【guidewire】2025年美国网络行业暴露数据库和损失曲线

近日，Guidewire Cyence与Guy Carpenter合作发布了《2025 US Cyber Industry Exposure Database and Loss Curve》报告。这份报告深入探讨了2025年美国网络行业的暴露数据库和损失曲线，分析了联邦政府对网络安全监管的放松、国家网络活动以及外国战争等因素如何为网络攻击者创造新的机会，同时也为云服务提供商带来了减轻监管负担的机遇。报告提供了市场暴露度量、聚合基准、数据补充支持以及风险转移工具计算等多种用例，是金融和保险市场对行业网络暴露进行重新评估的重要参考。报告中包含了丰富的统计输出和构建逻辑的详细说明，为行业提供了深刻的洞察和宝贵的数据支持。

在2025年，美国网络安全行业正面临前所未有的挑战。联邦政府对网络安全机构的放松监管和资金削减，以及国家间的网络活动和持续的外国战争，都为网络攻击者提供了新的可乘之机。例如，美国联邦政府对大型云服务提供商安全标准的监管减少，可能导致这些服务提供商减少对安全协议或漏洞修复的资源分配，这在以前是行业的标准做法。

尽管如此，大型云服务提供商也可能从新释放的资源中受益，可能加速网络安全创新的研发速度，减少监管义务。但这些程序调整的最终影响不容易衡量：在短期内，监管放松对安全的影响可能会超过效率利益，这意味着2025年的网络安全行业风险水平可能高于2024年。

为了应对这一动荡时刻，金融和保险市场需要重新评估行业网络暴露。Guidewire Cyence和Guy Carpenter发布了全新的、独特的、最新的美国网络行业暴露数据库和损失曲线（IED）。这个数据库和损失曲线包括市场暴露测量、聚合基准、数据补充和支持，以及各种风险转移工具计算等多种用例。Cyence和GC计划通过定期更新、新版本发布和额外功能，将这种合作维持到2025年之后，包括从美国扩展到全球视角。

IED项目的主要发现表明，行业损失曲线本质上是可能的极端网络损失情景的上升曲线，每个情景都分配了一个独特的可能性。在这种情况下，Cyence和GC的损失曲线结果包括每年模拟的最大事件（“事件超额概率”或“OEP”）和总年度损失（“聚合超额概率”或“AEP”）。分析还包括其他网络风险指标，但一些高级别的基准统计数据可以总结如下：

– 1-in-250损失：172.3亿美元
– 预期损失：17.23亿美元
– 1-in-100损失：94.9亿美元（每次事件）和165.3亿美元（年度聚合）

这些数据揭示了网络风险的严重性，尤其是在极端情况下。例如，1-in-100的损失比率表明，在某些情况下，保险行业的总损失可能达到174%。这意味着，如果发生大规模的网络攻击，保险行业可能需要支付的赔偿金将超过其收入的74%。

报告还提到，如果网络保险行业进入高损失比率环境，保险公司可能会采取更保守的购买行为。对份额再保险的需求可能会扩大，因为它提供了一种有效的方式来减轻基础风险。即使在行业损失比率达到前所未有的水平的一年中，这种高损失比率背后的损失类型也会导致对再保险保护需求的不同胃口。如果174%的损失比率主要是由灾难性事件驱动的，保险公司自然会寻求保护其资产负债表免受网络灾难事件引入的极端波动的影响。

在网络安全风险景观的全面评论中，报告指出，当前的网络安全风险景观波动包括所有部门和企业规模，以及所有目标和大规模攻击策略。勒索软件和商业电子邮件泄露（BEC）攻击持续到2025年第一季度，并与2024年第一季度相比，实际上反映了频率的显著增加。至少对于BEC来说，这种增加的活动可以归因于AI攻击复杂性的新发展：以前可以识别为外部方或机器人生成的网络钓鱼消息，现在与可信发件人几乎无法区分。

报告还讨论了乌克兰冲突对网络安全的影响，以及美国联邦网络安全计划的资金削减。CISA（网络安全和基础设施安全局）提供持续的国家威胁情报，并协助策划KEVs（已知被利用的漏洞目录）。这个项目已经减少了1000万美元的年度资金和大约10%的劳动力。FedRAMP（联邦风险和授权管理计划）是一个确保美国政府依赖的基于云的服务器保持国家数字安全可接受标准的组织。2025年，追求与AI相关的措施的倡议被取消，云使用授权被重新分配给私营部门，远离行动迟缓（但更密切监控）的中央联邦监督。

这篇文章的灵感来自于《2025年美国网络行业暴露数据库和损失曲线》报告。除了这份报告，还有一些同类型的报告也非常有价值，推荐阅读，这些报告我们都收录在同名星球，可以自行获取。

以上为节选样张，关注公众号【蝉鸣报告】回复领取PDF完整电子版（无广告）。

【蝉鸣报告】每日更新最新硬核报告，覆盖产业报告、全球化、经济报告、趋势等全领域。