2023 年 Verizon 数据泄露调查报告(DBIR)显示,中小型企业(SMB)与大公司一样成为网络攻击者的目标。
对于网络攻击者来说,公司规模并不重要
中小企业往往低估了自己作为潜在目标的吸引力。他们认为自己是“小鱼”,不值得攻击者付出努力,他们的数据几乎没有价值。但事实并非如此:不论企业规模如何,他们的系统都会存储敏感信息,包括员工和客户数据,以及财务信息。对攻击者来说,他们关注的不是企业规模大小,而是是否存在容易被入侵的安全漏洞。
更重要的是,它们经常被用来访问大型组织(合作伙伴、客户或供应商)的系统。网络安全公司Proofpoint研究显示,网络攻击者经常以中小型企业(尤其是通过区域MSP)为目标,作为入侵公共和私营部门大型机构和组织的手段。
然而,中小企业通常只将预算的一小部分用来加强其网络安全防御,并且通常没有能力有效地对抗网络威胁。
加剧中小企业脆弱性的一个关键因素是缺乏专门的安全人员,大公司可以为网络安全专业人员提供更高的薪水。由于员工和专业知识有限,中小企业在抵御复杂的网络攻击方面更具挑战。
中小企业如何提高网络安全水平?
首先,需要消除网络安全完全是IT部门责任的观念,组织中的每个人都在最小化网络事件风险方面发挥着至关重要的作用。
Verizon 2023 DBIR报告概述了三个基本的网络安全控制措施,这些措施将帮助IT和网络安全专业知识有限的中小企业预防普通的非针对性攻击:
安全意识和技能培训:确保员工具备将一般网络安全风险降至最低的技能和知识
数据恢复:创建能够在遭受攻击时将业务资产恢复到原始可信状态的数据恢复实践
访问控制管理:为企业资产和软件的用户、管理员和服务帐户创建、分配、管理和撤销访问凭据和特权创建流程。
应用软件安全测试:通过静态应用安全测试等方式识别和处理内部开发、托管或获得的软件中的漏洞,以防止对公司造成潜在危害。
渗透测试:通过模拟攻击者的行为来发现企业资产的有效性和弹性。
事件响应管理:建立并维持事件响应计划,以便及时响应攻击。
Verizon的分析师指出:当已经发现并确定问题的优先级,就知道企业最容易被攻击的部分在哪里,需要做的是对这些问题进行防范并修复,同时能够做好应急预案,当网络攻击发生时迅速做出反应。此时已经从制定计划转变为实施计划。
来源:
