中小型企业增加了他们的数字足迹,拥抱远程工作,使用更多联网设备,并采用新的工具和技术。他们现在发现自己对网络犯罪分子更具吸引力,在针对大型企业的头条新闻攻击背后,中小企业正越来越频繁地受到攻击。
确切的数字可能很难衡量,但根据DEVELIONS的2023-2024年中小企业IT安全状况报告,69%的中小企业报告在去年至少经历了一次网络攻击,比前一年有所增加。
网络安全事件对小企业的损害尤其严重,因为没有财政和组织资源来应对影响。在某些情况下,这可能会导致它们破产。
然而,根据迪沃斯的报告,尽管风险增加,但只有不到三分之二的公司通过密码管理器、双因素身份验证和网络安全培训等措施完全保护自己的业务。为了限制成为受害者的风险,专家们分享了他们对中小企业的建议,帮助他们将坏习惯转变为更好的防御措施。
1.认为自己太小而不能成为目标
中小企业可能会落入这样的陷阱,认为网络犯罪分子只是在追捕大鱼,但事实远非如此。中小企业不仅不是太小而不能成为攻击目标,而且这也是它们经常受到攻击的原因。
这种信念可能导致一大堆糟糕的做法,使企业暴露在一系列漏洞之下。Check Point Software Technologies的网络安全顾问萨迪克·伊克巴尔(Sadiq Iqbal)表示:“统计数据显示,大多数网络攻击都是针对中小企业的,因为他们被视为更容易攻击的目标,没有大型组织所具备的安全姿态。”伊克巴尔负责管理大量中小企业客户。
建议是,不要因为你认为这项业务不在威胁参与者的雷达上而忽视预防措施。“你有一个银行账户,而且你使用互联网。为小型企业提供网络安全建议的Pocket CISO的创始人卡洛塔·塞奇表示:“你是一个目标,即使这不是故意的。”
根据Sage的经验,中小企业希望做正确的事情,但他们需要来自行业和政府的更多支持。与英国和澳大利亚不同,美国缺乏政府监管,需要更多专门的资源。“作为安全从业者和中小企业供应商的安全团队,我们有责任更好地支持中小企业。我们,作为一个国家和那些为中小企业服务的人,需要加快步伐,”他们说。
2.低估了对中小企业的勒索软件威胁
OpenText网络安全和长期威胁分析师格雷森·米尔本表示,中小企业低估了勒索软件的威胁。他援引OpenText的全球中小企业勒索软件调查发现,超过三分之二(67%)的受访者不相信或不确定自己是勒索软件的目标。
太多的中小企业认为,网络罪犯是高度技术性和老练的,对较小的企业不感兴趣。然而,情况并非如此,近一半(46%)的受访者报告称受到了勒索软件攻击。
这是一种低成本、相对容易的攻击工具,可以很容易地部署到针对中小企业的攻击中。“勒索软件即服务(RaaS)可以简单地购买或部署,几乎没有技术诀窍,”米尔本告诉记者。因此,中小企业没有预留足够的资源,导致它们受到的保护很差。“改变中小企业对勒索软件的看法,并制定政策和技术,以更好地保护自己,对于避免成为受害者至关重要。”
如果企业真的遭受了攻击,他们需要寻求专家支持来帮助管理这种情况,特别是考虑到赔付绝不是恢复数据的保证。
关于袭击的影响,有一些发人深省的统计数据。根据Hiscox网络准备2023年的报告,美国小企业去年支付了超过1.6万美元的赎金。Hiscox保险公司技术和网络业务副总裁兼产品主管克里斯托弗·霍伊诺夫斯基表示:“勒索软件正在让小企业付出巨大代价。”霍伊诺夫斯基与美国60多万家小企业有业务往来。
在支付了赎金的受访企业中,只有一半最终取回了数据,而一半的企业不得不重建系统。此外,调查发现,令人震惊的27%的人再次受到攻击,另有27%的人被要求更多的钱。霍伊诺夫斯基说:“我们当然不建议支付赎金。”
3.将网络安全仅仅视为技术问题
根据Sage的说法,网络安全不能仅靠技术来解决,在许多方面这是一个人类问题。“技术使攻击成为可能,技术有助于防止攻击,技术有助于在攻击后进行清理,但这种技术需要知识渊博的人才能有效,至少目前是这样,”他们说。
这也加剧了其他问题,即缺乏预算和没有专门的网络安全责任。伊克巴尔说:“这些都是中小企业面临的重大挑战,使他们没有关于合规框架的指导和明确的方向,并且依赖供应商的支持。”
伊克巴尔建议中小企业始终从政府资源中寻找指导方针和最佳做法,至少从建议的基本保护开始。例如,在美国,小企业管理局(SBA)和联邦通信委员会(Federal Communications Commission)都有信息和资源,英国国家网络安全中心(National Cyber Security Centre)有指导,全球网络联盟(GCA)也有小企业工具包。澳大利亚信号局也有一份针对小企业的指南。
Sage补充说,由于大多数企业都在使用Google Workspace或Microsoft Office 365,各自的知识库是丰富的信息。在这些平台之外,寻求当地的指导来源。Sage告诉记者:“还有当地的社区学院、城镇和县小企业中心或经济发展部门,州商务部门也应该能够将你连接到网络安全资源。”
4.没有养成良好的网络安全习惯
养成良好的网络安全习惯应该是不费吹灰之力的,尽管它可能会时好时坏。例如,根据Iqbal的说法,允许使用弱密码太常见了。他还发现,登录的默认密码没有更改,或者安全服务器的所有密码都更改为一个密码,并且没有单独的管理密码。“管理员账户是黑客寻求妥协的最有利可图的账户威胁。这只需要一个妥协,然后通往王国的钥匙就会向你所有潜在的威胁参与者敞开。”
备份被广泛部署,但中小型企业经常忽视备份测试的重要性。如果业务受到攻击,备份失败,可能会是灾难性的。“你希望能够恢复和减轻威胁攻击造成的损害,这意味着要有一个经过检查的可靠备份,以确保它没有损坏或没有任何其他问题,”伊克巴尔说。
拥有足够的网络保险也很重要,但Hiscox发现,只有53%的美国小企业拥有包括网络保险在内的保险单。
而且,他们冒的风险不仅仅是自己业务的成本。Hojnowski说:“没有足够网络覆盖的小企业可能要为攻击的结果承担经济责任。”网络保险提供针对新出现的威胁和应对入侵的成本的保护,以及帮助遏制损害的点-人。
5.不把网络安全放在首位
Rapid7的首席科学家拉杰·萨马尼表示,当中小企业利用新技术时,对风险的考虑与企业不同,但他们面临着许多相同的风险。
企业往往拥有更多的风险管理视角,而规模较小的机构往往将效率置于安全之上。Samani已经看到了一些案例,较小的企业获得了远程访问协议等新的数字系统,这可能会使它们容易受到攻击,因为这是勒索软件集团用来侵入公司的常见进入媒介。
对于中小企业来说,采用新的数字工具需要不同的方法,但他们没有奢侈的机会请一家大型咨询公司来给他们提供建议。萨马尼说:“需要有一种更简单的方法来阐明为了他们的安全需要做些什么。”
根据Hojnowski的说法,小企业犯的另一个常见错误是没有实施多因素身份验证。“这应该是帮助更好地保护您的业务的第一步。”
为了设置正确的优先事项,Hojnowski的建议是从分析当前的网络安全态势开始,但不要忽视潜在的漏洞。评估预算是否充足,以及企业可能有哪些特殊需求。“你是在一个被认为是高风险目标的行业中运营,还是在该行业运营,如果出现漏洞,你的需求是什么?”霍伊诺斯基说。
一旦确定了这一基准,就应采取系统的方法来改进防御措施,并采用最佳做法原则,例如:
- 所有系统和软件都需要启用自动更新,并安装适当的补丁。
- 员工培训计划,帮助发现钓鱼电子邮件、商业电子邮件泄露、非法资金转移、如何创建强密码,以及在需要的时候进行其他教育。
- 采用一系列安全工具,包括防火墙、防病毒、终端检测和响应以及收件箱保护机制。
- 将数据备份到云中并维护现场备份,并确保所有数据都经过加密并检查备份。
- 公司的政策和程序旨在防止攻击,保护数据,并在数据无法访问的情况下处理事情。
6.预算与不断增长的风险状况不匹配
中小企业需要一个与其风险状况相称的预算,并考虑他们的需求、重要的业务信息以及他们是否持有敏感的个人数据。霍伊诺夫斯基说:“每家公司都需要评估自己的运营情况,以及他们愿意花多少钱来帮助防止潜在的业务中断。”
安全成本需要与支持企业运营的营销、销售和其他成本并驾齐驱。Sage说:“一家企业知道每个员工为企业运营购买工具和许可证的成本,以及为了获得或留住客户而在销售和营销上花费了多少。”它需要花费一定比例的金额来确保员工的工作,并保护客户、潜在客户及其产品。“它需要根据企业的市场及其复杂性进行计算,”塞奇说。