专家警告称,由于网络犯罪分子针对中小企业的攻击手段日益成熟,管理者们将不得不在象征性保护措施之外再做出进一步努力,否则其知识产权、客户及资金流都可能受到严重威胁。而做出阶段性努力的首要条件,就是勇于承认自己每年花在杀毒软件方面的那点资金根本不足以应对攻击活动。
“几乎没有几家中小企业能实事求是地承认自己在安全事务方面投入了除象征性努力之外更为深入的关注,”安全咨询企业Cobweb Applications公司创始人兼管理负责人Michael Cobb表示。
根据卡巴斯基实验室的最近调查数据显示,中小企业每年花在安全事务上的费用平均为1万美元,均摊在每位员工身上的支出为36美元。调查报告指出,杀病毒软件是大多数企业的首选安全解决方案,67%的受访者将其作为优先考量对象。相比之下以数据加密技术为例的其它实用性保护方案则人气较低,仅受到40%受访企业管理者的重视。
有趣的是,Assero Security网站的Doug Landoll认为中小型企业将杀毒软件作为安全核心完全是意料当中的情况。他的公司专门为中小企业提供风险评估服务,帮助他们以符合大型B2B客户要求的方式拥有透明化安全控制机制,进而保障双方业务的顺利进行。而这些中小企业们则一次又一次惊奇地发现,评估流程除了杀毒软件及其它终端保护手段之外提出了更多更高的安全标准。
“大多数中小企业的安全观念还停留在对终端安全的保护层面,”他指出。“还只是问卷中三十道问题中的很小一部分。他们常常惊讶地表示‘网络分割是什么东西?这对政策有什么影响?’从评估开始,他们才真正意识到安全事务比自己的想象更复杂也更宽泛。”
由于中小企业对于杀毒技术的过分依赖,潜在风险也就成了他们无法回避的难题。尽管在安全行业内部人士当中这早已经不是什么秘密,但很多中小企业决策者却刚刚听说或接触到这一残酷的现实:杀毒技术只能应对每天不断增长的恶意威胁中的很小一部分。根据Imperva公司最近在《纽约时报》上发布的一篇报道,他们尝试将82种新生计算机病毒引入40款杀毒产品的保护环境当中,可悲的是这些保护技术最终仅测试出了不到5%的恶意软件威胁。
“一味拒绝额外终端安全解决方案带来的开支完全是种决策失误——从客观角度看,由安全风险引发的损失占总体支出的68%;而忽视这一切意味着主动放弃了降低这部分损失的机会,”McAfee实验室产品管理部门高级副总裁Rees Johnson引用Aberdeen集团分析师数据并解释道。“在终端安全领域,我们需要采取更加全面的方案才能达到对企业平台、网络、应用及数据的理想保护效果。”
但很多中小企业决策者还没有意识到承担这部分风险空间对公司意味着什么。这不仅会让攻击者有机可乘、通过窃取到的数据组织银行诈骗(很多人仍然误以为这类事故完全源自恶意软件),更可能导致有价值的客户数据、知识产权大量外泄,甚至让自身沦为网络犯罪活动的跳板、最终将那些规模更大的企业合作伙伴一同拖进深渊。
“随着机构之间连通性的日益提升,业务合作伙伴之间的交互往往会让一方的安全问题变成大家的安全问题。可以说这正是整个产业链中的安全薄弱环节,”Interphase Systems公司CEO John Biglin指出。他同时警告称,此类弱点甚至有可能将中小企业推向破产的悬崖。“我们看到很多客户顺利通过了合作方的安全审计流程,也看到不少企业由于控制机制薄弱而与大笔交易失之交臂。”
为了确保中小企业不再让安全威胁从杀毒软件的身边溜掉,管理者自然需要为安保体系添加新的助力。
“即使企业的规模还不是很大,制定理想的IT安全政策仍然非常重要:数据丢失预防、密码复杂性监控、信息加密、移动设备使用等等都是必须考虑的内容,”Security Compass公司咨询师Yuk Fai Chan建议道。“首先根据以上事务制订政策,然后想办法将其变成现实。”
根据Cobb的说明,即使最低限制的安全防护理念也要求企业在杀毒软件之外将网络防火墙配置及更新、安全配置工具、系统修复及漏洞控制等内容添加到政策当中,更不用说效果显著的加密技术、自动备份与恢复工具等等。
此外,中小企业也绝不能忘记一点:外部恶意活动并不是安全威胁的惟一内容。
“内部威胁同样时有发生,这类事故可能源自任何有权访问办公场所及企业内部网络的家伙——客户、分包商甚至是心怀不满的员工,”Chan指出。“因此,我们同样需要在内部网络中组织起正确的访问控制机制,并从内部角度出发定期对IT基础设施进行评估。”
事实上,评估应该是这场安全军备竞赛中中小企业明确发展方向的最好方式。
“通过定期漏洞扫描及主要产品升级后的渗透测试了解自身弱点,”Alert Logic公司的John Whiteside建议道,“攻击者们一直在寻找可资利用的目标——缺乏补丁更新的服务器或者暴露在外部环境下的服务——这是一场速度的比拼,只要我们抢先修正问题就能够获胜。”
由于很少有中小企业拥有完备的内部评估资源,管理者要做的是从外界需求帮助。
“幸运的是,许多IT安全流程本身就采取外包机制:比起由专业公司委派专门的安全团队及设备,外包型方案的成本显然更低,”Cobb在一篇名为《每家小型企业都必须拥有的六大安全服务》的文章中中写道。这篇文章提供了许多极具价值的安全指导信息,能够帮助中小企业顺利找到适合自己的安全服务供应商。“外包安全产品能够在带来安全保障的同时,以潜在方式降低资本流失与运营支出。”
原文地址:http://www.darkreading.com/smb-security/167901073/security/vulnerabilities/240146877/what-antivirus-shortcomings-mean-for-smbs.html.html