本周一,舊金山咨詢公司AsTech宣布,為其Qualys托管服務提供100萬美元擔保(Vigilance)。AsTech是少數采取與眾不同的網絡保險方法的公司之一:為自家產品未達承諾,提供金錢擔保賠付。
AsTech的產品涵蓋一系列托管服務,包括Qualys云漏洞管理服務。但與所有服務類似,其成功取決于服務實現和運用的質量。安全人才短缺迫使企業購入此類服務,但也造成企業很難恰當應用這些服務。這也正是托管服務存在的理由:企業無法實現和運營自身網絡安全的領域,可以轉包給托管服務提供商來搞定。
總體上,問題在于沒什么東西可以保證服務提供商的技術水準;客戶依然要為任何數據泄露背鍋。如今,AsTech打破了此一模式,宣稱對自家基于Qualys的技術充滿信心,可以擔保不會讓用戶失望。
AsTech首席安全策略師內森·溫斯勒解釋道:“Qualys軟件也遭遇大多數安全控制措施所遭遇的問題。有時候是配置沒能正確設置,有時候是隨時間推移而品質降低了。我們有內部專家團隊來確保正確的配置和使用。而現在,我們還加入了有擔保的風險緩解功能。如果我們漏掉了什么東西,我們會將部分風險從客戶身上轉移到我們自身身上。”
如今,AsTech為其托管Qualys服務新增了可選附加保險套餐——Vigilance。該套餐為Qualys實現失敗導致的數據泄露相關損失,提供上至100萬美元的擔保。
我們保證,設置并開啟Qualys,我們就將找出所有漏洞,我們會查找所有資產,將工具調整到足夠高的準確度,讓客戶在所有面向邊界的資產中,不會漏掉攻擊者可能利用的任何漏洞。只要企業被攻擊者從邊界攻破,從Qualys應該檢測到的漏洞被滲透,我們就會承擔數據泄露所造成的損失,最高可達100萬美元。
這介于保險(將經濟責任轉嫁到第三方)和擔保(保證產品性能)之間。AsTech不是第一家提供此類擔保的廠商,SentinelOne在去年就宣布了為其產品提供100萬美元的勒索軟件擔保(每臺受勒索軟件影響終端最多可獲1000美元),AsTech也早已為其Paragon安全服務提供了類似擔保。
溫斯勒說:“這是我們準備應用到很多東西上的一個新安全模型。我們先在Paragon安全項目上做了嘗試,該項目專為應用安全而設:代碼審查和漏洞分析,還有修復過程輔助。我們為此提供500萬美元的無入侵擔保。”
該模型具備顛覆正在成長中的“傳統”網絡安全保險模型的潛力,如果有足夠多的廠商采納這種方法的話。AsTech正積極調查其其他服務中還有哪些可以被囊括進Vigilance模型中的。但有幾個地方需要指出。比如說,為Qualys托管服務設立的Vigilance,并不是針對所有入侵的一攬子保險,僅覆蓋Qualys漏洞服務中所含漏洞造成的邊界入侵。Qualys云平臺為客戶提供持續的全局安全與合規狀況評估,還有對所有全球IT資產的2秒可見性——無論資產部署在世界哪個角落。
這或許會產生一些灰色地帶。比如,不合規所造成的損失就通常不包含在內。但是合規正成為一個越來越復雜的領域。歐盟的《通用數據保護條例》(GDPR)不僅僅是關于數據保護的,還包含有數據監管。對數據監管不合規的罰款,就不在AsTech擔保之列,但特定于Qualys已知漏洞利用導致的數據遺失所致GDPR罰款,又在AsTech擔保覆蓋范圍內。
溫斯勒解釋稱,該保險不會覆蓋合規費用或罰款。只有數據泄露相關費用,比如通告成本之類;修復費用,比如支付給客戶的信用監測服務費,會被覆蓋。不合規所導致的罰款是不會包含的。重點在于,該擔保僅與數據泄露相關。所以,如果合規罰款與數據泄露直接相關,就會被覆蓋;但如果罰款屬于普通的不合規罰款,是不會被此擔保覆蓋的。
廠商產品擔保是具有成長潛力的新生市場。“你可以雇傭安全人士做任何事,但你依然面臨一定的風險,比如你雇傭的人員或團隊犯錯誤了,或者不正確地設置了防火墻,或者別的什么。意識到這一點的人,還有我們的客戶,都表達出了對此類擔保的巨大興趣。最終,你還是得為數據和你的客戶負責。”產品擔保可以將該責任限制在特定領域,無需復雜而巨額的普通保險介入。
京公網安備 11010502049343號