隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入推進(jìn)，網(wǎng)絡(luò)安全建設(shè)已經(jīng)受到越來(lái)越多的關(guān)注和重視，然而，調(diào)查數(shù)據(jù)顯示，有很多中小型企業(yè)組織存在一種虛假的安全感——“我們還太小，不值得被攻擊”。但事實(shí)上，網(wǎng)絡(luò)攻擊和數(shù)據(jù)竊取并不會(huì)只針對(duì)大型知名企業(yè)，只要組織開(kāi)展了數(shù)字化業(yè)務(wù)并產(chǎn)生有價(jià)值的數(shù)據(jù)，就有可能成為不法分子的攻擊目標(biāo)。

某種意義上說(shuō)，中小型企業(yè)更容易因?yàn)榫W(wǎng)絡(luò)攻擊而受到損害，因?yàn)橄鄬?duì)于大型企業(yè)，中小企業(yè)往往沒(méi)有足夠的網(wǎng)絡(luò)安全防御措施、產(chǎn)品和專業(yè)技術(shù)人員，即使認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性，也可能沒(méi)有充足的預(yù)算來(lái)實(shí)施。據(jù)服務(wù)機(jī)構(gòu)Arctic Wolf的一項(xiàng)調(diào)查顯示，77.6%的受訪中小企業(yè)缺乏有效應(yīng)對(duì)網(wǎng)絡(luò)攻擊的計(jì)劃和能力。調(diào)查還發(fā)現(xiàn)，因無(wú)法支付勒索攻擊贖金而陷入經(jīng)營(yíng)困境的中小企業(yè)數(shù)量也在快速增長(zhǎng)。

盡管面臨挑戰(zhàn)，但為了最大程度地降低網(wǎng)絡(luò)安全損害，中小企業(yè)應(yīng)該更加積極地去應(yīng)對(duì)威脅，充分利用一些簡(jiǎn)單的方法加強(qiáng)防范。日前，福布斯技術(shù)委員會(huì)(福布斯委員會(huì)直屬分支機(jī)構(gòu)，僅面向全球知名企業(yè)CIO、CTO和技術(shù)高管邀請(qǐng)開(kāi)放)的16位專家委員，分享了他們對(duì)中小企業(yè)改善安全狀況的建議。

1. 首先對(duì)企業(yè)網(wǎng)絡(luò)邊界進(jìn)行保護(hù)

防火墻是目前最成熟的網(wǎng)絡(luò)安全產(chǎn)品，也是中小型企業(yè)增強(qiáng)網(wǎng)絡(luò)安全的最簡(jiǎn)單方式之一。同時(shí)，中小企業(yè)還可以采用針對(duì)拒絕服務(wù)式攻擊的保護(hù)措施來(lái)確?；ヂ?lián)網(wǎng)的邊界安全，因?yàn)榛ヂ?lián)網(wǎng)邊界是所有基礎(chǔ)設(shè)施中最容易暴露和受到攻擊環(huán)節(jié)。

2. 盡快部署多因素身份認(rèn)證

無(wú)論企業(yè)規(guī)模大小，在訪問(wèn)辦公環(huán)境中的所有計(jì)算機(jī)、服務(wù)器、基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用軟件時(shí)，采用多因素身份驗(yàn)證技術(shù)已被證明是防止黑客入侵的最有效方式之一。據(jù)微軟一項(xiàng)調(diào)查數(shù)據(jù)顯示，企業(yè)組織通過(guò)多因素認(rèn)證可以阻止99%的暴力破解攻擊。只要有一個(gè)認(rèn)證因素驗(yàn)證失敗，那么用戶訪問(wèn)行為將被拒絕。而且，多因素身份認(rèn)證技術(shù)的使用非常簡(jiǎn)單，非常適合中小型企業(yè)用戶。

3. 從員工個(gè)人的安全防護(hù)做起

今天的黑客通常攻擊企業(yè)網(wǎng)絡(luò)防御中最薄弱的環(huán)節(jié)，比如企業(yè)員工的個(gè)人終端及賬號(hào)信息等，這樣可以繞過(guò)企業(yè)的安全機(jī)制，橫向滲透到企業(yè)目標(biāo)主機(jī)。為了降低安全風(fēng)險(xiǎn)，小型企業(yè)需要像保護(hù)企業(yè)的重要數(shù)字資產(chǎn)一樣，保護(hù)好企業(yè)成員特別是高層管理者的個(gè)人終端設(shè)備、賬號(hào)、電子郵件等。

4. 重視網(wǎng)絡(luò)安全意識(shí)培訓(xùn)

隨著云、移動(dòng)辦公的普及應(yīng)用，加強(qiáng)員工的安全意識(shí)培訓(xùn)的需求越發(fā)迫切，包括：如何識(shí)別釣魚郵件、增加密碼的復(fù)雜度、對(duì)企業(yè)數(shù)據(jù)資產(chǎn)和隱私的保護(hù)。雖然這對(duì)技術(shù)人員來(lái)說(shuō)顯而易見(jiàn)，但是對(duì)于安全意識(shí)不強(qiáng)的員工而言尤為重要，定期對(duì)所有員工進(jìn)行安全意識(shí)培訓(xùn)可以保護(hù)企業(yè)的網(wǎng)絡(luò)安全。

5. 購(gòu)買威脅情報(bào)服務(wù)

中小企業(yè)需要不斷提升安全風(fēng)險(xiǎn)意識(shí)，盡可能了解目前IT系統(tǒng)可能存在的問(wèn)題。建議企業(yè)可以采購(gòu)第三方威脅情報(bào)機(jī)構(gòu)的服務(wù)，對(duì)與公司業(yè)務(wù)特性相關(guān)的威脅、漏洞進(jìn)行掃描及挖掘，站在“黑客”的角度洞悉不法分子的攻擊動(dòng)機(jī)與活動(dòng)路徑。這有助于企業(yè)提前了解自身所面臨的風(fēng)險(xiǎn)，正視安全防護(hù)的缺失，防患于未然。

6. 優(yōu)先采購(gòu)自帶安全能力的電子設(shè)備

在遠(yuǎn)程辦公模式下，員工個(gè)人電腦、筆記本等設(shè)備在企業(yè)數(shù)字化業(yè)務(wù)中的使用更加普及，但是通常情況下，個(gè)人用戶在購(gòu)買電子產(chǎn)品時(shí)，并不會(huì)將安全及可靠性作為首要考慮因素。為了更好保障企業(yè)業(yè)務(wù)系統(tǒng)的安全性，企業(yè)應(yīng)該向員工提供內(nèi)置安全模塊和防護(hù)機(jī)制的電腦設(shè)備，例如具有遠(yuǎn)程恢復(fù)功能和自我安全修復(fù)的設(shè)備，這樣當(dāng)個(gè)人電腦受到攻擊時(shí)可以快速響應(yīng)。

7. 添加云訪問(wèn)安全代理(CASB)

隨著企業(yè)業(yè)務(wù)系統(tǒng)的遷移上云和遠(yuǎn)程辦公的普及，企業(yè)可以通過(guò)實(shí)施云訪問(wèn)安全代理(CASB)或類似的控制措施，來(lái)限制人員對(duì)云端信息的訪問(wèn)，從而保護(hù)企業(yè)敏感資產(chǎn)。

8. 不要在社交媒體分享企業(yè)的隱私數(shù)據(jù)

對(duì)于中小企業(yè)而言，所取得的每一點(diǎn)進(jìn)步和成長(zhǎng)都可能是引人關(guān)注的，但過(guò)多地在社交媒體透露企業(yè)所在領(lǐng)域、網(wǎng)絡(luò)信息、客戶情況等，會(huì)使自身(甚至客戶)遭受網(wǎng)絡(luò)攻擊。黑客可以通過(guò)網(wǎng)址掃描漏洞并獲得管理員權(quán)限，而透漏客戶名稱也會(huì)讓黑客借助您的企業(yè)名義對(duì)客戶進(jìn)行釣魚郵件攻擊。

9. 對(duì)重要的數(shù)據(jù)進(jìn)行加密

中小企業(yè)應(yīng)該充分利用密碼技術(shù)，對(duì)重要的業(yè)務(wù)數(shù)據(jù)采用端到端加密方式，比如企業(yè)的客戶信息數(shù)據(jù)。中小企業(yè)在設(shè)計(jì)業(yè)務(wù)流程時(shí)應(yīng)考慮到客戶信息資產(chǎn)的保護(hù)，把保護(hù)客戶信息時(shí)刻放在首位，從而獲得客戶的信任，建立用戶忠誠(chéng)度。

10. 使用MITRE ATT&CK框架

通過(guò)MITRE ATT&CK框架中的防護(hù)知識(shí)和威脅數(shù)據(jù)，企業(yè)的信息安全負(fù)責(zé)人既可以很好的了解攻擊者的戰(zhàn)術(shù)、技術(shù)和攻擊手段，同時(shí)能夠結(jié)合企業(yè)自身所面臨的威脅，預(yù)測(cè)不法分子可能對(duì)企業(yè)實(shí)施怎樣的攻擊。

11. 部署使用單點(diǎn)登陸

單點(diǎn)登陸是一種身份驗(yàn)證方法，用戶能夠使用一次登陸獲取一組憑據(jù)訪問(wèn)多個(gè)應(yīng)用程序，這不僅可以更輕松地授予、審核和撤銷個(gè)人用戶訪問(wèn)企業(yè)資源的權(quán)限，而且還可以降低密碼竊取和其它安全漏洞的風(fēng)險(xiǎn)。

12. 定期開(kāi)展漏洞掃描

對(duì)中小企業(yè)用戶，制定并定期執(zhí)行漏洞掃描計(jì)劃將會(huì)取得不錯(cuò)的防護(hù)效果。網(wǎng)絡(luò)上有許多漏洞管理專業(yè)服務(wù)商提供免費(fèi)的解決方案，推薦使用OWASP的工具列表。隨著中小企業(yè)業(yè)務(wù)不斷增長(zhǎng)和變化，建議每月定期進(jìn)行漏洞掃描來(lái)發(fā)現(xiàn)新的安全漏洞，并及時(shí)修補(bǔ)。

13. 實(shí)施第三方IT審計(jì)

通過(guò)第三方IT審計(jì)服務(wù)，可以幫助中小企業(yè)核查是否曾遭受過(guò)網(wǎng)絡(luò)攻擊，是否存在未知的風(fēng)險(xiǎn)隱患。在企業(yè)進(jìn)行重大戰(zhàn)略決策前，有效的外部審核，能夠幫助企業(yè)更清晰了解被忽視的網(wǎng)絡(luò)安全問(wèn)題，審計(jì)結(jié)果更有利于幫助企業(yè)保護(hù)IT資產(chǎn)和進(jìn)行決策。

14. 購(gòu)買網(wǎng)絡(luò)安全保險(xiǎn)

由于專業(yè)防護(hù)能力缺失，小型企業(yè)應(yīng)該需要考慮購(gòu)買網(wǎng)絡(luò)安全保險(xiǎn)降低可能發(fā)生的安全事件損失。通過(guò)合適的網(wǎng)絡(luò)安全保單，可以補(bǔ)償中小企業(yè)可能面對(duì)的安全損失、勒索軟件贖金支付、風(fēng)險(xiǎn)評(píng)估費(fèi)用、監(jiān)管部門罰金和法律訴訟費(fèi)用，甚至包括網(wǎng)絡(luò)入侵后購(gòu)買保護(hù)措施產(chǎn)生的費(fèi)用。

15. 及時(shí)了解網(wǎng)絡(luò)安全動(dòng)態(tài)

中小企業(yè)為增強(qiáng)網(wǎng)絡(luò)安全能力，需要了解最新的網(wǎng)絡(luò)攻擊方法和網(wǎng)絡(luò)安全新聞，密切關(guān)注漏洞信息和安全防護(hù)方案。魔高一尺，道高一丈，如果企業(yè)不了解最新的攻擊方式，就可能將業(yè)務(wù)和客戶數(shù)據(jù)置于新的危險(xiǎn)之中。

16. 建立動(dòng)態(tài)改進(jìn)的流程

網(wǎng)絡(luò)安全不能僅靠單獨(dú)安全產(chǎn)品的羅列，而是需要一套完整的體系架構(gòu)和流程，并將安全防護(hù)措施融入到每一個(gè)工作流程、每一個(gè)建設(shè)階段和每一次決策中，形成企業(yè)的網(wǎng)絡(luò)安全程序手冊(cè)。安全建設(shè)需要不斷地動(dòng)態(tài)改進(jìn)，才能取得更好的成效。

參考鏈接https://www.forbes.com/sites/forbestechcouncil/2022/05/17/16-effective-ways-a-small-business-can-enhance-its-cybersecurity-profile/?sh=66714fb35191