2.網(wǎng)站劫持

許多小型企業(yè)的官方網(wǎng)站并不會用于出售產(chǎn)品，而完全是為了吸引客戶。但也有不少公司跟Endless Wardrobe一樣，需要在網(wǎng)站上直接進(jìn)行產(chǎn)品及服務(wù)銷售。無論是哪一種情況，拒絕服務(wù)攻擊這種致命的侵襲都極為可怕——攻擊者利用這種方式占據(jù)大量帶寬，使得網(wǎng)站無暇處理正常客戶的合法交易。

過去，以拒絕服務(wù)攻擊為手段的敲詐勒索者們大多將注意力放在那些名聲不好的公司身上，例如在線博彩公司或者色情網(wǎng)站。但現(xiàn)在犯罪分子的胃口越來越大，他們已經(jīng)開始對所有安全技術(shù)薄弱、無力抵御網(wǎng)絡(luò)攻擊的小企業(yè)們展開侵襲。

包括CloudFlare、Incapsula以及Prolexic在內(nèi)的許多服務(wù)商都能幫助企業(yè)用戶對抗拒絕服務(wù)攻擊。他們的方法是創(chuàng)建一套“安全”網(wǎng)絡(luò)——即經(jīng)過嚴(yán)格控制的業(yè)務(wù)社區(qū)，任何惡意流量在訪問企業(yè)客戶之前都會被過濾機制攔截下來，這一方面阻絕了不良請求、另一方面也保障了正常交易的進(jìn)行。

3.由員工造成的數(shù)據(jù)泄露

雖然說員工是小型企業(yè)的最大財富，但他們同時也是最可能引發(fā)災(zāi)難的潛在風(fēng)險。他們很可能在不經(jīng)意之間點擊了高危鏈接、打開了不知附件或是犯下最基本的安全失誤，總之這些“不明真相”的群眾常常扮演著攻擊者們“內(nèi)應(yīng)”的角色。

只要能夠獲得一組密碼，犯罪分子就能夠順藤摸瓜、竊取企業(yè)整套系統(tǒng)中的全部密碼，接下來“針對企業(yè)展開的攻擊步驟將勢如破竹、鋪天蓋地，”管理技術(shù)供應(yīng)商Thrive網(wǎng)絡(luò)公司總裁Jim Lippie如是說。

除此之外，對公司心懷不滿的員工還可能搞出蓄意破壞等大麻煩來，這甚至比惡意人士的攻擊更難應(yīng)對。

首先要對公司員工進(jìn)行安全實踐教育，從選擇高強度密碼開始貫徹良好的保護機制。在許多中小企業(yè)中，員工都喜歡用同一套密碼或者有限的幾組密碼來訪問公司資源及在線服務(wù)，更有甚者還將業(yè)務(wù)密碼與個人密碼混為一談。此外，過分簡單的密碼內(nèi)容也是常見的安全失誤之一。

其次，應(yīng)該對員工進(jìn)行背景調(diào)查，掌握哪些員工曾經(jīng)造成過安全問題或者工作失誤。嚴(yán)格控制員工對企業(yè)敏感資源的訪問權(quán)限，例如客戶清單以及財務(wù)信息等。利用安全及員工活動監(jiān)控系統(tǒng)收集來自網(wǎng)絡(luò)的信息，并劃撥50美元每人的開支對所有可疑活動及日志內(nèi)容進(jìn)行分析——這對于小型企業(yè)而言也許價格不菲，但中型企業(yè)絕對值得嘗試這套方案。