChatGPT除了让企业员工能够在工作上更有效率,也被黑客拿来做为社交工程攻击的工具,进而让员工帐密更容易流出至暗网当中。
5. 云端安全:台湾保险业者评级分数皆为A+以上,与2021年的网安评级一致。本调查并未发现保险业者在其网域名称下有任何对外公开之云端储存体或公共程序库,然而OneDegree Global预期在数码转型驱动下,有愈来愈多企业会逐步采纳公有云服务,因此将持续关注并扩充云端安全的曝险测试项目。
此外,OneDegree Global亦针对产业法遵技术面进行保险业者法遵评级:
1. ISO27001:产业合规平均分数89.7分,主要因证撤销机制未设定完整、不安全加密套件及凭证过期而被扣分。
2. PCI DSS:产业合规平均分数 90.0分,主要有两大项扣分项目:
网站应用上的 CSP(内容安全性原则)未配置或配置错误、X-Frame-Options未设置或安全等级不足及缺少CSRF Token及Cookie的三项基本设定未设置或配置错误。因凭证撤销机制未设定完整、不安全加密套件及凭证过期。
3. GDPR:产业合规平均分数85.9分,主要因证撤销机制未设定完整、不安全加密套件及凭证过期而被扣分。
4. NIST CSF: 这两年我们新增一项法规技术面评级,即美国国家标准与技术研究所提出的「NIST Cybersecurity Framework」,透过系统性和完整的标准框架,协助企业全面检视其信息安全防御的薄弱点。产业平均分数90.0分,主要原因为网站及电子邮件安全设定之曝险无法符合下列科技面之要求。
欲了解更多信息,欢迎下载完整报告。
【关于 OneDegree Global】
OneDegree Global成立于2016年,为跨国保险科技新创,致力透过数码科技与创新服务来实践保险的初衷,将保险流程简单化及透明化,协助企业发展多元的商品和服务。OneDegree Global团队由来自海内外顶尖的金融保险、云端技术与信息安全领域专家所组成,已获世界级企业投资,并与多间国际级保险公司合作。
OneDegree Global旗下包括IXT保险科技解决方案及Cymetrics网安检测品牌。其中IXT赋能保险业者和在线平台快速推展销售创新商品,提升营运效率,其开放式架构可无缝与外部代理平台整合,透过异业合作建构保险生态圈,丰富业务场景、实现营收成长,并藉由数据驱动的技术应用导入,协助业者打造全新保险体验,创造顾客价值。
而Cymetrics透过提供一个全面的SaaS信息安全评估平台,协助企业提高其对网安曝险的可视性,并以更敏捷及弹性化的方式管理网安风险。OneDegree Global拥有ISO27001与 ISO27017双重认证,搭配Cymetrics提供的网安检测与顾问服务,以最高规格提供企业严密的网安防护与隐私管理。