随着企业数字化转型的深入推进,网络安全建设已经受到越来越多的关注和重视,然而,调查数据显示,有很多中小型企业组织存在一种虚假的安全感——“我们还太小,不值得被攻击”。但事实上,网络攻击和数据窃取并不会只针对大型知名企业,只要组织开展了数字化业务并产生有价值的数据,就有可能成为不法分子的攻击目标。
某种意义上说,中小型企业更容易因为网络攻击而受到损害,因为相对于大型企业,中小企业往往没有足够的网络安全防御措施、产品和专业技术人员,即使认识到网络安全的重要性,也可能没有充足的预算来实施。据服务机构Arctic Wolf的一项调查显示,77.6%的受访中小企业缺乏有效应对网络攻击的计划和能力。调查还发现,因无法支付勒索攻击赎金而陷入经营困境的中小企业数量也在快速增长。
尽管面临挑战,但为了最大程度地降低网络安全损害,中小企业应该更加积极地去应对威胁,充分利用一些简单的方法加强防范。日前,福布斯技术委员会(福布斯委员会直属分支机构,仅面向全球知名企业CIO、CTO和技术高管邀请开放)的16位专家委员,分享了他们对中小企业改善安全状况的建议。
1. 首先对企业网络边界进行保护
防火墙是目前最成熟的网络安全产品,也是中小型企业增强网络安全的最简单方式之一。同时,中小企业还可以采用针对拒绝服务式攻击的保护措施来确保互联网的边界安全,因为互联网边界是所有基础设施中最容易暴露和受到攻击环节。
2. 尽快部署多因素身份认证
无论企业规模大小,在访问办公环境中的所有计算机、服务器、基础设施和业务应用软件时,采用多因素身份验证技术已被证明是防止黑客入侵的最有效方式之一。据微软一项调查数据显示,企业组织通过多因素认证可以阻止99%的暴力破解攻击。只要有一个认证因素验证失败,那么用户访问行为将被拒绝。而且,多因素身份认证技术的使用非常简单,非常适合中小型企业用户。
3. 从员工个人的安全防护做起
今天的黑客通常攻击企业网络防御中最薄弱的环节,比如企业员工的个人终端及账号信息等,这样可以绕过企业的安全机制,横向渗透到企业目标主机。为了降低安全风险,小型企业需要像保护企业的重要数字资产一样,保护好企业成员特别是高层管理者的个人终端设备、账号、电子邮件等。
4. 重视网络安全意识培训
随着云、移动办公的普及应用,加强员工的安全意识培训的需求越发迫切,包括:如何识别钓鱼邮件、增加密码的复杂度、对企业数据资产和隐私的保护。虽然这对技术人员来说显而易见,但是对于安全意识不强的员工而言尤为重要,定期对所有员工进行安全意识培训可以保护企业的网络安全。
5. 购买威胁情报服务
中小企业需要不断提升安全风险意识,尽可能了解目前IT系统可能存在的问题。建议企业可以采购第三方威胁情报机构的服务,对与公司业务特性相关的威胁、漏洞进行扫描及挖掘,站在“黑客”的角度洞悉不法分子的攻击动机与活动路径。这有助于企业提前了解自身所面临的风险,正视安全防护的缺失,防患于未然。
6. 优先采购自带安全能力的电子设备
在远程办公模式下,员工个人电脑、笔记本等设备在企业数字化业务中的使用更加普及,但是通常情况下,个人用户在购买电子产品时,并不会将安全及可靠性作为首要考虑因素。为了更好保障企业业务系统的安全性,企业应该向员工提供内置安全模块和防护机制的电脑设备,例如具有远程恢复功能和自我安全修复的设备,这样当个人电脑受到攻击时可以快速响应。
7. 添加云访问安全代理(CASB)
随着企业业务系统的迁移上云和远程办公的普及,企业可以通过实施云访问安全代理(CASB)或类似的控制措施,来限制人员对云端信息的访问,从而保护企业敏感资产。
8. 不要在社交媒体分享企业的隐私数据
对于中小企业而言,所取得的每一点进步和成长都可能是引人关注的,但过多地在社交媒体透露企业所在领域、网络信息、客户情况等,会使自身(甚至客户)遭受网络攻击。黑客可以通过网址扫描漏洞并获得管理员权限,而透漏客户名称也会让黑客借助您的企业名义对客户进行钓鱼邮件攻击。
9. 对重要的数据进行加密
中小企业应该充分利用密码技术,对重要的业务数据采用端到端加密方式,比如企业的客户信息数据。中小企业在设计业务流程时应考虑到客户信息资产的保护,把保护客户信息时刻放在首位,从而获得客户的信任,建立用户忠诚度。
10. 使用MITRE ATT&CK框架
通过MITRE ATT&CK框架中的防护知识和威胁数据,企业的信息安全负责人既可以很好的了解攻击者的战术、技术和攻击手段,同时能够结合企业自身所面临的威胁,预测不法分子可能对企业实施怎样的攻击。
11. 部署使用单点登陆
单点登陆是一种身份验证方法,用户能够使用一次登陆获取一组凭据访问多个应用程序,这不仅可以更轻松地授予、审核和撤销个人用户访问企业资源的权限,而且还可以降低密码窃取和其它安全漏洞的风险。
12. 定期开展漏洞扫描
对中小企业用户,制定并定期执行漏洞扫描计划将会取得不错的防护效果。网络上有许多漏洞管理专业服务商提供免费的解决方案,推荐使用OWASP的工具列表。随着中小企业业务不断增长和变化,建议每月定期进行漏洞扫描来发现新的安全漏洞,并及时修补。
13. 实施第三方IT审计
通过第三方IT审计服务,可以帮助中小企业核查是否曾遭受过网络攻击,是否存在未知的风险隐患。在企业进行重大战略决策前,有效的外部审核,能够帮助企业更清晰了解被忽视的网络安全问题,审计结果更有利于帮助企业保护IT资产和进行决策。
14. 购买网络安全保险
由于专业防护能力缺失,小型企业应该需要考虑购买网络安全保险降低可能发生的安全事件损失。通过合适的网络安全保单,可以补偿中小企业可能面对的安全损失、勒索软件赎金支付、风险评估费用、监管部门罚金和法律诉讼费用,甚至包括网络入侵后购买保护措施产生的费用。
15. 及时了解网络安全动态
中小企业为增强网络安全能力,需要了解最新的网络攻击方法和网络安全新闻,密切关注漏洞信息和安全防护方案。魔高一尺,道高一丈,如果企业不了解最新的攻击方式,就可能将业务和客户数据置于新的危险之中。
16. 建立动态改进的流程
网络安全不能仅靠单独安全产品的罗列,而是需要一套完整的体系架构和流程,并将安全防护措施融入到每一个工作流程、每一个建设阶段和每一次决策中,形成企业的网络安全程序手册。安全建设需要不断地动态改进,才能取得更好的成效。
参考链接https://www.forbes.com/sites/forbestechcouncil/2022/05/17/16-effective-ways-a-small-business-can-enhance-its-cybersecurity-profile/?sh=66714fb35191