中小型企業(yè)增加了他們的數(shù)字足跡，擁抱遠(yuǎn)程工作，使用更多聯(lián)網(wǎng)設(shè)備，并采用新的工具和技術(shù)。他們現(xiàn)在發(fā)現(xiàn)自己對(duì)網(wǎng)絡(luò)犯罪分子更具吸引力，在針對(duì)大型企業(yè)的頭條新聞攻擊背后，中小企業(yè)正越來(lái)越頻繁地受到攻擊。

確切的數(shù)字可能很難衡量，但根據(jù)DEVELIONS的2023-2024年中小企業(yè)IT安全狀況報(bào)告，69%的中小企業(yè)報(bào)告在去年至少經(jīng)歷了一次網(wǎng)絡(luò)攻擊，比前一年有所增加。

網(wǎng)絡(luò)安全事件對(duì)小企業(yè)的損害尤其嚴(yán)重，因?yàn)闆]有財(cái)政和組織資源來(lái)應(yīng)對(duì)影響。在某些情況下，這可能會(huì)導(dǎo)致它們破產(chǎn)。

然而，根據(jù)迪沃斯的報(bào)告，盡管風(fēng)險(xiǎn)增加，但只有不到三分之二的公司通過密碼管理器、雙因素身份驗(yàn)證和網(wǎng)絡(luò)安全培訓(xùn)等措施完全保護(hù)自己的業(yè)務(wù)。為了限制成為受害者的風(fēng)險(xiǎn)，專家們分享了他們對(duì)中小企業(yè)的建議，幫助他們將壞習(xí)慣轉(zhuǎn)變?yōu)楦玫姆烙胧?/p>

1.認(rèn)為自己太小而不能成為目標(biāo)

中小企業(yè)可能會(huì)落入這樣的陷阱，認(rèn)為網(wǎng)絡(luò)犯罪分子只是在追捕大魚，但事實(shí)遠(yuǎn)非如此。中小企業(yè)不僅不是太小而不能成為攻擊目標(biāo)，而且這也是它們經(jīng)常受到攻擊的原因。

這種信念可能導(dǎo)致一大堆糟糕的做法，使企業(yè)暴露在一系列漏洞之下。Check Point Software Technologies的網(wǎng)絡(luò)安全顧問薩迪克·伊克巴爾(Sadiq Iqbal)表示：“統(tǒng)計(jì)數(shù)據(jù)顯示，大多數(shù)網(wǎng)絡(luò)攻擊都是針對(duì)中小企業(yè)的，因?yàn)樗麄儽灰暈楦菀坠舻哪繕?biāo)，沒有大型組織所具備的安全姿態(tài)。”伊克巴爾負(fù)責(zé)管理大量中小企業(yè)客戶。

建議是，不要因?yàn)槟阏J(rèn)為這項(xiàng)業(yè)務(wù)不在威脅參與者的雷達(dá)上而忽視預(yù)防措施。“你有一個(gè)銀行賬戶，而且你使用互聯(lián)網(wǎng)。為小型企業(yè)提供網(wǎng)絡(luò)安全建議的Pocket CISO的創(chuàng)始人卡洛塔·塞奇表示：“你是一個(gè)目標(biāo)，即使這不是故意的。”

根據(jù)Sage的經(jīng)驗(yàn)，中小企業(yè)希望做正確的事情，但他們需要來(lái)自行業(yè)和政府的更多支持。與英國(guó)和澳大利亞不同，美國(guó)缺乏政府監(jiān)管，需要更多專門的資源。“作為安全從業(yè)者和中小企業(yè)供應(yīng)商的安全團(tuán)隊(duì)，我們有責(zé)任更好地支持中小企業(yè)。我們，作為一個(gè)國(guó)家和那些為中小企業(yè)服務(wù)的人，需要加快步伐，”他們說。

2.低估了對(duì)中小企業(yè)的勒索軟件威脅

OpenText網(wǎng)絡(luò)安全和長(zhǎng)期威脅分析師格雷森·米爾本表示，中小企業(yè)低估了勒索軟件的威脅。他援引OpenText的全球中小企業(yè)勒索軟件調(diào)查發(fā)現(xiàn)，超過三分之二(67%)的受訪者不相信或不確定自己是勒索軟件的目標(biāo)。

太多的中小企業(yè)認(rèn)為，網(wǎng)絡(luò)罪犯是高度技術(shù)性和老練的，對(duì)較小的企業(yè)不感興趣。然而，情況并非如此，近一半(46%)的受訪者報(bào)告稱受到了勒索軟件攻擊。

這是一種低成本、相對(duì)容易的攻擊工具，可以很容易地部署到針對(duì)中小企業(yè)的攻擊中。“勒索軟件即服務(wù)(RaaS)可以簡(jiǎn)單地購(gòu)買或部署，幾乎沒有技術(shù)訣竅，”米爾本告訴記者。因此，中小企業(yè)沒有預(yù)留足夠的資源，導(dǎo)致它們受到的保護(hù)很差。“改變中小企業(yè)對(duì)勒索軟件的看法，并制定政策和技術(shù)，以更好地保護(hù)自己，對(duì)于避免成為受害者至關(guān)重要。”

如果企業(yè)真的遭受了攻擊，他們需要尋求專家支持來(lái)幫助管理這種情況，特別是考慮到賠付絕不是恢復(fù)數(shù)據(jù)的保證。

關(guān)于襲擊的影響，有一些發(fā)人深省的統(tǒng)計(jì)數(shù)據(jù)。根據(jù)Hiscox網(wǎng)絡(luò)準(zhǔn)備2023年的報(bào)告，美國(guó)小企業(yè)去年支付了超過1.6萬(wàn)美元的贖金。Hiscox保險(xiǎn)公司技術(shù)和網(wǎng)絡(luò)業(yè)務(wù)副總裁兼產(chǎn)品主管克里斯托弗·霍伊諾夫斯基表示：“勒索軟件正在讓小企業(yè)付出巨大代價(jià)。”霍伊諾夫斯基與美國(guó)60多萬(wàn)家小企業(yè)有業(yè)務(wù)往來(lái)。

在支付了贖金的受訪企業(yè)中，只有一半最終取回了數(shù)據(jù)，而一半的企業(yè)不得不重建系統(tǒng)。此外，調(diào)查發(fā)現(xiàn)，令人震驚的27%的人再次受到攻擊，另有27%的人被要求更多的錢。霍伊諾夫斯基說：“我們當(dāng)然不建議支付贖金。”

3.將網(wǎng)絡(luò)安全僅僅視為技術(shù)問題

根據(jù)Sage的說法，網(wǎng)絡(luò)安全不能僅靠技術(shù)來(lái)解決，在許多方面這是一個(gè)人類問題。“技術(shù)使攻擊成為可能，技術(shù)有助于防止攻擊，技術(shù)有助于在攻擊后進(jìn)行清理，但這種技術(shù)需要知識(shí)淵博的人才能有效，至少目前是這樣，”他們說。

這也加劇了其他問題，即缺乏預(yù)算和沒有專門的網(wǎng)絡(luò)安全責(zé)任。伊克巴爾說：“這些都是中小企業(yè)面臨的重大挑戰(zhàn)，使他們沒有關(guān)于合規(guī)框架的指導(dǎo)和明確的方向，并且依賴供應(yīng)商的支持。”

伊克巴爾建議中小企業(yè)始終從政府資源中尋找指導(dǎo)方針和最佳做法，至少?gòu)慕ㄗh的基本保護(hù)開始。例如，在美國(guó)，小企業(yè)管理局(SBA)和聯(lián)邦通信委員會(huì)(Federal Communications Commission)都有信息和資源，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(National Cyber Security Centre)有指導(dǎo)，全球網(wǎng)絡(luò)聯(lián)盟(GCA)也有小企業(yè)工具包。澳大利亞信號(hào)局也有一份針對(duì)小企業(yè)的指南。

Sage補(bǔ)充說，由于大多數(shù)企業(yè)都在使用Google Workspace或Microsoft Office 365，各自的知識(shí)庫(kù)是豐富的信息。在這些平臺(tái)之外，尋求當(dāng)?shù)氐闹笇?dǎo)來(lái)源。Sage告訴記者：“還有當(dāng)?shù)氐纳鐓^(qū)學(xué)院、城鎮(zhèn)和縣小企業(yè)中心或經(jīng)濟(jì)發(fā)展部門，州商務(wù)部門也應(yīng)該能夠?qū)⒛氵B接到網(wǎng)絡(luò)安全資源。”

4.沒有養(yǎng)成良好的網(wǎng)絡(luò)安全習(xí)慣

養(yǎng)成良好的網(wǎng)絡(luò)安全習(xí)慣應(yīng)該是不費(fèi)吹灰之力的，盡管它可能會(huì)時(shí)好時(shí)壞。例如，根據(jù)Iqbal的說法，允許使用弱密碼太常見了。他還發(fā)現(xiàn)，登錄的默認(rèn)密碼沒有更改，或者安全服務(wù)器的所有密碼都更改為一個(gè)密碼，并且沒有單獨(dú)的管理密碼。“管理員賬戶是黑客尋求妥協(xié)的最有利可圖的賬戶威脅。這只需要一個(gè)妥協(xié)，然后通往王國(guó)的鑰匙就會(huì)向你所有潛在的威脅參與者敞開。”

備份被廣泛部署，但中小型企業(yè)經(jīng)常忽視備份測(cè)試的重要性。如果業(yè)務(wù)受到攻擊，備份失敗，可能會(huì)是災(zāi)難性的。“你希望能夠恢復(fù)和減輕威脅攻擊造成的損害，這意味著要有一個(gè)經(jīng)過檢查的可靠備份，以確保它沒有損壞或沒有任何其他問題，”伊克巴爾說。

擁有足夠的網(wǎng)絡(luò)保險(xiǎn)也很重要，但Hiscox發(fā)現(xiàn)，只有53%的美國(guó)小企業(yè)擁有包括網(wǎng)絡(luò)保險(xiǎn)在內(nèi)的保險(xiǎn)單。

而且，他們冒的風(fēng)險(xiǎn)不僅僅是自己業(yè)務(wù)的成本。Hojnowski說：“沒有足夠網(wǎng)絡(luò)覆蓋的小企業(yè)可能要為攻擊的結(jié)果承擔(dān)經(jīng)濟(jì)責(zé)任。”網(wǎng)絡(luò)保險(xiǎn)提供針對(duì)新出現(xiàn)的威脅和應(yīng)對(duì)入侵的成本的保護(hù)，以及幫助遏制損害的點(diǎn)-人。

5.不把網(wǎng)絡(luò)安全放在首位

Rapid7的首席科學(xué)家拉杰·薩馬尼表示，當(dāng)中小企業(yè)利用新技術(shù)時(shí)，對(duì)風(fēng)險(xiǎn)的考慮與企業(yè)不同，但他們面臨著許多相同的風(fēng)險(xiǎn)。

企業(yè)往往擁有更多的風(fēng)險(xiǎn)管理視角，而規(guī)模較小的機(jī)構(gòu)往往將效率置于安全之上。Samani已經(jīng)看到了一些案例，較小的企業(yè)獲得了遠(yuǎn)程訪問協(xié)議等新的數(shù)字系統(tǒng)，這可能會(huì)使它們?nèi)菀资艿焦簦驗(yàn)檫@是勒索軟件集團(tuán)用來(lái)侵入公司的常見進(jìn)入媒介。

對(duì)于中小企業(yè)來(lái)說，采用新的數(shù)字工具需要不同的方法，但他們沒有奢侈的機(jī)會(huì)請(qǐng)一家大型咨詢公司來(lái)給他們提供建議。薩馬尼說：“需要有一種更簡(jiǎn)單的方法來(lái)闡明為了他們的安全需要做些什么。”

根據(jù)Hojnowski的說法，小企業(yè)犯的另一個(gè)常見錯(cuò)誤是沒有實(shí)施多因素身份驗(yàn)證。“這應(yīng)該是幫助更好地保護(hù)您的業(yè)務(wù)的第一步。”

為了設(shè)置正確的優(yōu)先事項(xiàng)，Hojnowski的建議是從分析當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢(shì)開始，但不要忽視潛在的漏洞。評(píng)估預(yù)算是否充足，以及企業(yè)可能有哪些特殊需求。“你是在一個(gè)被認(rèn)為是高風(fēng)險(xiǎn)目標(biāo)的行業(yè)中運(yùn)營(yíng)，還是在該行業(yè)運(yùn)營(yíng)，如果出現(xiàn)漏洞，你的需求是什么?”霍伊諾斯基說。

一旦確定了這一基準(zhǔn)，就應(yīng)采取系統(tǒng)的方法來(lái)改進(jìn)防御措施，并采用最佳做法原則，例如：

• 所有系統(tǒng)和軟件都需要啟用自動(dòng)更新，并安裝適當(dāng)?shù)难a(bǔ)丁。
• 員工培訓(xùn)計(jì)劃，幫助發(fā)現(xiàn)釣魚電子郵件、商業(yè)電子郵件泄露、非法資金轉(zhuǎn)移、如何創(chuàng)建強(qiáng)密碼，以及在需要的時(shí)候進(jìn)行其他教育。
• 采用一系列安全工具，包括防火墻、防病毒、終端檢測(cè)和響應(yīng)以及收件箱保護(hù)機(jī)制。
• 將數(shù)據(jù)備份到云中并維護(hù)現(xiàn)場(chǎng)備份，并確保所有數(shù)據(jù)都經(jīng)過加密并檢查備份。
• 公司的政策和程序旨在防止攻擊，保護(hù)數(shù)據(jù)，并在數(shù)據(jù)無(wú)法訪問的情況下處理事情。

6.預(yù)算與不斷增長(zhǎng)的風(fēng)險(xiǎn)狀況不匹配

中小企業(yè)需要一個(gè)與其風(fēng)險(xiǎn)狀況相稱的預(yù)算，并考慮他們的需求、重要的業(yè)務(wù)信息以及他們是否持有敏感的個(gè)人數(shù)據(jù)。霍伊諾夫斯基說：“每家公司都需要評(píng)估自己的運(yùn)營(yíng)情況，以及他們?cè)敢饣ǘ嗌馘X來(lái)幫助防止?jié)撛诘臉I(yè)務(wù)中斷。”

安全成本需要與支持企業(yè)運(yùn)營(yíng)的營(yíng)銷、銷售和其他成本并駕齊驅(qū)。Sage說：“一家企業(yè)知道每個(gè)員工為企業(yè)運(yùn)營(yíng)購(gòu)買工具和許可證的成本，以及為了獲得或留住客戶而在銷售和營(yíng)銷上花費(fèi)了多少。”它需要花費(fèi)一定比例的金額來(lái)確保員工的工作，并保護(hù)客戶、潛在客戶及其產(chǎn)品。“它需要根據(jù)企業(yè)的市場(chǎng)及其復(fù)雜性進(jìn)行計(jì)算，”塞奇說。