應(yīng)用安全咨詢公司AsTech如今為其“典范安全項目(Paragon Security Program)”客戶，提供更高金額的數(shù)據(jù)泄露擔(dān)保。

消費者世界中，擔(dān)保很常見，今天的網(wǎng)絡(luò)安全市場上卻不是這樣。但是，一小部分網(wǎng)絡(luò)安全公司，已經(jīng)開始提供客戶擔(dān)保了。AsTech就是其中之一。7月13日，該安全咨詢公司宣布調(diào)高其網(wǎng)絡(luò)安全擔(dān)保，客戶若遭遇網(wǎng)絡(luò)入侵/數(shù)據(jù)泄露，獲得的保證金將從100萬美元升至500萬美元。

雖然擔(dān)保額度增加是個新舉措，AsTech卻不是一家初創(chuàng)公司，該公司創(chuàng)立時間可追溯到1997年。

CEO格雷格·雷柏稱：“過去20年來我們見識過很多安全事件。我們的業(yè)務(wù)就是查找和修復(fù)漏洞，然后培訓(xùn)開發(fā)人員不要在新代碼中再次引入漏洞。”

AsTech的典范安全項目是一個托管安全項目，幫助公司企業(yè)保護應(yīng)用安全。這500萬美元的擔(dān)保全部用于該項目。提升擔(dān)保金額的原因與數(shù)據(jù)泄露的損失有關(guān)。波耐蒙研究所在IBM贊助下做的《2017數(shù)據(jù)泄露損失》報告，估測當前數(shù)據(jù)泄露平均損失在370萬美元左右。

我們對自己的能力相當自信，過去20年中沒有出現(xiàn)過任何一例客戶數(shù)據(jù)泄露事件。

然而，這500萬美元的擔(dān)保并非任何一種數(shù)據(jù)泄露都適用，僅適用于典范項目托管應(yīng)用中的漏洞所造成的數(shù)據(jù)泄露。導(dǎo)致公開披露數(shù)據(jù)泄露的常見途徑，是網(wǎng)絡(luò)釣魚攻擊，該攻擊只要成功，便能讓攻擊者獲得目標系統(tǒng)的管理權(quán)限。雷柏表示，網(wǎng)絡(luò)釣魚和憑證攻擊，不屬于AsTech公司數(shù)據(jù)泄露擔(dān)保范圍。

我們的數(shù)據(jù)泄露擔(dān)保有著非常明確的條款。Web應(yīng)用中的漏洞包含在內(nèi)，但網(wǎng)絡(luò)釣魚就不是我們覆蓋的范圍了。

AsTech計劃將典范服務(wù)從僅應(yīng)用安全擴展至管理網(wǎng)絡(luò)漏洞。該網(wǎng)絡(luò)服務(wù)將引入安全廠商Qualys的網(wǎng)絡(luò)漏洞掃描技術(shù)。

網(wǎng)絡(luò)保險

雷柏稱，AsTech提供的這種擔(dān)保類型，并不打算作為網(wǎng)絡(luò)保險的替代品。公司企業(yè)支付保費，是為了輔助彌補安全事件相關(guān)的損失。AsTech的擔(dān)保，并非公司企業(yè)可能面臨的所有網(wǎng)絡(luò)風(fēng)險的全面保證，因而網(wǎng)絡(luò)保險仍有投保的必要。

但是，擁有這么一個擔(dān)保，確實能給公司企業(yè)和保險公司提供一定程度的信心，并能降低網(wǎng)絡(luò)保險保費。

白帽安全創(chuàng)始人耶利米亞·格羅斯曼，在2015年就率先提出了為網(wǎng)絡(luò)安全軟件提供金融擔(dān)保的創(chuàng)意。2016年，格羅斯曼將此創(chuàng)意引入了安全廠商SentinelOne，而他本人目前就是這家安全公司的首席安全策略師。SentinelOne為其客戶提供100萬美元的勒索軟件擔(dān)保。

雷柏稱，AsTech一直在與白帽公司合作，見證了安全擔(dān)保的效用，促使他將這一概念引入了自己的公司。

我們一直在觀察這一領(lǐng)域，提供安全擔(dān)保是未來潮流趨勢。