中小型企業(yè)增加了他們的數(shù)字足跡，擁抱遠程工作，使用更多聯(lián)網(wǎng)設備，并采用新的工具和技術。他們現(xiàn)在發(fā)現(xiàn)自己對網(wǎng)絡犯罪分子更具吸引力，在針對大型企業(yè)的頭條新聞攻擊背后，中小企業(yè)正越來越頻繁地受到攻擊。

確切的數(shù)字可能很難衡量，但根據(jù)DEVELIONS的2023-2024年中小企業(yè)IT安全狀況報告，69%的中小企業(yè)報告在去年至少經(jīng)歷了一次網(wǎng)絡攻擊，比前一年有所增加。

網(wǎng)絡安全事件對小企業(yè)的損害尤其嚴重，因為沒有財政和組織資源來應對影響。在某些情況下，這可能會導致它們破產(chǎn)。

然而，根據(jù)迪沃斯的報告，盡管風險增加，但只有不到三分之二的公司通過密碼管理器、雙因素身份驗證和網(wǎng)絡安全培訓等措施完全保護自己的業(yè)務。為了限制成為受害者的風險，專家們分享了他們對中小企業(yè)的建議，幫助他們將壞習慣轉(zhuǎn)變?yōu)楦玫姆烙胧?/p>

1.認為自己太小而不能成為目標

中小企業(yè)可能會落入這樣的陷阱，認為網(wǎng)絡犯罪分子只是在追捕大魚，但事實遠非如此。中小企業(yè)不僅不是太小而不能成為攻擊目標，而且這也是它們經(jīng)常受到攻擊的原因。

這種信念可能導致一大堆糟糕的做法，使企業(yè)暴露在一系列漏洞之下。Check Point Software Technologies的網(wǎng)絡安全顧問薩迪克·伊克巴爾(Sadiq Iqbal)表示：“統(tǒng)計數(shù)據(jù)顯示，大多數(shù)網(wǎng)絡攻擊都是針對中小企業(yè)的，因為他們被視為更容易攻擊的目標，沒有大型組織所具備的安全姿態(tài)。”伊克巴爾負責管理大量中小企業(yè)客戶。

建議是，不要因為你認為這項業(yè)務不在威脅參與者的雷達上而忽視預防措施。“你有一個銀行賬戶，而且你使用互聯(lián)網(wǎng)。為小型企業(yè)提供網(wǎng)絡安全建議的Pocket CISO的創(chuàng)始人卡洛塔·塞奇表示：“你是一個目標，即使這不是故意的。”

根據(jù)Sage的經(jīng)驗，中小企業(yè)希望做正確的事情，但他們需要來自行業(yè)和政府的更多支持。與英國和澳大利亞不同，美國缺乏政府監(jiān)管，需要更多專門的資源。“作為安全從業(yè)者和中小企業(yè)供應商的安全團隊，我們有責任更好地支持中小企業(yè)。我們，作為一個國家和那些為中小企業(yè)服務的人，需要加快步伐，”他們說。

2.低估了對中小企業(yè)的勒索軟件威脅

OpenText網(wǎng)絡安全和長期威脅分析師格雷森·米爾本表示，中小企業(yè)低估了勒索軟件的威脅。他援引OpenText的全球中小企業(yè)勒索軟件調(diào)查發(fā)現(xiàn)，超過三分之二(67%)的受訪者不相信或不確定自己是勒索軟件的目標。

太多的中小企業(yè)認為，網(wǎng)絡罪犯是高度技術性和老練的，對較小的企業(yè)不感興趣。然而，情況并非如此，近一半(46%)的受訪者報告稱受到了勒索軟件攻擊。

這是一種低成本、相對容易的攻擊工具，可以很容易地部署到針對中小企業(yè)的攻擊中。“勒索軟件即服務(RaaS)可以簡單地購買或部署，幾乎沒有技術訣竅，”米爾本告訴記者。因此，中小企業(yè)沒有預留足夠的資源，導致它們受到的保護很差。“改變中小企業(yè)對勒索軟件的看法，并制定政策和技術，以更好地保護自己，對于避免成為受害者至關重要。”

如果企業(yè)真的遭受了攻擊，他們需要尋求專家支持來幫助管理這種情況，特別是考慮到賠付絕不是恢復數(shù)據(jù)的保證。

關于襲擊的影響，有一些發(fā)人深省的統(tǒng)計數(shù)據(jù)。根據(jù)Hiscox網(wǎng)絡準備2023年的報告，美國小企業(yè)去年支付了超過1.6萬美元的贖金。Hiscox保險公司技術和網(wǎng)絡業(yè)務副總裁兼產(chǎn)品主管克里斯托弗·霍伊諾夫斯基表示：“勒索軟件正在讓小企業(yè)付出巨大代價。”霍伊諾夫斯基與美國60多萬家小企業(yè)有業(yè)務往來。

在支付了贖金的受訪企業(yè)中，只有一半最終取回了數(shù)據(jù)，而一半的企業(yè)不得不重建系統(tǒng)。此外，調(diào)查發(fā)現(xiàn)，令人震驚的27%的人再次受到攻擊，另有27%的人被要求更多的錢。霍伊諾夫斯基說：“我們當然不建議支付贖金。”

3.將網(wǎng)絡安全僅僅視為技術問題

根據(jù)Sage的說法，網(wǎng)絡安全不能僅靠技術來解決，在許多方面這是一個人類問題。“技術使攻擊成為可能，技術有助于防止攻擊，技術有助于在攻擊后進行清理，但這種技術需要知識淵博的人才能有效，至少目前是這樣，”他們說。

這也加劇了其他問題，即缺乏預算和沒有專門的網(wǎng)絡安全責任。伊克巴爾說：“這些都是中小企業(yè)面臨的重大挑戰(zhàn)，使他們沒有關于合規(guī)框架的指導和明確的方向，并且依賴供應商的支持。”

伊克巴爾建議中小企業(yè)始終從政府資源中尋找指導方針和最佳做法，至少從建議的基本保護開始。例如，在美國，小企業(yè)管理局(SBA)和聯(lián)邦通信委員會(Federal Communications Commission)都有信息和資源，英國國家網(wǎng)絡安全中心(National Cyber Security Centre)有指導，全球網(wǎng)絡聯(lián)盟(GCA)也有小企業(yè)工具包。澳大利亞信號局也有一份針對小企業(yè)的指南。

Sage補充說，由于大多數(shù)企業(yè)都在使用Google Workspace或Microsoft Office 365，各自的知識庫是豐富的信息。在這些平臺之外，尋求當?shù)氐闹笇碓?。Sage告訴記者：“還有當?shù)氐纳鐓^(qū)學院、城鎮(zhèn)和縣小企業(yè)中心或經(jīng)濟發(fā)展部門，州商務部門也應該能夠?qū)⒛氵B接到網(wǎng)絡安全資源。”

4.沒有養(yǎng)成良好的網(wǎng)絡安全習慣

養(yǎng)成良好的網(wǎng)絡安全習慣應該是不費吹灰之力的，盡管它可能會時好時壞。例如，根據(jù)Iqbal的說法，允許使用弱密碼太常見了。他還發(fā)現(xiàn)，登錄的默認密碼沒有更改，或者安全服務器的所有密碼都更改為一個密碼，并且沒有單獨的管理密碼。“管理員賬戶是黑客尋求妥協(xié)的最有利可圖的賬戶威脅。這只需要一個妥協(xié)，然后通往王國的鑰匙就會向你所有潛在的威脅參與者敞開。”

備份被廣泛部署，但中小型企業(yè)經(jīng)常忽視備份測試的重要性。如果業(yè)務受到攻擊，備份失敗，可能會是災難性的。“你希望能夠恢復和減輕威脅攻擊造成的損害，這意味著要有一個經(jīng)過檢查的可靠備份，以確保它沒有損壞或沒有任何其他問題，”伊克巴爾說。

擁有足夠的網(wǎng)絡保險也很重要，但Hiscox發(fā)現(xiàn)，只有53%的美國小企業(yè)擁有包括網(wǎng)絡保險在內(nèi)的保險單。

而且，他們冒的風險不僅僅是自己業(yè)務的成本。Hojnowski說：“沒有足夠網(wǎng)絡覆蓋的小企業(yè)可能要為攻擊的結果承擔經(jīng)濟責任。”網(wǎng)絡保險提供針對新出現(xiàn)的威脅和應對入侵的成本的保護，以及幫助遏制損害的點-人。

5.不把網(wǎng)絡安全放在首位

Rapid7的首席科學家拉杰·薩馬尼表示，當中小企業(yè)利用新技術時，對風險的考慮與企業(yè)不同，但他們面臨著許多相同的風險。

企業(yè)往往擁有更多的風險管理視角，而規(guī)模較小的機構往往將效率置于安全之上。Samani已經(jīng)看到了一些案例，較小的企業(yè)獲得了遠程訪問協(xié)議等新的數(shù)字系統(tǒng)，這可能會使它們?nèi)菀资艿焦?，因為這是勒索軟件集團用來侵入公司的常見進入媒介。

對于中小企業(yè)來說，采用新的數(shù)字工具需要不同的方法，但他們沒有奢侈的機會請一家大型咨詢公司來給他們提供建議。薩馬尼說：“需要有一種更簡單的方法來闡明為了他們的安全需要做些什么。”

根據(jù)Hojnowski的說法，小企業(yè)犯的另一個常見錯誤是沒有實施多因素身份驗證。“這應該是幫助更好地保護您的業(yè)務的第一步。”

為了設置正確的優(yōu)先事項，Hojnowski的建議是從分析當前的網(wǎng)絡安全態(tài)勢開始，但不要忽視潛在的漏洞。評估預算是否充足，以及企業(yè)可能有哪些特殊需求。“你是在一個被認為是高風險目標的行業(yè)中運營，還是在該行業(yè)運營，如果出現(xiàn)漏洞，你的需求是什么?”霍伊諾斯基說。

一旦確定了這一基準，就應采取系統(tǒng)的方法來改進防御措施，并采用最佳做法原則，例如：

• 所有系統(tǒng)和軟件都需要啟用自動更新，并安裝適當?shù)难a丁。
• 員工培訓計劃，幫助發(fā)現(xiàn)釣魚電子郵件、商業(yè)電子郵件泄露、非法資金轉(zhuǎn)移、如何創(chuàng)建強密碼，以及在需要的時候進行其他教育。
• 采用一系列安全工具，包括防火墻、防病毒、終端檢測和響應以及收件箱保護機制。
• 將數(shù)據(jù)備份到云中并維護現(xiàn)場備份，并確保所有數(shù)據(jù)都經(jīng)過加密并檢查備份。
• 公司的政策和程序旨在防止攻擊，保護數(shù)據(jù)，并在數(shù)據(jù)無法訪問的情況下處理事情。

6.預算與不斷增長的風險狀況不匹配

中小企業(yè)需要一個與其風險狀況相稱的預算，并考慮他們的需求、重要的業(yè)務信息以及他們是否持有敏感的個人數(shù)據(jù)?；粢林Z夫斯基說：“每家公司都需要評估自己的運營情況，以及他們愿意花多少錢來幫助防止?jié)撛诘臉I(yè)務中斷。”

安全成本需要與支持企業(yè)運營的營銷、銷售和其他成本并駕齊驅(qū)。Sage說：“一家企業(yè)知道每個員工為企業(yè)運營購買工具和許可證的成本，以及為了獲得或留住客戶而在銷售和營銷上花費了多少。”它需要花費一定比例的金額來確保員工的工作，并保護客戶、潛在客戶及其產(chǎn)品。“它需要根據(jù)企業(yè)的市場及其復雜性進行計算，”塞奇說。