中小型企業(yè)增加了他們的數(shù)字足跡，擁抱遠(yuǎn)程工作，使用更多聯(lián)網(wǎng)設(shè)備，并采用新的工具和技術(shù)。他們現(xiàn)在發(fā)現(xiàn)自己對網(wǎng)絡(luò)犯罪分子更具吸引力，在針對大型企業(yè)的頭條新聞攻擊背后，中小企業(yè)正越來越頻繁地受到攻擊。

確切的數(shù)字可能很難衡量，但根據(jù)DEVELIONS的2023-2024年中小企業(yè)IT安全狀況報告，69%的中小企業(yè)報告在去年至少經(jīng)歷了一次網(wǎng)絡(luò)攻擊，比前一年有所增加。

網(wǎng)絡(luò)安全事件對小企業(yè)的損害尤其嚴(yán)重，因為沒有財政和組織資源來應(yīng)對影響。在某些情況下，這可能會導(dǎo)致它們破產(chǎn)。

然而，根據(jù)迪沃斯的報告，盡管風(fēng)險增加，但只有不到三分之二的公司通過密碼管理器、雙因素身份驗證和網(wǎng)絡(luò)安全培訓(xùn)等措施完全保護(hù)自己的業(yè)務(wù)。為了限制成為受害者的風(fēng)險，專家們分享了他們對中小企業(yè)的建議，幫助他們將壞習(xí)慣轉(zhuǎn)變?yōu)楦玫姆烙胧?/p>

1.認(rèn)為自己太小而不能成為目標(biāo)

中小企業(yè)可能會落入這樣的陷阱，認(rèn)為網(wǎng)絡(luò)犯罪分子只是在追捕大魚，但事實遠(yuǎn)非如此。中小企業(yè)不僅不是太小而不能成為攻擊目標(biāo)，而且這也是它們經(jīng)常受到攻擊的原因。

這種信念可能導(dǎo)致一大堆糟糕的做法，使企業(yè)暴露在一系列漏洞之下。Check Point Software Technologies的網(wǎng)絡(luò)安全顧問薩迪克·伊克巴爾(Sadiq Iqbal)表示：“統(tǒng)計數(shù)據(jù)顯示，大多數(shù)網(wǎng)絡(luò)攻擊都是針對中小企業(yè)的，因為他們被視為更容易攻擊的目標(biāo)，沒有大型組織所具備的安全姿態(tài)?！币量税蜖栘?fù)責(zé)管理大量中小企業(yè)客戶。

建議是，不要因為你認(rèn)為這項業(yè)務(wù)不在威脅參與者的雷達(dá)上而忽視預(yù)防措施。“你有一個銀行賬戶，而且你使用互聯(lián)網(wǎng)。為小型企業(yè)提供網(wǎng)絡(luò)安全建議的Pocket CISO的創(chuàng)始人卡洛塔·塞奇表示：“你是一個目標(biāo)，即使這不是故意的?！?/p>

根據(jù)Sage的經(jīng)驗，中小企業(yè)希望做正確的事情，但他們需要來自行業(yè)和政府的更多支持。與英國和澳大利亞不同，美國缺乏政府監(jiān)管，需要更多專門的資源?！白鳛榘踩珡臉I(yè)者和中小企業(yè)供應(yīng)商的安全團(tuán)隊，我們有責(zé)任更好地支持中小企業(yè)。我們，作為一個國家和那些為中小企業(yè)服務(wù)的人，需要加快步伐，”他們說。

2.低估了對中小企業(yè)的勒索軟件威脅

OpenText網(wǎng)絡(luò)安全和長期威脅分析師格雷森·米爾本表示，中小企業(yè)低估了勒索軟件的威脅。他援引OpenText的全球中小企業(yè)勒索軟件調(diào)查發(fā)現(xiàn)，超過三分之二(67%)的受訪者不相信或不確定自己是勒索軟件的目標(biāo)。

太多的中小企業(yè)認(rèn)為，網(wǎng)絡(luò)罪犯是高度技術(shù)性和老練的，對較小的企業(yè)不感興趣。然而，情況并非如此，近一半(46%)的受訪者報告稱受到了勒索軟件攻擊。

這是一種低成本、相對容易的攻擊工具，可以很容易地部署到針對中小企業(yè)的攻擊中?！袄账鬈浖捶?wù)(RaaS)可以簡單地購買或部署，幾乎沒有技術(shù)訣竅，”米爾本告訴記者。因此，中小企業(yè)沒有預(yù)留足夠的資源，導(dǎo)致它們受到的保護(hù)很差?！案淖冎行∑髽I(yè)對勒索軟件的看法，并制定政策和技術(shù)，以更好地保護(hù)自己，對于避免成為受害者至關(guān)重要?！?/p>

如果企業(yè)真的遭受了攻擊，他們需要尋求專家支持來幫助管理這種情況，特別是考慮到賠付絕不是恢復(fù)數(shù)據(jù)的保證。

關(guān)于襲擊的影響，有一些發(fā)人深省的統(tǒng)計數(shù)據(jù)。根據(jù)Hiscox網(wǎng)絡(luò)準(zhǔn)備2023年的報告，美國小企業(yè)去年支付了超過1.6萬美元的贖金。Hiscox保險公司技術(shù)和網(wǎng)絡(luò)業(yè)務(wù)副總裁兼產(chǎn)品主管克里斯托弗·霍伊諾夫斯基表示：“勒索軟件正在讓小企業(yè)付出巨大代價?！被粢林Z夫斯基與美國60多萬家小企業(yè)有業(yè)務(wù)往來。

在支付了贖金的受訪企業(yè)中，只有一半最終取回了數(shù)據(jù)，而一半的企業(yè)不得不重建系統(tǒng)。此外，調(diào)查發(fā)現(xiàn)，令人震驚的27%的人再次受到攻擊，另有27%的人被要求更多的錢?；粢林Z夫斯基說：“我們當(dāng)然不建議支付贖金。”

3.將網(wǎng)絡(luò)安全僅僅視為技術(shù)問題

根據(jù)Sage的說法，網(wǎng)絡(luò)安全不能僅靠技術(shù)來解決，在許多方面這是一個人類問題?！凹夹g(shù)使攻擊成為可能，技術(shù)有助于防止攻擊，技術(shù)有助于在攻擊后進(jìn)行清理，但這種技術(shù)需要知識淵博的人才能有效，至少目前是這樣，”他們說。

這也加劇了其他問題，即缺乏預(yù)算和沒有專門的網(wǎng)絡(luò)安全責(zé)任。伊克巴爾說：“這些都是中小企業(yè)面臨的重大挑戰(zhàn)，使他們沒有關(guān)于合規(guī)框架的指導(dǎo)和明確的方向，并且依賴供應(yīng)商的支持?！?/p>

伊克巴爾建議中小企業(yè)始終從政府資源中尋找指導(dǎo)方針和最佳做法，至少從建議的基本保護(hù)開始。例如，在美國，小企業(yè)管理局(SBA)和聯(lián)邦通信委員會(Federal Communications Commission)都有信息和資源，英國國家網(wǎng)絡(luò)安全中心(National Cyber Security Centre)有指導(dǎo)，全球網(wǎng)絡(luò)聯(lián)盟(GCA)也有小企業(yè)工具包。澳大利亞信號局也有一份針對小企業(yè)的指南。

Sage補(bǔ)充說，由于大多數(shù)企業(yè)都在使用Google Workspace或Microsoft Office 365，各自的知識庫是豐富的信息。在這些平臺之外，尋求當(dāng)?shù)氐闹笇?dǎo)來源。Sage告訴記者：“還有當(dāng)?shù)氐纳鐓^(qū)學(xué)院、城鎮(zhèn)和縣小企業(yè)中心或經(jīng)濟(jì)發(fā)展部門，州商務(wù)部門也應(yīng)該能夠?qū)⒛氵B接到網(wǎng)絡(luò)安全資源。”

4.沒有養(yǎng)成良好的網(wǎng)絡(luò)安全習(xí)慣

養(yǎng)成良好的網(wǎng)絡(luò)安全習(xí)慣應(yīng)該是不費(fèi)吹灰之力的，盡管它可能會時好時壞。例如，根據(jù)Iqbal的說法，允許使用弱密碼太常見了。他還發(fā)現(xiàn)，登錄的默認(rèn)密碼沒有更改，或者安全服務(wù)器的所有密碼都更改為一個密碼，并且沒有單獨(dú)的管理密碼?！肮芾韱T賬戶是黑客尋求妥協(xié)的最有利可圖的賬戶威脅。這只需要一個妥協(xié)，然后通往王國的鑰匙就會向你所有潛在的威脅參與者敞開?！?/p>

備份被廣泛部署，但中小型企業(yè)經(jīng)常忽視備份測試的重要性。如果業(yè)務(wù)受到攻擊，備份失敗，可能會是災(zāi)難性的?！澳阆Ｍ軌蚧謴?fù)和減輕威脅攻擊造成的損害，這意味著要有一個經(jīng)過檢查的可靠備份，以確保它沒有損壞或沒有任何其他問題，”伊克巴爾說。

擁有足夠的網(wǎng)絡(luò)保險也很重要，但Hiscox發(fā)現(xiàn)，只有53%的美國小企業(yè)擁有包括網(wǎng)絡(luò)保險在內(nèi)的保險單。

而且，他們冒的風(fēng)險不僅僅是自己業(yè)務(wù)的成本。Hojnowski說：“沒有足夠網(wǎng)絡(luò)覆蓋的小企業(yè)可能要為攻擊的結(jié)果承擔(dān)經(jīng)濟(jì)責(zé)任?！本W(wǎng)絡(luò)保險提供針對新出現(xiàn)的威脅和應(yīng)對入侵的成本的保護(hù)，以及幫助遏制損害的點(diǎn)-人。

5.不把網(wǎng)絡(luò)安全放在首位

Rapid7的首席科學(xué)家拉杰·薩馬尼表示，當(dāng)中小企業(yè)利用新技術(shù)時，對風(fēng)險的考慮與企業(yè)不同，但他們面臨著許多相同的風(fēng)險。

企業(yè)往往擁有更多的風(fēng)險管理視角，而規(guī)模較小的機(jī)構(gòu)往往將效率置于安全之上。Samani已經(jīng)看到了一些案例，較小的企業(yè)獲得了遠(yuǎn)程訪問協(xié)議等新的數(shù)字系統(tǒng)，這可能會使它們?nèi)菀资艿焦?，因為這是勒索軟件集團(tuán)用來侵入公司的常見進(jìn)入媒介。

對于中小企業(yè)來說，采用新的數(shù)字工具需要不同的方法，但他們沒有奢侈的機(jī)會請一家大型咨詢公司來給他們提供建議。薩馬尼說：“需要有一種更簡單的方法來闡明為了他們的安全需要做些什么。”

根據(jù)Hojnowski的說法，小企業(yè)犯的另一個常見錯誤是沒有實施多因素身份驗證?！斑@應(yīng)該是幫助更好地保護(hù)您的業(yè)務(wù)的第一步?！?/p>

為了設(shè)置正確的優(yōu)先事項，Hojnowski的建議是從分析當(dāng)前的網(wǎng)絡(luò)安全態(tài)勢開始，但不要忽視潛在的漏洞。評估預(yù)算是否充足，以及企業(yè)可能有哪些特殊需求。“你是在一個被認(rèn)為是高風(fēng)險目標(biāo)的行業(yè)中運(yùn)營，還是在該行業(yè)運(yùn)營，如果出現(xiàn)漏洞，你的需求是什么?”霍伊諾斯基說。

一旦確定了這一基準(zhǔn)，就應(yīng)采取系統(tǒng)的方法來改進(jìn)防御措施，并采用最佳做法原則，例如：

• 所有系統(tǒng)和軟件都需要啟用自動更新，并安裝適當(dāng)?shù)难a(bǔ)丁。
• 員工培訓(xùn)計劃，幫助發(fā)現(xiàn)釣魚電子郵件、商業(yè)電子郵件泄露、非法資金轉(zhuǎn)移、如何創(chuàng)建強(qiáng)密碼，以及在需要的時候進(jìn)行其他教育。
• 采用一系列安全工具，包括防火墻、防病毒、終端檢測和響應(yīng)以及收件箱保護(hù)機(jī)制。
• 將數(shù)據(jù)備份到云中并維護(hù)現(xiàn)場備份，并確保所有數(shù)據(jù)都經(jīng)過加密并檢查備份。
• 公司的政策和程序旨在防止攻擊，保護(hù)數(shù)據(jù)，并在數(shù)據(jù)無法訪問的情況下處理事情。

6.預(yù)算與不斷增長的風(fēng)險狀況不匹配

中小企業(yè)需要一個與其風(fēng)險狀況相稱的預(yù)算，并考慮他們的需求、重要的業(yè)務(wù)信息以及他們是否持有敏感的個人數(shù)據(jù)?；粢林Z夫斯基說：“每家公司都需要評估自己的運(yùn)營情況，以及他們愿意花多少錢來幫助防止?jié)撛诘臉I(yè)務(wù)中斷?！?/p>

安全成本需要與支持企業(yè)運(yùn)營的營銷、銷售和其他成本并駕齊驅(qū)。Sage說：“一家企業(yè)知道每個員工為企業(yè)運(yùn)營購買工具和許可證的成本，以及為了獲得或留住客戶而在銷售和營銷上花費(fèi)了多少?！彼枰ㄙM(fèi)一定比例的金額來確保員工的工作，并保護(hù)客戶、潛在客戶及其產(chǎn)品。“它需要根據(jù)企業(yè)的市場及其復(fù)雜性進(jìn)行計算，”塞奇說。