本周一，旧金山咨询公司AsTech宣布，为其Qualys托管服务提供100万美元担保(Vigilance)。AsTech是少数采取与众不同的网络保险方法的公司之一：为自家产品未达承诺，提供金钱担保赔付。

AsTech的产品涵盖一系列托管服务，包括Qualys云漏洞管理服务。但与所有服务类似，其成功取决于服务实现和运用的质量。安全人才短缺迫使企业购入此类服务，但也造成企业很难恰当应用这些服务。这也正是托管服务存在的理由：企业无法实现和运营自身网络安全的领域，可以转包给托管服务提供商来搞定。

总体上，问题在于没什么东西可以保证服务提供商的技术水准；客户依然要为任何数据泄露背锅。如今，AsTech打破了此一模式，宣称对自家基于Qualys的技术充满信心，可以担保不会让用户失望。

AsTech首席安全策略师内森·温斯勒解释道：“Qualys软件也遭遇大多数安全控制措施所遭遇的问题。有时候是配置没能正确设置，有时候是随时间推移而品质降低了。我们有内部专家团队来确保正确的配置和使用。而现在，我们还加入了有担保的风险缓解功能。如果我们漏掉了什么东西，我们会将部分风险从客户身上转移到我们自身身上。”

如今，AsTech为其托管Qualys服务新增了可选附加保险套餐——Vigilance。该套餐为Qualys实现失败导致的数据泄露相关损失，提供上至100万美元的担保。

我们保证，设置并开启Qualys，我们就将找出所有漏洞，我们会查找所有资产，将工具调整到足够高的准确度，让客户在所有面向边界的资产中，不会漏掉攻击者可能利用的任何漏洞。只要企业被攻击者从边界攻破，从Qualys应该检测到的漏洞被渗透，我们就会承担数据泄露所造成的损失，最高可达100万美元。

这介于保险（将经济责任转嫁到第三方）和担保（保证产品性能）之间。AsTech不是第一家提供此类担保的厂商，SentinelOne在去年就宣布了为其产品提供100万美元的勒索软件担保（每台受勒索软件影响终端最多可获1000美元），AsTech也早已为其Paragon安全服务提供了类似担保。

温斯勒说：“这是我们准备应用到很多东西上的一个新安全模型。我们先在Paragon安全项目上做了尝试，该项目专为应用安全而设：代码审查和漏洞分析，还有修复过程辅助。我们为此提供500万美元的无入侵担保。”

该模型具备颠覆正在成长中的“传统”网络安全保险模型的潜力，如果有足够多的厂商采纳这种方法的话。AsTech正积极调查其其他服务中还有哪些可以被囊括进Vigilance模型中的。但有几个地方需要指出。比如说，为Qualys托管服务设立的Vigilance，并不是针对所有入侵的一揽子保险，仅覆盖Qualys漏洞服务中所含漏洞造成的边界入侵。Qualys云平台为客户提供持续的全局安全与合规状况评估，还有对所有全球IT资产的2秒可见性——无论资产部署在世界哪个角落。

这或许会产生一些灰色地带。比如，不合规所造成的损失就通常不包含在内。但是合规正成为一个越来越复杂的领域。欧盟的《通用数据保护条例》(GDPR)不仅仅是关于数据保护的，还包含有数据监管。对数据监管不合规的罚款，就不在AsTech担保之列，但特定于Qualys已知漏洞利用导致的数据遗失所致GDPR罚款，又在AsTech担保覆盖范围内。

温斯勒解释称，该保险不会覆盖合规费用或罚款。只有数据泄露相关费用，比如通告成本之类；修复费用，比如支付给客户的信用监测服务费，会被覆盖。不合规所导致的罚款是不会包含的。重点在于，该担保仅与数据泄露相关。所以，如果合规罚款与数据泄露直接相关，就会被覆盖；但如果罚款属于普通的不合规罚款，是不会被此担保覆盖的。

厂商产品担保是具有成长潜力的新生市场。“你可以雇佣安全人士做任何事，但你依然面临一定的风险，比如你雇佣的人员或团队犯错误了，或者不正确地设置了防火墙，或者别的什么。意识到这一点的人，还有我们的客户，都表达出了对此类担保的巨大兴趣。最终，你还是得为数据和你的客户负责。”产品担保可以将该责任限制在特定领域，无需复杂而巨额的普通保险介入。

相关阅读

因为你没加密 所以网络保险不给你理赔
网络保险热度上升：2022年全球市场将达140亿美元
全球首个身份验证保险 提供每笔交易100万美金保额