本周一,旧金山咨询公司AsTech宣布,为其Qualys托管服务提供100万美元担保(Vigilance)。AsTech是少数采取与众不同的网络保险方法的公司之一:为自家产品未达承诺,提供金钱担保赔付。
AsTech的产品涵盖一系列托管服务,包括Qualys云漏洞管理服务。但与所有服务类似,其成功取决于服务实现和运用的质量。安全人才短缺迫使企业购入此类服务,但也造成企业很难恰当应用这些服务。这也正是托管服务存在的理由:企业无法实现和运营自身网络安全的领域,可以转包给托管服务提供商来搞定。
总体上,问题在于没什么东西可以保证服务提供商的技术水准;客户依然要为任何数据泄露背锅。如今,AsTech打破了此一模式,宣称对自家基于Qualys的技术充满信心,可以担保不会让用户失望。
AsTech首席安全策略师内森·温斯勒解释道:“Qualys软件也遭遇大多数安全控制措施所遭遇的问题。有时候是配置没能正确设置,有时候是随时间推移而品质降低了。我们有内部专家团队来确保正确的配置和使用。而现在,我们还加入了有担保的风险缓解功能。如果我们漏掉了什么东西,我们会将部分风险从客户身上转移到我们自身身上。”
如今,AsTech为其托管Qualys服务新增了可选附加保险套餐——Vigilance。该套餐为Qualys实现失败导致的数据泄露相关损失,提供上至100万美元的担保。
我们保证,设置并开启Qualys,我们就将找出所有漏洞,我们会查找所有资产,将工具调整到足够高的准确度,让客户在所有面向边界的资产中,不会漏掉攻击者可能利用的任何漏洞。只要企业被攻击者从边界攻破,从Qualys应该检测到的漏洞被渗透,我们就会承担数据泄露所造成的损失,最高可达100万美元。
这介于保险(将经济责任转嫁到第三方)和担保(保证产品性能)之间。AsTech不是第一家提供此类担保的厂商,SentinelOne在去年就宣布了为其产品提供100万美元的勒索软件担保(每台受勒索软件影响终端最多可获1000美元),AsTech也早已为其Paragon安全服务提供了类似担保。
温斯勒说:“这是我们准备应用到很多东西上的一个新安全模型。我们先在Paragon安全项目上做了尝试,该项目专为应用安全而设:代码审查和漏洞分析,还有修复过程辅助。我们为此提供500万美元的无入侵担保。”
该模型具备颠覆正在成长中的“传统”网络安全保险模型的潜力,如果有足够多的厂商采纳这种方法的话。AsTech正积极调查其其他服务中还有哪些可以被囊括进Vigilance模型中的。但有几个地方需要指出。比如说,为Qualys托管服务设立的Vigilance,并不是针对所有入侵的一揽子保险,仅覆盖Qualys漏洞服务中所含漏洞造成的边界入侵。Qualys云平台为客户提供持续的全局安全与合规状况评估,还有对所有全球IT资产的2秒可见性——无论资产部署在世界哪个角落。
这或许会产生一些灰色地带。比如,不合规所造成的损失就通常不包含在内。但是合规正成为一个越来越复杂的领域。欧盟的《通用数据保护条例》(GDPR)不仅仅是关于数据保护的,还包含有数据监管。对数据监管不合规的罚款,就不在AsTech担保之列,但特定于Qualys已知漏洞利用导致的数据遗失所致GDPR罚款,又在AsTech担保覆盖范围内。
温斯勒解释称,该保险不会覆盖合规费用或罚款。只有数据泄露相关费用,比如通告成本之类;修复费用,比如支付给客户的信用监测服务费,会被覆盖。不合规所导致的罚款是不会包含的。重点在于,该担保仅与数据泄露相关。所以,如果合规罚款与数据泄露直接相关,就会被覆盖;但如果罚款属于普通的不合规罚款,是不会被此担保覆盖的。
厂商产品担保是具有成长潜力的新生市场。“你可以雇佣安全人士做任何事,但你依然面临一定的风险,比如你雇佣的人员或团队犯错误了,或者不正确地设置了防火墙,或者别的什么。意识到这一点的人,还有我们的客户,都表达出了对此类担保的巨大兴趣。最终,你还是得为数据和你的客户负责。”产品担保可以将该责任限制在特定领域,无需复杂而巨额的普通保险介入。
相关阅读
因为你没加密 所以网络保险不给你理赔
网络保险热度上升:2022年全球市场将达140亿美元
全球首个身份验证保险 提供每笔交易100万美金保额