当前位置:安全行业动态 → 正文

将中小企业置于危险境地的六个不良网络安全习惯 -凯发在线

责任编辑:cres 作者:rosalyn |来源:企业网d1net  2024-04-16 14:47:32 原创文章 企业网d1net

中小型企业增加了他们的数字足迹,拥抱远程工作,使用更多联网设备,并采用新的工具和技术。他们现在发现自己对网络犯罪分子更具吸引力,在针对大型企业的头条新闻攻击背后,中小企业正越来越频繁地受到攻击。
 
确切的数字可能很难衡量,但根据develions的2023-2024年中小企业it安全状况报告,69%的中小企业报告在去年至少经历了一次网络攻击,比前一年有所增加。
 
网络安全事件对小企业的损害尤其严重,因为没有财政和组织资源来应对影响。在某些情况下,这可能会导致它们破产。
 
然而,根据迪沃斯的报告,尽管风险增加,但只有不到三分之二的公司通过密码管理器、双因素身份验证和网络安全培训等措施完全保护自己的业务。为了限制成为受害者的风险,专家们分享了他们对中小企业的建议,帮助他们将坏习惯转变为更好的防御措施。
 
1.认为自己太小而不能成为目标
 
中小企业可能会落入这样的陷阱,认为网络犯罪分子只是在追捕大鱼,但事实远非如此。中小企业不仅不是太小而不能成为攻击目标,而且这也是它们经常受到攻击的原因。
 
这种信念可能导致一大堆糟糕的做法,使企业暴露在一系列漏洞之下。check point software technologies的网络安全顾问萨迪克·伊克巴尔(sadiq iqbal)表示:“统计数据显示,大多数网络攻击都是针对中小企业的,因为他们被视为更容易攻击的目标,没有大型组织所具备的安全姿态。”伊克巴尔负责管理大量中小企业客户。
 
建议是,不要因为你认为这项业务不在威胁参与者的雷达上而忽视预防措施。“你有一个银行账户,而且你使用互联网。为小型企业提供网络安全建议的pocket ciso的创始人卡洛塔·塞奇表示:“你是一个目标,即使这不是故意的。”
 
根据sage的经验,中小企业希望做正确的事情,但他们需要来自行业和政府的更多支持。与英国和澳大利亚不同,美国缺乏政府监管,需要更多专门的资源。“作为安全从业者和中小企业供应商的安全团队,我们有责任更好地支持中小企业。我们,作为一个国家和那些为中小企业服务的人,需要加快步伐,”他们说。
 
2.低估了对中小企业的勒索软件威胁
 
opentext网络安全和长期威胁分析师格雷森·米尔本表示,中小企业低估了勒索软件的威胁。他援引opentext的全球中小企业勒索软件调查发现,超过三分之二(67%)的受访者不相信或不确定自己是勒索软件的目标。
 
太多的中小企业认为,网络罪犯是高度技术性和老练的,对较小的企业不感兴趣。然而,情况并非如此,近一半(46%)的受访者报告称受到了勒索软件攻击。
 
这是一种低成本、相对容易的攻击工具,可以很容易地部署到针对中小企业的攻击中。“勒索软件即服务(raas)可以简单地购买或部署,几乎没有技术诀窍,”米尔本告诉记者。因此,中小企业没有预留足够的资源,导致它们受到的保护很差。“改变中小企业对勒索软件的看法,并制定政策和技术,以更好地保护自己,对于避免成为受害者至关重要。”
 
如果企业真的遭受了攻击,他们需要寻求专家支持来帮助管理这种情况,特别是考虑到赔付绝不是恢复数据的保证。
 
关于袭击的影响,有一些发人深省的统计数据。根据hiscox网络准备2023年的报告,美国小企业去年支付了超过1.6万美元的赎金。hiscox保险公司技术和网络业务副总裁兼产品主管克里斯托弗·霍伊诺夫斯基表示:“勒索软件正在让小企业付出巨大代价。”霍伊诺夫斯基与美国60多万家小企业有业务往来。
 
在支付了赎金的受访企业中,只有一半最终取回了数据,而一半的企业不得不重建系统。此外,调查发现,令人震惊的27%的人再次受到攻击,另有27%的人被要求更多的钱。霍伊诺夫斯基说:“我们当然不建议支付赎金。”
 
3.将网络安全仅仅视为技术问题
 
根据sage的说法,网络安全不能仅靠技术来解决,在许多方面这是一个人类问题。“技术使攻击成为可能,技术有助于防止攻击,技术有助于在攻击后进行清理,但这种技术需要知识渊博的人才能有效,至少目前是这样,”他们说。
 
这也加剧了其他问题,即缺乏预算和没有专门的网络安全责任。伊克巴尔说:“这些都是中小企业面临的重大挑战,使他们没有关于合规框架的指导和明确的方向,并且依赖供应商的支持。”
 
伊克巴尔建议中小企业始终从政府资源中寻找指导方针和最佳做法,至少从建议的基本保护开始。例如,在美国,小企业管理局(sba)和联邦通信委员会(federal communications commission)都有信息和资源,英国国家网络安全中心(national cyber security centre)有指导,全球网络联盟(gca)也有小企业工具包。澳大利亚信号局也有一份针对小企业的指南。
 
sage补充说,由于大多数企业都在使用google workspace或microsoft office 365,各自的知识库是丰富的信息。在这些平台之外,寻求当地的指导来源。sage告诉记者:“还有当地的社区学院、城镇和县小企业中心或经济发展部门,州商务部门也应该能够将你连接到网络安全资源。”
 
4.没有养成良好的网络安全习惯
 
养成良好的网络安全习惯应该是不费吹灰之力的,尽管它可能会时好时坏。例如,根据iqbal的说法,允许使用弱密码太常见了。他还发现,登录的默认密码没有更改,或者安全服务器的所有密码都更改为一个密码,并且没有单独的管理密码。“管理员账户是黑客寻求妥协的最有利可图的账户威胁。这只需要一个妥协,然后通往王国的钥匙就会向你所有潜在的威胁参与者敞开。”
 
备份被广泛部署,但中小型企业经常忽视备份测试的重要性。如果业务受到攻击,备份失败,可能会是灾难性的。“你希望能够恢复和减轻威胁攻击造成的损害,这意味着要有一个经过检查的可靠备份,以确保它没有损坏或没有任何其他问题,”伊克巴尔说。
 
拥有足够的网络保险也很重要,但hiscox发现,只有53%的美国小企业拥有包括网络保险在内的保险单。
 
而且,他们冒的风险不仅仅是自己业务的成本。hojnowski说:“没有足够网络覆盖的小企业可能要为攻击的结果承担经济责任。”网络保险提供针对新出现的威胁和应对入侵的成本的保护,以及帮助遏制损害的点-人。
 
5.不把网络安全放在首位
 
rapid7的首席科学家拉杰·萨马尼表示,当中小企业利用新技术时,对风险的考虑与企业不同,但他们面临着许多相同的风险。
 
企业往往拥有更多的风险管理视角,而规模较小的机构往往将效率置于安全之上。samani已经看到了一些案例,较小的企业获得了远程访问协议等新的数字系统,这可能会使它们容易受到攻击,因为这是勒索软件集团用来侵入公司的常见进入媒介。
 
对于中小企业来说,采用新的数字工具需要不同的方法,但他们没有奢侈的机会请一家大型咨询公司来给他们提供建议。萨马尼说:“需要有一种更简单的方法来阐明为了他们的安全需要做些什么。”
 
根据hojnowski的说法,小企业犯的另一个常见错误是没有实施多因素身份验证。“这应该是帮助更好地保护您的业务的第一步。”
 
为了设置正确的优先事项,hojnowski的建议是从分析当前的网络安全态势开始,但不要忽视潜在的漏洞。评估预算是否充足,以及企业可能有哪些特殊需求。“你是在一个被认为是高风险目标的行业中运营,还是在该行业运营,如果出现漏洞,你的需求是什么?”霍伊诺斯基说。
 
一旦确定了这一基准,就应采取系统的方法来改进防御措施,并采用最佳做法原则,例如:
 
·所有系统和软件都需要启用自动更新,并安装适当的补丁。
 
·员工培训计划,帮助发现钓鱼电子邮件、商业电子邮件泄露、非法资金转移、如何创建强密码,以及在需要的时候进行其他教育。
 
·采用一系列安全工具,包括防火墙、防病毒、终端检测和响应以及收件箱保护机制。
 
·将数据备份到云中并维护现场备份,并确保所有数据都经过加密并检查备份。
 
·公司的政策和程序旨在防止攻击,保护数据,并在数据无法访问的情况下处理事情。
 
6.预算与不断增长的风险状况不匹配
 
中小企业需要一个与其风险状况相称的预算,并考虑他们的需求、重要的业务信息以及他们是否持有敏感的个人数据。霍伊诺夫斯基说:“每家公司都需要评估自己的运营情况,以及他们愿意花多少钱来帮助防止潜在的业务中断。”
 
安全成本需要与支持企业运营的营销、销售和其他成本并驾齐驱。sage说:“一家企业知道每个员工为企业运营购买工具和许可证的成本,以及为了获得或留住客户而在销售和营销上花费了多少。”它需要花费一定比例的金额来确保员工的工作,并保护客户、潜在客户及其产品。“它需要根据企业的市场及其复杂性进行计算,”塞奇说。
 
企业网d1net(www.d1net.com):
 
国内主流的to b it门户,同时在运营国内最大的甲方cio专家库和智力输出及社交平台-信众智(www.cioall.com)。同时运营19个it行业公众号(微信搜索d1net即可关注)。
 
凯发在线的版权声明:本文为企业网d1net编译,转载需在文章开头注明出处为:企业网d1net,如果不注明出处,企业网d1net将保留追究其法律责任的权利。

关键字:凯发在线

原创文章 企业网d1net

x 将中小企业置于危险境地的六个不良网络安全习惯 扫一扫
分享本文到朋友圈
凯发在线
当前位置:安全行业动态 → 正文

责任编辑:cres 作者:rosalyn |来源:企业网d1net  2024-04-16 14:47:32 原创文章 企业网d1net

中小型企业增加了他们的数字足迹,拥抱远程工作,使用更多联网设备,并采用新的工具和技术。他们现在发现自己对网络犯罪分子更具吸引力,在针对大型企业的头条新闻攻击背后,中小企业正越来越频繁地受到攻击。
 
确切的数字可能很难衡量,但根据develions的2023-2024年中小企业it安全状况报告,69%的中小企业报告在去年至少经历了一次网络攻击,比前一年有所增加。
 
网络安全事件对小企业的损害尤其严重,因为没有财政和组织资源来应对影响。在某些情况下,这可能会导致它们破产。
 
然而,根据迪沃斯的报告,尽管风险增加,但只有不到三分之二的公司通过密码管理器、双因素身份验证和网络安全培训等措施完全保护自己的业务。为了限制成为受害者的风险,专家们分享了他们对中小企业的建议,帮助他们将坏习惯转变为更好的防御措施。
 
1.认为自己太小而不能成为目标
 
中小企业可能会落入这样的陷阱,认为网络犯罪分子只是在追捕大鱼,但事实远非如此。中小企业不仅不是太小而不能成为攻击目标,而且这也是它们经常受到攻击的原因。
 
这种信念可能导致一大堆糟糕的做法,使企业暴露在一系列漏洞之下。check point software technologies的网络安全顾问萨迪克·伊克巴尔(sadiq iqbal)表示:“统计数据显示,大多数网络攻击都是针对中小企业的,因为他们被视为更容易攻击的目标,没有大型组织所具备的安全姿态。”伊克巴尔负责管理大量中小企业客户。
 
建议是,不要因为你认为这项业务不在威胁参与者的雷达上而忽视预防措施。“你有一个银行账户,而且你使用互联网。为小型企业提供网络安全建议的pocket ciso的创始人卡洛塔·塞奇表示:“你是一个目标,即使这不是故意的。”
 
根据sage的经验,中小企业希望做正确的事情,但他们需要来自行业和政府的更多支持。与英国和澳大利亚不同,美国缺乏政府监管,需要更多专门的资源。“作为安全从业者和中小企业供应商的安全团队,我们有责任更好地支持中小企业。我们,作为一个国家和那些为中小企业服务的人,需要加快步伐,”他们说。
 
2.低估了对中小企业的勒索软件威胁
 
opentext网络安全和长期威胁分析师格雷森·米尔本表示,中小企业低估了勒索软件的威胁。他援引opentext的全球中小企业勒索软件调查发现,超过三分之二(67%)的受访者不相信或不确定自己是勒索软件的目标。
 
太多的中小企业认为,网络罪犯是高度技术性和老练的,对较小的企业不感兴趣。然而,情况并非如此,近一半(46%)的受访者报告称受到了勒索软件攻击。
 
这是一种低成本、相对容易的攻击工具,可以很容易地部署到针对中小企业的攻击中。“勒索软件即服务(raas)可以简单地购买或部署,几乎没有技术诀窍,”米尔本告诉记者。因此,中小企业没有预留足够的资源,导致它们受到的保护很差。“改变中小企业对勒索软件的看法,并制定政策和技术,以更好地保护自己,对于避免成为受害者至关重要。”
 
如果企业真的遭受了攻击,他们需要寻求专家支持来帮助管理这种情况,特别是考虑到赔付绝不是恢复数据的保证。
 
关于袭击的影响,有一些发人深省的统计数据。根据hiscox网络准备2023年的报告,美国小企业去年支付了超过1.6万美元的赎金。hiscox保险公司技术和网络业务副总裁兼产品主管克里斯托弗·霍伊诺夫斯基表示:“勒索软件正在让小企业付出巨大代价。”霍伊诺夫斯基与美国60多万家小企业有业务往来。
 
在支付了赎金的受访企业中,只有一半最终取回了数据,而一半的企业不得不重建系统。此外,调查发现,令人震惊的27%的人再次受到攻击,另有27%的人被要求更多的钱。霍伊诺夫斯基说:“我们当然不建议支付赎金。”
 
3.将网络安全仅仅视为技术问题
 
根据sage的说法,网络安全不能仅靠技术来解决,在许多方面这是一个人类问题。“技术使攻击成为可能,技术有助于防止攻击,技术有助于在攻击后进行清理,但这种技术需要知识渊博的人才能有效,至少目前是这样,”他们说。
 
这也加剧了其他问题,即缺乏预算和没有专门的网络安全责任。伊克巴尔说:“这些都是中小企业面临的重大挑战,使他们没有关于合规框架的指导和明确的方向,并且依赖供应商的支持。”
 
伊克巴尔建议中小企业始终从政府资源中寻找指导方针和最佳做法,至少从建议的基本保护开始。例如,在美国,小企业管理局(sba)和联邦通信委员会(federal communications commission)都有信息和资源,英国国家网络安全中心(national cyber security centre)有指导,全球网络联盟(gca)也有小企业工具包。澳大利亚信号局也有一份针对小企业的指南。
 
sage补充说,由于大多数企业都在使用google workspace或microsoft office 365,各自的知识库是丰富的信息。在这些平台之外,寻求当地的指导来源。sage告诉记者:“还有当地的社区学院、城镇和县小企业中心或经济发展部门,州商务部门也应该能够将你连接到网络安全资源。”
 
4.没有养成良好的网络安全习惯
 
养成良好的网络安全习惯应该是不费吹灰之力的,尽管它可能会时好时坏。例如,根据iqbal的说法,允许使用弱密码太常见了。他还发现,登录的默认密码没有更改,或者安全服务器的所有密码都更改为一个密码,并且没有单独的管理密码。“管理员账户是黑客寻求妥协的最有利可图的账户威胁。这只需要一个妥协,然后通往王国的钥匙就会向你所有潜在的威胁参与者敞开。”
 
备份被广泛部署,但中小型企业经常忽视备份测试的重要性。如果业务受到攻击,备份失败,可能会是灾难性的。“你希望能够恢复和减轻威胁攻击造成的损害,这意味着要有一个经过检查的可靠备份,以确保它没有损坏或没有任何其他问题,”伊克巴尔说。
 
拥有足够的网络保险也很重要,但hiscox发现,只有53%的美国小企业拥有包括网络保险在内的保险单。
 
而且,他们冒的风险不仅仅是自己业务的成本。hojnowski说:“没有足够网络覆盖的小企业可能要为攻击的结果承担经济责任。”网络保险提供针对新出现的威胁和应对入侵的成本的保护,以及帮助遏制损害的点-人。
 
5.不把网络安全放在首位
 
rapid7的首席科学家拉杰·萨马尼表示,当中小企业利用新技术时,对风险的考虑与企业不同,但他们面临着许多相同的风险。
 
企业往往拥有更多的风险管理视角,而规模较小的机构往往将效率置于安全之上。samani已经看到了一些案例,较小的企业获得了远程访问协议等新的数字系统,这可能会使它们容易受到攻击,因为这是勒索软件集团用来侵入公司的常见进入媒介。
 
对于中小企业来说,采用新的数字工具需要不同的方法,但他们没有奢侈的机会请一家大型咨询公司来给他们提供建议。萨马尼说:“需要有一种更简单的方法来阐明为了他们的安全需要做些什么。”
 
根据hojnowski的说法,小企业犯的另一个常见错误是没有实施多因素身份验证。“这应该是帮助更好地保护您的业务的第一步。”
 
为了设置正确的优先事项,hojnowski的建议是从分析当前的网络安全态势开始,但不要忽视潜在的漏洞。评估预算是否充足,以及企业可能有哪些特殊需求。“你是在一个被认为是高风险目标的行业中运营,还是在该行业运营,如果出现漏洞,你的需求是什么?”霍伊诺斯基说。
 
一旦确定了这一基准,就应采取系统的方法来改进防御措施,并采用最佳做法原则,例如:
 
·所有系统和软件都需要启用自动更新,并安装适当的补丁。
 
·员工培训计划,帮助发现钓鱼电子邮件、商业电子邮件泄露、非法资金转移、如何创建强密码,以及在需要的时候进行其他教育。
 
·采用一系列安全工具,包括防火墙、防病毒、终端检测和响应以及收件箱保护机制。
 
·将数据备份到云中并维护现场备份,并确保所有数据都经过加密并检查备份。
 
·公司的政策和程序旨在防止攻击,保护数据,并在数据无法访问的情况下处理事情。
 
6.预算与不断增长的风险状况不匹配
 
中小企业需要一个与其风险状况相称的预算,并考虑他们的需求、重要的业务信息以及他们是否持有敏感的个人数据。霍伊诺夫斯基说:“每家公司都需要评估自己的运营情况,以及他们愿意花多少钱来帮助防止潜在的业务中断。”
 
安全成本需要与支持企业运营的营销、销售和其他成本并驾齐驱。sage说:“一家企业知道每个员工为企业运营购买工具和许可证的成本,以及为了获得或留住客户而在销售和营销上花费了多少。”它需要花费一定比例的金额来确保员工的工作,并保护客户、潜在客户及其产品。“它需要根据企业的市场及其复杂性进行计算,”塞奇说。
 
企业网d1net(www.d1net.com):
 
国内主流的to b it门户,同时在运营国内最大的甲方cio专家库和智力输出及社交平台-信众智(www.cioall.com)。同时运营19个it行业公众号(微信搜索d1net即可关注)。
 
凯发在线的版权声明:本文为企业网d1net编译,转载需在文章开头注明出处为:企业网d1net,如果不注明出处,企业网d1net将保留追究其法律责任的权利。

关键字:凯发在线

原创文章 企业网d1net

回到顶部
"));
"));

关于凯发在线联系凯发在线隐私条款广告服务凯发在线的友情链接投稿中心凯发在线的招贤纳士

企业网凯发在线的版权所有 ©2010-2024

^
网站地图