確切的數字可能很難衡量,但根據DEVELIONS的2023-2024年中小企業IT安全狀況報告,69%的中小企業報告在去年至少經歷了一次網絡攻擊,比前一年有所增加。
網絡安全事件對小企業的損害尤其嚴重,因為沒有財政和組織資源來應對影響。在某些情況下,這可能會導致它們破產。
然而,根據迪沃斯的報告,盡管風險增加,但只有不到三分之二的公司通過密碼管理器、雙因素身份驗證和網絡安全培訓等措施完全保護自己的業務。為了限制成為受害者的風險,專家們分享了他們對中小企業的建議,幫助他們將壞習慣轉變為更好的防御措施。
1.認為自己太小而不能成為目標
中小企業可能會落入這樣的陷阱,認為網絡犯罪分子只是在追捕大魚,但事實遠非如此。中小企業不僅不是太小而不能成為攻擊目標,而且這也是它們經常受到攻擊的原因。
這種信念可能導致一大堆糟糕的做法,使企業暴露在一系列漏洞之下。Check Point Software Technologies的網絡安全顧問薩迪克·伊克巴爾(Sadiq Iqbal)表示:“統計數據顯示,大多數網絡攻擊都是針對中小企業的,因為他們被視為更容易攻擊的目標,沒有大型組織所具備的安全姿態。”伊克巴爾負責管理大量中小企業客戶。
建議是,不要因為你認為這項業務不在威脅參與者的雷達上而忽視預防措施。“你有一個銀行賬戶,而且你使用互聯網。為小型企業提供網絡安全建議的Pocket CISO的創始人卡洛塔·塞奇表示:“你是一個目標,即使這不是故意的。”
根據Sage的經驗,中小企業希望做正確的事情,但他們需要來自行業和政府的更多支持。與英國和澳大利亞不同,美國缺乏政府監管,需要更多專門的資源。“作為安全從業者和中小企業供應商的安全團隊,我們有責任更好地支持中小企業。我們,作為一個國家和那些為中小企業服務的人,需要加快步伐,”他們說。
2.低估了對中小企業的勒索軟件威脅
OpenText網絡安全和長期威脅分析師格雷森·米爾本表示,中小企業低估了勒索軟件的威脅。他援引OpenText的全球中小企業勒索軟件調查發現,超過三分之二(67%)的受訪者不相信或不確定自己是勒索軟件的目標。
太多的中小企業認為,網絡罪犯是高度技術性和老練的,對較小的企業不感興趣。然而,情況并非如此,近一半(46%)的受訪者報告稱受到了勒索軟件攻擊。
這是一種低成本、相對容易的攻擊工具,可以很容易地部署到針對中小企業的攻擊中。“勒索軟件即服務(RaaS)可以簡單地購買或部署,幾乎沒有技術訣竅,”米爾本告訴記者。因此,中小企業沒有預留足夠的資源,導致它們受到的保護很差。“改變中小企業對勒索軟件的看法,并制定政策和技術,以更好地保護自己,對于避免成為受害者至關重要。”
如果企業真的遭受了攻擊,他們需要尋求專家支持來幫助管理這種情況,特別是考慮到賠付絕不是恢復數據的保證。
關于襲擊的影響,有一些發人深省的統計數據。根據Hiscox網絡準備2023年的報告,美國小企業去年支付了超過1.6萬美元的贖金。Hiscox保險公司技術和網絡業務副總裁兼產品主管克里斯托弗·霍伊諾夫斯基表示:“勒索軟件正在讓小企業付出巨大代價。”霍伊諾夫斯基與美國60多萬家小企業有業務往來。
在支付了贖金的受訪企業中,只有一半最終取回了數據,而一半的企業不得不重建系統。此外,調查發現,令人震驚的27%的人再次受到攻擊,另有27%的人被要求更多的錢。霍伊諾夫斯基說:“我們當然不建議支付贖金。”
3.將網絡安全僅僅視為技術問題
根據Sage的說法,網絡安全不能僅靠技術來解決,在許多方面這是一個人類問題。“技術使攻擊成為可能,技術有助于防止攻擊,技術有助于在攻擊后進行清理,但這種技術需要知識淵博的人才能有效,至少目前是這樣,”他們說。
這也加劇了其他問題,即缺乏預算和沒有專門的網絡安全責任。伊克巴爾說:“這些都是中小企業面臨的重大挑戰,使他們沒有關于合規框架的指導和明確的方向,并且依賴供應商的支持。”
伊克巴爾建議中小企業始終從政府資源中尋找指導方針和最佳做法,至少從建議的基本保護開始。例如,在美國,小企業管理局(SBA)和聯邦通信委員會(Federal Communications Commission)都有信息和資源,英國國家網絡安全中心(National Cyber Security Centre)有指導,全球網絡聯盟(GCA)也有小企業工具包。澳大利亞信號局也有一份針對小企業的指南。
Sage補充說,由于大多數企業都在使用Google Workspace或Microsoft Office 365,各自的知識庫是豐富的信息。在這些平臺之外,尋求當地的指導來源。Sage告訴記者:“還有當地的社區學院、城鎮和縣小企業中心或經濟發展部門,州商務部門也應該能夠將你連接到網絡安全資源。”
4.沒有養成良好的網絡安全習慣
養成良好的網絡安全習慣應該是不費吹灰之力的,盡管它可能會時好時壞。例如,根據Iqbal的說法,允許使用弱密碼太常見了。他還發現,登錄的默認密碼沒有更改,或者安全服務器的所有密碼都更改為一個密碼,并且沒有單獨的管理密碼。“管理員賬戶是黑客尋求妥協的最有利可圖的賬戶威脅。這只需要一個妥協,然后通往王國的鑰匙就會向你所有潛在的威脅參與者敞開。”
備份被廣泛部署,但中小型企業經常忽視備份測試的重要性。如果業務受到攻擊,備份失敗,可能會是災難性的。“你希望能夠恢復和減輕威脅攻擊造成的損害,這意味著要有一個經過檢查的可靠備份,以確保它沒有損壞或沒有任何其他問題,”伊克巴爾說。
擁有足夠的網絡保險也很重要,但Hiscox發現,只有53%的美國小企業擁有包括網絡保險在內的保險單。
而且,他們冒的風險不僅僅是自己業務的成本。Hojnowski說:“沒有足夠網絡覆蓋的小企業可能要為攻擊的結果承擔經濟責任。”網絡保險提供針對新出現的威脅和應對入侵的成本的保護,以及幫助遏制損害的點-人。
5.不把網絡安全放在首位
Rapid7的首席科學家拉杰·薩馬尼表示,當中小企業利用新技術時,對風險的考慮與企業不同,但他們面臨著許多相同的風險。
企業往往擁有更多的風險管理視角,而規模較小的機構往往將效率置于安全之上。Samani已經看到了一些案例,較小的企業獲得了遠程訪問協議等新的數字系統,這可能會使它們容易受到攻擊,因為這是勒索軟件集團用來侵入公司的常見進入媒介。
對于中小企業來說,采用新的數字工具需要不同的方法,但他們沒有奢侈的機會請一家大型咨詢公司來給他們提供建議。薩馬尼說:“需要有一種更簡單的方法來闡明為了他們的安全需要做些什么。”
根據Hojnowski的說法,小企業犯的另一個常見錯誤是沒有實施多因素身份驗證。“這應該是幫助更好地保護您的業務的第一步。”
為了設置正確的優先事項,Hojnowski的建議是從分析當前的網絡安全態勢開始,但不要忽視潛在的漏洞。評估預算是否充足,以及企業可能有哪些特殊需求。“你是在一個被認為是高風險目標的行業中運營,還是在該行業運營,如果出現漏洞,你的需求是什么?”霍伊諾斯基說。
一旦確定了這一基準,就應采取系統的方法來改進防御措施,并采用最佳做法原則,例如:
·所有系統和軟件都需要啟用自動更新,并安裝適當的補丁。
·員工培訓計劃,幫助發現釣魚電子郵件、商業電子郵件泄露、非法資金轉移、如何創建強密碼,以及在需要的時候進行其他教育。
·采用一系列安全工具,包括防火墻、防病毒、終端檢測和響應以及收件箱保護機制。
·將數據備份到云中并維護現場備份,并確保所有數據都經過加密并檢查備份。
·公司的政策和程序旨在防止攻擊,保護數據,并在數據無法訪問的情況下處理事情。
6.預算與不斷增長的風險狀況不匹配
中小企業需要一個與其風險狀況相稱的預算,并考慮他們的需求、重要的業務信息以及他們是否持有敏感的個人數據。霍伊諾夫斯基說:“每家公司都需要評估自己的運營情況,以及他們愿意花多少錢來幫助防止潛在的業務中斷。”
安全成本需要與支持企業運營的營銷、銷售和其他成本并駕齊驅。Sage說:“一家企業知道每個員工為企業運營購買工具和許可證的成本,以及為了獲得或留住客戶而在銷售和營銷上花費了多少。”它需要花費一定比例的金額來確保員工的工作,并保護客戶、潛在客戶及其產品。“它需要根據企業的市場及其復雜性進行計算,”塞奇說。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號