「面對不確定性做的決定,要有承擔風險的勇氣,與把事情完成的不確定性。」
「我們是在保險業,我們是社會安全網的一環,我們是以保戶的福利、利益做為存在與發展的目標,記得加入保險業的初衷,勇氣、信心、道德與誠信。」
無時無刻都要《記得你是誰》
2023年11月30日 星期四
2023年10月19日 星期四
勒索軟體撼動資安保險模型
勒索軟體撼動資安保險模型
2023.10.17 03:00 工商時報 孫維德
資安
勒索軟體的市場化反而使風險更容易建模,保險公司即使靠著模型準確算出風險,也無法依此訂出有效的保單價格,只是更確定被攻擊的風險多高,但完全無法降低風險。圖/本報資料照片
勒索軟體的市場化反而使風險更容易建模,保險公司即使靠著模型準確算出風險,也無法依此訂出有效的保單價格,只是更確定被攻擊的風險多高,但完全無法降低風險。圖/本報資料照片
文/孫維德(David Stinson)■台灣金融研訓院特聘外籍研究員
2017年左右,許多人非常擔心隨「歐巴馬健保」(平價醫療法案)而起的健保市場即將落入「死亡螺旋」。該法案禁止保險公司根據既有病史資料,拒絕保單。這項規定結合高度的政治風險,使得醫療保險吃力不討好,當時不知道還有多少保險公司會繼續提供此類保單。
保險業會出現死亡螺旋,就是因為經濟誘因開始主導風險估計方式。當保費上漲、承保條件限縮,風險較低的客戶就會退出市場,只有風險較高的客戶繼續留著。而這會讓保險公司的支出逐漸增加,於是它們只好提高保費,但這只會加劇惡性循環,使得安全的客戶愈來愈少,最後保險市場只好關門大吉。
歐巴馬健保的動盪最後穩定了下來,但目前的資安保險市場似乎落入類似困境。這類保單的價格暴漲,理賠範圍卻正在縮小,勒索軟體、「戰爭行為」(只要駭客有拿國家支持就算),還有許多高度相關的威脅,全都不再理賠。
這些問題中有些是無法避免的,因為網路資安問題涉及全球各地不同公司,要為這樣的風險建立財務模型本來就相當困難。保險可以一邊提高整體資安標準,一邊讓企業自己注意風險,保險一旦崩潰,只會讓政府訂立更嚴格的規定,限縮整個產業的自由度。但保險業該怎麼準確評估應對風險,卻是個大難題。
■形式必須符合功能
在某種意義上,保險業的上述變化,並非道德風險帶來的危機,反而可能促進該行業的健康發展。保險公司為了避免風險,本身會再保險。當再保險的比例愈來愈高,最初的保險公司就變成了中盤商,而非真正承擔風險的人。但資安領域本身很新,不具備用來計算風險的長期統計資料,而承接再保險的公司也愈來愈謹慎。
當第一層的保險公司發現風險太大、太抽象,無法完全掌握時,就會使用再保險。保險公司Verisik財產請求服務主管Tom Johansmeyer在《哈佛商業評論》的文章中表示,用保險聯結型證券(ILS)來轉分保單,便可改善保險市場問題。
資安也是一樣。程式碼從上到下分為很多不同層次,維安的方式也應該要層層拆分。很多時候我們必須根據要達成什麼功能,來決定要採取什麼形式。
在這方面,某些客戶難以買到保單,反而證實了激勵機制正常發揮作用。資安的風險難以量化,但依然有跡可循。研究顧問公司Forrester Research最近發現,有投保資安險的公司,通常比沒有投保的更安全。這表示保險公司確實讓客戶注重資安,降低了買保險的道德風險與選擇偏差。也許我們應該把保險當成一種身分象徵,而非一種權利,每個人在尋求外部協助之前,都應該做好基本的資安維護。
■受害人變成加害人
以前我們都假設,購買保單的顧客與保險公司的利益站在同一邊,而且遊戲規則相當公平。顧客如果看守不嚴,被入侵後受到的損失,會遠遠超過賠償金能處理的範圍跟層面。因此雙方都沒有動機去濫用規則。但勒索軟體蓬勃發展大幅改變了誘因結構,讓道德風險主導了市場,如今賠償金已不只是保險公司要支出的成本,而是對犯罪行為的補貼。
而死亡螺旋就是這樣發生的。勒索軟體成功入侵之後,公司通常會請專業顧問來談判贖金,保險市場就是因此受到影響。談判時,雙方必須建立信任。兇手必須向受害者保證,只要拿到贖金就會歸還資料的存取權。照理來說,背信的兇手日後會拿不到贖金,但受害者很難知道這次遇到的兇手是誰、以及是否可信。
更令人驚訝的是,受害者如果跟兇手打好關係,反而可以降低傷害。資安公司MindSense創始人Kurtis Minder指出,稱讚對方的攻擊才藝高超,會讓兇手覺得你至少懂一點資安,跟他們有共通語言,因而降低開出的贖金價格。
無論從個人還是整體環境的角度來看,為了避免自己受到攻擊,以及為了防止大家的保費最後落到兇手口袋,最好的選擇都是不要保險。
■資安的本質是什麼?
勒索病毒服務(RaaS)把事情搞得更糟。這個名詞的出現,代表資安漏洞的增加已在暗中撐起了一個犯罪市場,攻破漏洞的人和利用金融方式獲利的人已經成為了商業夥伴關係。不過諷刺的是,勒索軟體的市場化(因加密貨幣的出現而更快發生)反而使風險更容易建模。當然扭曲的誘因依然存在,保險公司即使靠著模型準確算出風險,也無法依此訂出有效的保單價格。我們只是更確定被攻擊的風險多高,但完全無法降低風險。
所以到底哪種觀點才對?到底是因為保險沒有跟著資安畫出層次,還是打從一開始就不該推出資安保險?答案取決於資安的概念到底是什麼。
保險公司不應為犯罪提供投保,這既不道德也不實際。但這也表示法律必須能夠識別哪些人是真正的罪犯,哪些是被牽連的路人。即使法律懲罰支付贖金的行為,人們還是會為拯救企業和生命支付贖金給歹徒,最後反而增加行政成本同時危及法治信任,且若要降低勒索軟體的威脅,就需要相關威脅的最新資訊,如果執法機關與民間的關係逐漸對立,它們勢必更難獲得這些資訊。
要如何保障資料安全,減少駭客入侵,同時也維持自由經營的原則?保險層層轉包的過程,以及誘因結構是兩種不同的經濟力量,哪一種力量會影響保險業的發展,將決定財產權的未來。
(本文譯者為劉維人)
2023年5月7日 星期日
財產保險經紀人考上後的30篇文章
新心資安科技鐵人幫幫忙
財產保險經紀人考上後的30篇文章
Day1:2022/8/3
主旨:榜上有名
內容:
接到考選部的電子成績單,懷著平靜的心情,點開來看,結果十分的不平靜。竟然─111年度財產保險經紀人考上了!立馬去超商繳證書費500元。久旱逢干霖,他鄉遇故知,金榜題名時,真的,人需要好消息。
繳費後一個星期還沒有收到證書,懷著緊張的心情打電話去考選部問,原來證書要一起製作、一起寄發,及格通知書(電子成績單Email有三個檔案,成績單、及格通知書、繳費單)上有寫,9月中旬之後統一寄發。好在考選部的承辦人員都很有耐心,對我們這些打來諮詢的考生心裡很安慰。
Day2:2022/8/11
主旨:創辦社群
內容:
準備考試的路途中,最大的問題有二個,第一個就是沒有地方問人;第二個就是不知那裡找補充的參考資料。除了三民補習班的考試用書以外,我最常看的是現代保險(雜誌)的網站。
保險有分為人身保險和財產保險,對應於保險經紀人的考試就有分為人身保險經紀人和財產保險經紀人,經紀人的定義是基於被保險人的利益,代向保險人洽訂保險契約,而向承保之保險業收取佣金之人。財產保險的領域有火災保險、海上保險、陸空保險、責任保險、保證保險、其他財產保險等六類。像我自己是一直希望能銷售資安保險,也就朝著這個方向努力。
沒有地方問人,是另一大難題。雖然三民的考試用書深入淺出,但是書裡的專業知識以及我自己看到的時事、雜誌資料,有時都想要有人可以交流討論。所以一考上,我就決定要創立一個Facebook社群,讓後進者能夠有個機會,互動討論。
Day3:2022/8/25
主旨:考試科目
內容:
財產保險經紀人的考試有四科:保險學概要、保險法規概要、財產保險風險管理概要、財產保險行銷概要。
保險學概要:這科我本來是買大專院校的教科書,今年考前剛好有套書特價,就買了同系列三民的輔考書來看。像是保險契約的原則、屬性、業務經營,讀了可以知道保險學究竟想要做什麼,教科書寫的很好,比方再保險的型態,就舉例說明的很詳細,讀過後對於申論題很有幫助。
保險法規概要:主要考對法規的理解,包含保險法、保險法施行細則、保險經紀人管理規則、保險業務員管理規則。其中保險法是母法,細則和規則是子法。這一科最怕唸到舊版的書,所以今年我買了最近版三民的書,整本重新讀。例如保險經紀人管理規則裡面經紀人公司負責人及經紀人的消極資格,就是選擇題的常客,犯某罪幾年內不能擔任,事先要記熟。
財產風險管理概要:包含基本概念、控制型和理財型風險管理方法、家庭和企業風險管理規劃。這科很大篇幅都在談控制型和理財型風險管理方法,申論題會考,需要事先練習寫答卷。至於風險管理規劃,渉及對保險商品的實務了解,像是汽機車強制險的規劃、廠房興建各項保險的規劃,今年考的很少,這部分會比較難準備。
財產保險行銷概要:基本概念、行銷策略、行銷制度規劃、績效評估。這科主要是談行銷管理學的概念,容易入手。SERVQUAL、產品組合構面要特別花時間背,因為申論題會考,除此之外都強調理解。
考試的時候,這四科每一科滿分是100分,50分是40題的選擇題;50分是4題的申論題。及格標準是4科平均分數達到60分。考前我花很多時間在風險管理和行銷概要這二科,因為既然權重一樣重要,這二科能衝高一點分數的話會很有幫助。
通過考試後,手邊的參考用書換成保險法規概要,因為要查自行執業或受雇於經紀人公司、銀行的優劣和規定。
Day4:2022/8/26
主旨:拿到考試及格證書
內容:
收到掛號的大信封,心中的大石頭放下了。我以前的同事,狂拿證照,一年大概會有四五張,而且都是國際證照。我以前比較常參加課程和考試,累積了一些證照,但現在拿證的速度就慢很多,大概一年只有一張。新心資安創立二年來,我拿了二張ITE資訊專業人員和這張財產保險經紀人。ITE是拿網路通訊專業人員和Linux維運專業人員。
2020年和2022年考了二次財產保險經紀人,2020年是在滬江中學考,那時候寫申論題是把知道的寫完就停筆,所以四科都提前交卷。到了今年(2022),是在國家考場考,我就開始寫「實務補遺」,延伸申論題所考的概念在實務的運用,而且實務補遺不只寫一篇,通常會寫三篇(另外加上答題的內容),六頁的申論答案紙會寫滿四頁、五頁。每一科都寫到鈴響考試結束才停筆。今年選擇題,背誦型的題目比較少,大多考觀念,運氣不錯。
Day5:2022/10/21
主旨:職前訓練
內容:
依據法令,保險經紀人執業前,必須通過32小時以上的職前訓練。從知道考試及格的那一天,我就開始搜尋職前訓練的相關資訊,後來找到財團法人保險發展中心有在開職前訓練的課程,價格是7000元。我把原先提撥要投入股市的25000元,移7000元來報名。
課程有五天,星期一到星期五,最後一天考試一小時,50題選擇題,其中5題複選。台灣真的人才輩出,一起參與的同學,有大學畢業即考上藥師又考上保險經紀人的;也有二年拿了四張證照(產、夀險代理人、經紀人),預定要擔任簽署人的。
對我來說,遇到考試壓力劇增,還好班上有群組,班長有整理各科上課重點分享給大家,有了這一個助益為基礎,我也整理一些資料在群組分享。結果後來大家都順利通過考試,星期五拿到結業證書,相當開心。
星期五測驗時,保發中心提供2B鉛筆和橡皮擦,我有借,但是我用自己的文昌筆(2B)做答,很好用,有想買的朋友可以跟我連繫。在張榮發基金會上課,緊臨台大醫院捷運站,交通很方便,廁所的馬桶是免治馬桶,很高級的感覺。八樓是國際會議中心,以前曾經去過,舊地重遊很開心。
便當的部分,保發中心會提供,五天裡面我都選素食,我覺得很好吃,因為五天都不同的公司承製,而且用料很實在。不過葷食就受到比較多質疑,覺得不是很好吃。可能因為大家準備考試壓力都很大,雖然中午休息一小時三十分鐘,但是大家來自台灣各地,都會趁中午的休息時間,互相交流認識。也有同學打算以後開事務所的,都有非常多合作的機會。
班長人很好,除了前面說的整理考題以外,班長還會透過群組,協助我們像是平板、保溫杯忘了拿,班長幫我們交給張榮發基金會的櫃檯保管。也透過line提醒我們像是上課時舉例的電影等細節。
美好的一仗己經打過,星期五的夜裡,望著職前訓練證書,有這100多位同學,我想,故事還將持續。
Day6:2022/12/12
主旨:任職保險經紀人公司
先前在做資安險公證軟體(這又是另一個故事了,有機會細談)時,有一百多家保險經紀人、代理人公司的資料。先前就有發現,個人執業的經紀人要二險(專業責任保險及保證保險)一金(保證金10萬元)。對於我來說,要經營新心資安,再開一個經紀人事務所,力有未逮,且10萬元保證金也籌措無方。
於是,我轉而連繫保險經紀人公司,問看看是否有擔任簽署人工作的可能性。很巧,我們在職訓練班的同學,也紛紛要申請經紀人執業證書,在互相交換心得。我看他們在談資料準備、核證速度的討論,一時好奇就問看看,沒想到真的被我遇到一家有缺簽署人的保險經紀人公司。公司只有收行政費用和系統使用費,符合我對於成本控管的想法。
簽署人應備資料:
一、身分證正反影本
二、及格證書影本
三、職前訓練證書和在職訓練(執業證書有效期間內所有上過在職教育訓練)影本
四、執業自律聲明暨承諾書正本(一式二份)。
五、帳務處理自律公約正本(一式三份)。
六、聲明書正本。
在職訓練我是上公平對待六十五歲以上客戶之相關教育訓練二小時加上法令課程,從保險發展中心的網站線上學習(職前訓練時己經有帳號),線上刷卡付學費。要注意六十五歲以上客戶的測驗必需要四個測驗都100分才算通過。而法令課程則是四個測驗都70分以上就算通過。
12/12號,是一個基準點,今天我準備好了相關資料,要寄給保險經紀人公司,開始經紀人的從業。
Day7:2023/02/08
主旨:資安險輔銷軟體
根據保險法第1條「本法所稱保險,謂當事人約定,一方交付保險費於他方,他方對於因不可預料,或不可抗力之事故所致之損害,負擔賠償財物之行為。」可知保險是一種損害填補的功能。
保險發展中心針對國內各產夀險業界之保險商品,建有「保險商品資料庫」,對於保險商品契約條款的認識有很大的助益。網址如下:
http://insprod.tii.org.tw/database/insurance/query.asp
以「資安」為關鍵字查詢未停售保單,大約有24筆資料;「董監事責任險」約有1760筆資料,而「會計師」(專業責任險)約有57筆資料。
筆者考財產保險經紀人的初衷是想做資安保險,目前在檢視保單條款資料時,感覺財產保險領域對於保險輔銷的投入,還有很大的成長空間。我自己看保單是先看那些情況不保,以資安險為例,大概會有十六種:
本公司對於下列賠償責任、費用或損失,不負賠償之責:
一、因被保險人之故意、不誠實或犯罪行為而違反資料保護或違反資訊安全所致者;但因非屬管理人員之員工之故意、不誠實或犯罪行為而違反資料保護或違反資訊安全所致者,本公司仍負理賠之責。
二、因管理人員參與、知悉或與非屬管理人員之員工共謀故意、不誠實或犯罪行為而違反資料保護或違反資訊安全所致者。
三、由管理人員所提出或代其提出之賠償請求所致者。
四、任何因身體傷害(包括精神傷害)或財物損失之賠償請求所致者;但被保險人因過失違反資料保護所致第三人精神傷害者,本公司仍負理賠之責。
五、被保險人以契約或協議所承受之賠償責任,或所提供之保證或擔保。但縱無該項契約或協議存在時仍應由被保險人負賠償責任者,本公司仍負理賠之責。
六、任何於本保險契約生效前已發生之賠償請求、官方調查或公司內部調查,或在本保險契約生效前已知悉違反資料保護或違反資訊安全,或可合理預期會導致資料保護責任或資訊安全責任之任何危險情事所致者。
七、任何關於營業秘密、著作權、專利、商標或其他智慧財產權之盜用、抄襲或侵害所致者。
八、因戰爭、類似戰爭(不論宣戰與否)、外敵入侵、外敵行為、內戰、叛亂、革命、軍事反叛行為或恐怖主義行為所致者。所謂恐怖主義行為,係指任何個人或團體,不論單獨或與任何組織、團體或政府機構共謀,運用武力、暴力、恐嚇、威脅或破壞等行為,以遂其政治、宗教、信仰、意識型態或其他類似意圖之目的,包括企圖推翻、脅迫或影響任何政府,或致使民眾或特定群眾處於恐懼狀態。
九、稅金、罰金、罰鍰或不具損失填補性質的損害賠償,如:懲罰性違約金或懲罰性損害賠償。
十、被保險人因違反或遭指控有違反任何與有價證券所有權、買入、賣出或與買入、賣出之要約或要約引誘所致者。
十一、被保險人喪失清償能力、受破產宣告或財產遭強制管理、接管、清理所致者。
十二、機械故障、電力故障(電力中斷、停電、電壓下降或突波)、通訊系統(包括網路服務)或衛星系統故障、錯誤、干擾或中斷所致者。
十三、因交易損失、交易責任或帳戶價值變動;被保險人照護、保管或控制中的任何金錢(包括虛擬貨幣)、有價證券或其他有形資產遺失、移轉或遭竊所致者。
十四、被保險人所出售、供給、修復、變更、製造、裝配或維修之商品、勞務或產品之缺陷、瑕疵或故障所致者。
十五、於美國、加拿大或其領地或屬地境內被指稱違反資料保護或違反資訊安全所致者。
十六、違反依聯合國之決議或中華民國、歐盟、英國或美國之法規所施行之任何貿易及經濟制裁、禁運或限制所致者。
其中我對於第七款、第十四款有看法:
1. 第七款:現今暗網(黑市)交易的個資或智慧財產權資料,大多是透過先進持續攻擊,從企業內部竊取而得,企業有價值的資訊資產,除了客戶和員工的個資外,最有價值的就是智慧財產權,而本項拒絕對智慧財產權損失加以賠償,會使保單的實用性降低。
2. 第十四款:產品缺陷、瑕疪或故障,對於透過網站服務做為主要產品銷售通路的企業,本款會造成爭議,除了社交工程外,企業最主要對外提供連線服務的主機,大多是官方網站,假設,我們假設天仁茗茶,透過網路販賣茶葉,而其網站出現錯價,如此是否屬於產品瑕疪呢?
Day8:2023/02/25
主旨:執業證照
從企業員工,到創業者,再到執行業務。短短的幾個字,背後卻是很長的路程。ChatGPT給我的建議如下:
以下是一些建議,可協助您在您的保險經紀人職業生涯中成功:
瞭解您的客戶:保險產品是為了滿足客戶的需求而存在的。在為客戶提供保險產品之前,您需要了解他們的需求和目標。這將有助於您選擇最適合他們的保險方案。
持續學習和瞭解行業動態:保險行業不斷變化,因此您需要隨時了解最新的法規、產品和市場趨勢。這樣您才能為您的客戶提供最好的建議和服務。
建立良好的人際關係:保險經紀人需要與客戶、保險公司和其他相關方建立良好的關係。這將有助於您在您的職業生涯中獲得成功並為您的客戶提供最佳的保障和服務。
建立良好的聲譽:您的聲譽是您在保險行業中獲得成功的關鍵。確保您以公正、誠信和專業的方式從事您的業務,並且一直保持良好的道德標準。
我問:「我要如何拓展顧客?」
ChatGPT回答:「
作為一個保險經紀人,拓展顧客是非常重要的一個任務。以下是一些建議,可以協助您拓展顧客:
維護現有客戶:維護您現有的客戶是非常重要的,因為這些客戶可能會成為您未來的推薦者。確保您提供高品質的服務,並保持與他們的良好關係。
透過網路行銷拓展客戶:現在許多人都在網上尋找保險產品和服務。因此,建立一個有吸引力的網站,並且進行網路行銷,是拓展客戶的好方法。可以透過社群媒體、博客、廣告和SEO等方式,提高您的網站在搜索引擎上的排名,增加網站流量,吸引更多的潛在客戶。
參加社群活動和商業活動:參加社群活動和商業活動是一個很好的方式,可以讓您與當地社區建立聯繫。這將提高您的知名度,增加潛在客戶,同時讓您了解當地的市場趨勢。
建立合作夥伴關係:與當地的企業、律師、會計師等建立合作夥伴關係,可以協助您擴大您的客戶群。當您與其他行業的專業人士建立關係,他們可能會推薦您的服務給他們的客戶。
提供多樣化的保險產品:提供多樣化的保險產品和服務,可以吸引更廣泛的客戶群。例如,提供車險、家庭保險、商業保險和旅遊保險等,可以滿足不同客戶的需求。
最後,記得保持積極的態度和良好的職業操守。以專業、誠信的態度為客戶提供高品質的服務,將有助於您建立良好的聲譽,吸引更多的客戶。」
這篇心得記錄的大多是ChatGPT的話,因為今天心情不美滿,不想動筆。
Day9:2023/5/7
主旨:三大險種
在產險的領域裡,依保險法第13條第2項包含「火災保險、海上保險、陸空保險、責任保險、保證保險及經主管機關核准之其他保險」,於是我選擇切入的三大險種,是資安保險、上市櫃董監事責任險、會計師專業責任險。
資安保險是我最原始考財產保險經紀人的初衷,這個領域的關鍵決策者,通常是資安主管或高階管理者。我在研究各家產險業者的要保資料後,發現該產品已經趨於穩定,各家的理賠範圍和除外不保事項都完全相同。我主打的是富邦和南山這二家公司,富邦是以年營業額和保額來區分保費標準,保費從6570元每年到每年20770元。而南山則是依行業別和保額來區分保費標準,保費從每年2500元到每年13500元。
現在保險公司對於個人執業經紀人,有一定的年業績要求,大概一年要七八十萬,而且要有相對的窗口。而經紀人和保險公司業務員最大的差別和利基就在於有多家保險公司產品,可是如此一來業績要求就會墊高。不利於初創業者。所以大部分的保險經紀人會選擇在保經公司服務。
但是開始實際推資安保險時,發現不很容易,往往連繫100家客戶才有1家客戶回應。我是把焦點放在非營利組織,因為資安險有理賠資安事件、個資外洩事件等受第三人要求賠償,還有事件鑑識和訴訟、通知費用的理賠。對於資源較缺乏的非營利組織來說,是很理想的風險轉移工具。雖然理賠金額不是非常高,大概100萬到500萬之間,但是對於非營利組織而言是相當足夠的。
尤其,非營利組織不太會投資威脅獵補工具,也缺乏網路區隔的嚴謹,在發生事故後多半重灌電腦軟體即結案。但如果沒有把威脅源頭找出來,仍然是未爆彈。這時資安保險所理賠的事故調查費用就很重要。
第二個險種是董監事責任險,原本我是知道上市櫃公司,在金管會的要求下,必須要為董監事投保責任險,所以我把這個險種加入。但後來在公開資訊觀測站上看到,所有的上市、上櫃、公開發行公司,都已經投保了。雖然績保時很多公司會換不同的保險公司,代表還是有可能有商機,但是我選擇先修正,從較小型的公司切入。這些公司還是有董監事,我可以直接和公司負責人談,為全體董監事投保董監事責任險。
第三個險種是會計師專業責任險。投保控告康友-KY案
創史上金額最大 2名會計師需承擔50%比例責任,約26.7億元,若無法賠償,事務所則需有連帶賠償責任。會計師專業責任險我也是主推國泰和富邦,國泰的要保書問的問題比較簡單,主要是事務所各層級員工的人數、過去有無出險、還有保那一家公司。富邦問的就比較詳細,林林總總,有專門的一張問卷。
不可諱言,第二種和第三種險種,我掌握度還不夠。尤其是今年會和一家保險公證人公司合作,會需要再擴增險種的分析資料庫。但是急不來,這個行業很重視經驗累積,大多數時間,同仁們遇到問題時,都會和保險公司的窗口詢問該公司最新的保單資料和要保書,以及能不能投保等問題。
每天的下午5點到6點,就是我製作保險資料庫的時間,加油.明天。
Day10:2023/5/7
主旨:車險的嘗試
保經人員職前訓練班有一個群組,同學們會互動交流。正好昨天有人在問,保險公司不太接受自行開業,想問抽成數高的保經公司。就有熱心的同學回答。於是我也私訊詢問回答同學,他們是怎麼找到業績的。
同學很好奇的問我,以前沒有當過業務員嗎?我回答是的。我是從保險經紀人切入的,而且規劃只賣三種產險。他說太少了,這樣不容易找到客戶。並且告訴我可以嘗試做車險,然後金額不高但是是很穩定的收入。我就問,車險是指責任險還是竊盗險,他說都有,看客戶需求做搭配。並且傳給我一個分析表。
我目前車險有資料的有新安東京海上。可能要等前面三大險種都熟悉了之後,再抽時間來做車險的分析。
2023年1月30日 星期一
網路世界隱性風險無所不在,「個人資安險」保障你的數位生活
網路世界隱性風險無所不在,「個人資安險」保障你的數位生活
商品訊息.2020 / 10 / 26
數位生活帶給人們方便快速,現代人已不能沒有網路,但是許多民眾帳號密碼從不更換,進出各大入口網站都用同一套帳密,小心你的求方便、好記,將為自己帶來不少網路世界裡的隱性風險,資安專家曾建議民眾,個人資安防護的最好的辦法,就是避免使用同一組帳密,並強化密碼強度,「八位數以上有英數大小寫,加上特殊符號。」然而,再怎麼縝密的做好基本功,也總有意外發生,遭遇不肖人士盜用身分因而造成損失等風險。
經典的詐騙手段,如身分盜用、社交詐騙等,或是網路霸凌、肉搜帳號造成個人心理疾病後,需進行應變的費用損失;和泰產險推出「個人資訊安全防護保障綜合保險」,包含三大承保項目「社交詐騙財務損失保險」、「網路霸凌費用損失保險」、「身分盜用費用損失保險」,最低保費一次繳付不到千元,即可為數位生活增添保障,民眾若遭遇相關的網路風險,皆能降低相關損失;同時透過投保本專案即可享有保戶專屬的免付費網路問題支援Call center服務,遇到網路問題或保單所承保之事故將有專職專家為保戶提供諮詢服務。
保障你的數位生活除了定期更改帳密之外,現在起有了新的選擇,和泰產險推出首張「個人資安險」,民眾可透過和泰產險業務專員購買,或撥打客服諮詢相關投保方式,將有專人服務提供投保相關訊息。
商品訊息.2020 / 10 / 26
數位生活帶給人們方便快速,現代人已不能沒有網路,但是許多民眾帳號密碼從不更換,進出各大入口網站都用同一套帳密,小心你的求方便、好記,將為自己帶來不少網路世界裡的隱性風險,資安專家曾建議民眾,個人資安防護的最好的辦法,就是避免使用同一組帳密,並強化密碼強度,「八位數以上有英數大小寫,加上特殊符號。」然而,再怎麼縝密的做好基本功,也總有意外發生,遭遇不肖人士盜用身分因而造成損失等風險。
經典的詐騙手段,如身分盜用、社交詐騙等,或是網路霸凌、肉搜帳號造成個人心理疾病後,需進行應變的費用損失;和泰產險推出「個人資訊安全防護保障綜合保險」,包含三大承保項目「社交詐騙財務損失保險」、「網路霸凌費用損失保險」、「身分盜用費用損失保險」,最低保費一次繳付不到千元,即可為數位生活增添保障,民眾若遭遇相關的網路風險,皆能降低相關損失;同時透過投保本專案即可享有保戶專屬的免付費網路問題支援Call center服務,遇到網路問題或保單所承保之事故將有專職專家為保戶提供諮詢服務。
保障你的數位生活除了定期更改帳密之外,現在起有了新的選擇,和泰產險推出首張「個人資安險」,民眾可透過和泰產險業務專員購買,或撥打客服諮詢相關投保方式,將有專人服務提供投保相關訊息。
2023年1月22日 星期日
Mitre Att & CK 框架中譯
|
偵察 |
資源開發 |
初始訪問 |
執行 |
|
10個技巧 |
7個技巧 |
9個技巧 |
13個技巧 |
|
主動掃描 (3) |
獲取基礎設施 (7) |
偷渡式詐騙 |
命令和腳本解譯器 (8) |
|
收集受害者宿主資訊 (4) |
詐騙帳戶 (3) |
利用面向公眾的應用程式 |
容器管理命令 |
|
收集受害者身份資訊 (3) |
詐騙基礎設施 (7) |
外部遠端服務 |
部署容器 |
|
收集受害者網路資訊 (6) |
發展能力 (4) |
硬體添加 |
利用用戶端執行 |
|
收集受害者組織資訊 (4) |
建立帳戶 (3) |
網路釣魚 (3) |
進程間通信 (3) |
|
網路釣魚資訊 (3) |
獲得能力 (6) |
通過可移動介質複製 |
原生API |
|
搜索閉源 (2) |
舞臺能力 (6) |
供應鏈詐騙 (3) |
預定任務/工作 (5) |
|
搜索開放技術資料庫 (5) |
信任關係 |
無伺服器執行 |
|
|
搜索打開的網站/域 (3) |
有效帳戶 (4) |
共用模組 |
|
|
搜索受害者擁有的網站 |
軟體部署工具 |
||
|
系統服務 (2) |
|||
|
用戶執行 (3) |
|||
|
Windows 管理規範 |
|||
|
堅持 |
特權升級 |
防禦閃避 |
|
19個技巧 |
13個技巧 |
42個技巧 |
|
帳戶操縱 (5) |
濫用高度控制機制 (4) |
濫用高度控制機制 (4) |
|
位職位 |
訪問權杖操作 (5) |
訪問權杖操作 (5) |
|
引導或登錄自動啟動執行 (14) |
引導或登錄自動啟動執行 (14) |
位職位 |
|
引導或登錄初始化腳本 (5) |
引導或登錄初始化腳本 (5) |
在主機上構建鏡像 |
|
流覽器擴展 |
創建或修改系統進程 (4) |
調試器規避 |
|
詐騙用戶端軟體二進位檔案 |
域策略修改 (2) |
去混淆/解碼檔或資訊 |
|
創建帳戶 (3) |
逃到宿主 |
部署容器 |
|
創建或修改系統進程 (4) |
事件觸發執行 (16) |
直接卷訪問 |
|
事件觸發執行 (16) |
利用特權升級 |
域策略修改 (2) |
|
外部遠端服務 |
劫持執行流程 (12) |
執行護欄 (1) |
|
劫持執行流程 (12) |
過程注入 (12) |
利用防禦規避 |
|
植入物內部圖像 |
預定任務/工作 (5) |
檔和目錄許可權修改 (二) |
|
修改認證流程 (7) |
有效帳戶 (4) |
隱藏文物 (10) |
|
辦公應用啟動 (6) |
劫持執行流程 (12) |
|
|
預作業系統啟動 (5) |
削弱防禦 (9) |
|
|
預定任務/工作 (5) |
指示器移除 (9) |
|
|
伺服器軟體元件 (5) |
間接命令執行 |
|
|
交通信號 (2) |
偽裝 (7) |
|
|
有效帳戶 (4) |
修改認證流程 (7) |
|
防禦閃避 |
憑據訪問 |
發現 |
發現 |
橫向運動 |
|
42個技巧 |
17個技巧 |
30個技巧 |
30個技巧 |
9個技巧 |
|
修改雲計算基礎設施 (4) |
中間對手 (3) |
帳戶發現 (4) |
|
遠端服務的利用 |
|
修改註冊表 |
蠻力 (4) |
應用程式視窗發現 |
週邊設備發現 |
內部魚叉式釣魚 |
|
修改系統鏡像 (2) |
來自密碼存儲的憑據 (5) |
流覽器書簽發現 |
許可權組發現 (3) |
橫向工具轉移 |
|
網路邊界橋接 (1) |
利用憑證訪問 |
雲基礎設施發現 |
流程發現 |
遠端服務會話劫持 (2) |
|
混淆檔或資訊 (9) |
強制認證 |
雲服務儀錶板 |
查詢註冊表 |
遠端服務 (6) |
|
plist檔修改 |
偽造網路憑證 (2) |
雲服務發現 |
遠端系統發現 |
通過可移動介質複製 |
|
預作業系統啟動 (5) |
輸入捕捉 (4) |
雲存儲物件發現 |
軟體發現 (1) |
軟體部署工具 |
|
過程注入 (12) |
修改認證流程 (七) |
容器和資源發現 |
系統資訊發現 |
污染共用內容 |
|
反射代碼載入 |
多重身份驗證攔截 |
調試器規避 |
系統位置發現 (1) |
使用備用身份驗證材料 (4) |
|
流氓網域控制站 |
多重身份驗證請求生成 |
域信任發現 |
系統網路配置發現 (1) |
|
|
Rootkit |
網路嗅探 |
檔和目錄發現 |
系統網路連接發現 |
|
|
顛覆信任控制 (6) |
作業系統憑據轉儲 (8) |
群組原則發現 |
系統所有者/使用者發現 |
|
|
系統二進位代理執行 (13) |
竊取應用程式訪問權杖 |
網路服務發現 |
系統服務發現 |
|
|
系統腳本代理執行 (1) |
竊取或偽造身份驗證證書 |
網路共用發現 |
系統時間發現 |
|
|
範本注入 |
竊取或偽造 Kerberos 票據 (4) |
網路嗅探 |
虛擬化/沙箱規避 (3) |
|
|
交通信號 (2) |
竊取網路會話 Cookie |
密碼策略發現 |
|
|
|
受信任的開發人員實用程式代理執行 (1) |
不安全憑證 (7) |
|
||
|
未使用/不支援的雲區域 |
|
|
|
|
|
使用備用身份驗證材料 (4) |
|
|
|
|
|
有效帳戶 (4) |
|
|
|
|
|
虛擬化/沙箱規避 (3) |
|
|
|
|
|
弱化加密 (2) |
|
|
|
|
|
XSL 腳本處理 |
|
|
|
|
|
收藏 |
命令與控制 |
滲透 |
影響 |
|
17個技巧 |
16個技巧 |
9個技巧 |
13個技巧 |
|
中間對手 (3) |
應用層協定 (4) |
自動滲漏 (1) |
刪除帳戶存取權限 |
|
存檔收集的資料 (3) |
通過可移動媒體進行通信 |
資料傳輸大小限制 |
資料銷毀 |
|
音訊採集 |
資料編碼 (2) |
通過替代協議進行滲漏 (3) |
為影響而加密的資料 |
|
自動收集 |
數據混淆 (3) |
通過 C2 通道滲透 |
資料操作 (3) |
|
流覽器會話劫持 |
動態解析度 (3) |
通過其他網路介質滲漏 (1) |
汙損 (2) |
|
剪貼板數據 |
加密頻道 (2) |
通過物理介質進行滲漏 (1) |
磁片擦除 (2) |
|
來自雲存儲的資料 |
回退管道 |
通過 Web 服務進行滲漏 (2) |
端點拒絕服務 (4) |
|
來自配置庫的資料 (2) |
入口工具傳輸 |
預定轉移 |
固件損壞 |
|
來自資訊存儲庫的資料 (3) |
多級通道 |
將資料傳輸到雲帳戶 |
禁止系統恢復 |
|
來自本地系統的資料 |
非應用層協定 |
網路拒絕服務 (2) |
|
|
來自網路共用驅動器的資料 |
非標準埠 |
資源劫持 |
|
|
來自可移動媒體的資料 |
協議隧道 |
服務停止 |
|
|
數據暫存 (2) |
代理 (4) |
系統關閉/重啟 |
|
|
電子郵件收集 (3) |
遠端存取軟體 |
||
|
輸入捕捉 (4) |
交通信號 (2) |
||
|
螢幕截圖 |
網路服務 (3) |
||
|
視頻截取 |
|
|
|
訂閱:
意見 (Atom)