專家警告稱，由于網(wǎng)絡(luò)犯罪分子針對(duì)中小企業(yè)的攻擊手段日益成熟，管理者們將不得不在象征性保護(hù)措施之外再做出進(jìn)一步努力，否則其知識(shí)產(chǎn)權(quán)、客戶及資金流都可能受到嚴(yán)重威脅。而做出階段性努力的首要條件，就是勇于承認(rèn)自己每年花在殺毒軟件方面的那點(diǎn)資金根本不足以應(yīng)對(duì)攻擊活動(dòng)。

“幾乎沒有幾家中小企業(yè)能實(shí)事求是地承認(rèn)自己在安全事務(wù)方面投入了除象征性努力之外更為深入的關(guān)注，”安全咨詢企業(yè)Cobweb Applications公司創(chuàng)始人兼管理負(fù)責(zé)人Michael Cobb表示。

根據(jù)卡巴斯基實(shí)驗(yàn)室的最近調(diào)查數(shù)據(jù)顯示，中小企業(yè)每年花在安全事務(wù)上的費(fèi)用平均為1萬美元，均攤在每位員工身上的支出為36美元。調(diào)查報(bào)告指出，殺病毒軟件是大多數(shù)企業(yè)的首選安全解決方案，67%的受訪者將其作為優(yōu)先考量對(duì)象。相比之下以數(shù)據(jù)加密技術(shù)為例的其它實(shí)用性保護(hù)方案則人氣較低，僅受到40%受訪企業(yè)管理者的重視。

有趣的是，Assero Security網(wǎng)站的Doug Landoll認(rèn)為中小型企業(yè)將殺毒軟件作為安全核心完全是意料當(dāng)中的情況。他的公司專門為中小企業(yè)提供風(fēng)險(xiǎn)評(píng)估服務(wù)，幫助他們以符合大型B2B客戶要求的方式擁有透明化安全控制機(jī)制，進(jìn)而保障雙方業(yè)務(wù)的順利進(jìn)行。而這些中小企業(yè)們則一次又一次驚奇地發(fā)現(xiàn)，評(píng)估流程除了殺毒軟件及其它終端保護(hù)手段之外提出了更多更高的安全標(biāo)準(zhǔn)。

“大多數(shù)中小企業(yè)的安全觀念還停留在對(duì)終端安全的保護(hù)層面，”他指出。“還只是問卷中三十道問題中的很小一部分。他們常常驚訝地表示‘網(wǎng)絡(luò)分割是什么東西？這對(duì)政策有什么影響？’從評(píng)估開始，他們才真正意識(shí)到安全事務(wù)比自己的想象更復(fù)雜也更寬泛。”

由于中小企業(yè)對(duì)于殺毒技術(shù)的過分依賴，潛在風(fēng)險(xiǎn)也就成了他們無法回避的難題。盡管在安全行業(yè)內(nèi)部人士當(dāng)中這早已經(jīng)不是什么秘密，但很多中小企業(yè)決策者卻剛剛聽說或接觸到這一殘酷的現(xiàn)實(shí)：殺毒技術(shù)只能應(yīng)對(duì)每天不斷增長(zhǎng)的惡意威脅中的很小一部分。根據(jù)Imperva公司最近在《紐約時(shí)報(bào)》上發(fā)布的一篇報(bào)道，他們嘗試將82種新生計(jì)算機(jī)病毒引入40款殺毒產(chǎn)品的保護(hù)環(huán)境當(dāng)中，可悲的是這些保護(hù)技術(shù)最終僅測(cè)試出了不到5%的惡意軟件威脅。

“一味拒絕額外終端安全解決方案帶來的開支完全是種決策失誤——從客觀角度看，由安全風(fēng)險(xiǎn)引發(fā)的損失占總體支出的68%；而忽視這一切意味著主動(dòng)放棄了降低這部分損失的機(jī)會(huì)，”McAfee實(shí)驗(yàn)室產(chǎn)品管理部門高級(jí)副總裁Rees Johnson引用Aberdeen集團(tuán)分析師數(shù)據(jù)并解釋道。“在終端安全領(lǐng)域，我們需要采取更加全面的方案才能達(dá)到對(duì)企業(yè)平臺(tái)、網(wǎng)絡(luò)、應(yīng)用及數(shù)據(jù)的理想保護(hù)效果。”

但很多中小企業(yè)決策者還沒有意識(shí)到承擔(dān)這部分風(fēng)險(xiǎn)空間對(duì)公司意味著什么。這不僅會(huì)讓攻擊者有機(jī)可乘、通過竊取到的數(shù)據(jù)組織銀行詐騙（很多人仍然誤以為這類事故完全源自惡意軟件），更可能導(dǎo)致有價(jià)值的客戶數(shù)據(jù)、知識(shí)產(chǎn)權(quán)大量外泄，甚至讓自身淪為網(wǎng)絡(luò)犯罪活動(dòng)的跳板、最終將那些規(guī)模更大的企業(yè)合作伙伴一同拖進(jìn)深淵。

“隨著機(jī)構(gòu)之間連通性的日益提升，業(yè)務(wù)合作伙伴之間的交互往往會(huì)讓一方的安全問題變成大家的安全問題?？梢哉f這正是整個(gè)產(chǎn)業(yè)鏈中的安全薄弱環(huán)節(jié)，”Interphase Systems公司CEO John Biglin指出。他同時(shí)警告稱，此類弱點(diǎn)甚至有可能將中小企業(yè)推向破產(chǎn)的懸崖。“我們看到很多客戶順利通過了合作方的安全審計(jì)流程，也看到不少企業(yè)由于控制機(jī)制薄弱而與大筆交易失之交臂。”

為了確保中小企業(yè)不再讓安全威脅從殺毒軟件的身邊溜掉，管理者自然需要為安保體系添加新的助力。

“即使企業(yè)的規(guī)模還不是很大，制定理想的IT安全政策仍然非常重要：數(shù)據(jù)丟失預(yù)防、密碼復(fù)雜性監(jiān)控、信息加密、移動(dòng)設(shè)備使用等等都是必須考慮的內(nèi)容，”Security Compass公司咨詢師Yuk Fai Chan建議道。“首先根據(jù)以上事務(wù)制訂政策，然后想辦法將其變成現(xiàn)實(shí)。”

根據(jù)Cobb的說明，即使最低限制的安全防護(hù)理念也要求企業(yè)在殺毒軟件之外將網(wǎng)絡(luò)防火墻配置及更新、安全配置工具、系統(tǒng)修復(fù)及漏洞控制等內(nèi)容添加到政策當(dāng)中，更不用說效果顯著的加密技術(shù)、自動(dòng)備份與恢復(fù)工具等等。

此外，中小企業(yè)也絕不能忘記一點(diǎn)：外部惡意活動(dòng)并不是安全威脅的惟一內(nèi)容。

“內(nèi)部威脅同樣時(shí)有發(fā)生，這類事故可能源自任何有權(quán)訪問辦公場(chǎng)所及企業(yè)內(nèi)部網(wǎng)絡(luò)的家伙——客戶、分包商甚至是心懷不滿的員工，”Chan指出。“因此，我們同樣需要在內(nèi)部網(wǎng)絡(luò)中組織起正確的訪問控制機(jī)制，并從內(nèi)部角度出發(fā)定期對(duì)IT基礎(chǔ)設(shè)施進(jìn)行評(píng)估。”

事實(shí)上，評(píng)估應(yīng)該是這場(chǎng)安全軍備競(jìng)賽中中小企業(yè)明確發(fā)展方向的最好方式。

“通過定期漏洞掃描及主要產(chǎn)品升級(jí)后的滲透測(cè)試了解自身弱點(diǎn)，”Alert Logic公司的John Whiteside建議道，“攻擊者們一直在尋找可資利用的目標(biāo)——缺乏補(bǔ)丁更新的服務(wù)器或者暴露在外部環(huán)境下的服務(wù)——這是一場(chǎng)速度的比拼，只要我們搶先修正問題就能夠獲勝。”

由于很少有中小企業(yè)擁有完備的內(nèi)部評(píng)估資源，管理者要做的是從外界需求幫助。

“幸運(yùn)的是，許多IT安全流程本身就采取外包機(jī)制：比起由專業(yè)公司委派專門的安全團(tuán)隊(duì)及設(shè)備，外包型方案的成本顯然更低，”Cobb在一篇名為《每家小型企業(yè)都必須擁有的六大安全服務(wù)》的文章中中寫道。這篇文章提供了許多極具價(jià)值的安全指導(dǎo)信息，能夠幫助中小企業(yè)順利找到適合自己的安全服務(wù)供應(yīng)商。“外包安全產(chǎn)品能夠在帶來安全保障的同時(shí)，以潛在方式降低資本流失與運(yùn)營(yíng)支出。”

原文地址：http://www.darkreading.com/smb-security/167901073/security/vulnerabilities/240146877/what-antivirus-shortcomings-mean-for-smbs.html.html