常常被忽视的十大网络安全威胁

为了能让有限的资源应付无穷的安全保护需求，中小企业往往不得不忽略掉各类潜在的威胁。最理想的保护措施在于防患于未然，制定策略将问题消灭在萌芽状态。

    但是在这之前，我们必须了解中小企业的网络安全威胁到底是什么？以下列举的是最近的调查显示的中小企业常常忽视的十大网络安全威胁。

    为了能让有限的资源应付无穷的安全保护需求，中小企业往往不得不忽略掉各类潜在的威胁。最理想的保护措施在于防患于未然，制定策略将问题消灭在萌芽状态。但是在这之前，我们必须了解中小企业的网络安全威胁到底是什么？以下列举的是最近的调查显示的中小企业常常忽视的十大网络安全威胁。

    1.银行账户劫持

    网络犯罪分子每年都会利用银行服务类木马袭击上百家小型企业，他们能够借木马之力控制被害者的计算机，让银行服务器端误以为是真正的客户在操作。臭名昭著的Zeus正是木马家族中最“杰出”的代表；它能够在数分钟时间里从企业的银行账户中提取出成百上千美元，活脱脱现实世界中的吸血鬼。

    早在2009年，网络窃贼们就曾经对缅因州一家名为Patco的建设公司痛下杀手，通过感染该企业的计算机在不到一周的时间里从银行账户中豪夺58万9千美元赃款。尽管Patco公司及时向银行方面递交了事故报告，但最终仍然只追回了不到半数的损失。

    Patco公司虽然逃过了灭顶之灾，但大多数中小企业仍然面临着网络犯罪分子们的致命威胁。一般来说，只要是由客户计算机遭到入侵所导致的财务损失，大多数银行都不会给予赔偿或者追讨。“如果您是小型企业的负责人，请务必小心——那些恶意人士会把银行账户彻底掏空，而我们一点办法都没有。”赛门铁克公司安全响应部门主管Kevin Haley建议道。

    截至目前，法庭仍然倾向于银行方：就在去年，Patco公司的财务管理方Ocean银行就在判决中赢得主动，获得了不必为资金意外转移负责的有利裁定。

    在这样严峻的事态下，最好的防御方案就是确保企业使用单独一台专用计算机处理网上财务事宜——这台设备没有邮件系统、不装网络浏览器，连操作系统也严禁随意登录，Haley告诉我们。“有能力访问这些财务账户的人越多，就会有更多设备进行在线查询及操作，同时也将带来更高的安全风险，”他解释道。

    2.网站劫持

    许多小型企业的官方网站并不会用于出售产品，而完全是为了吸引客户。但也有不少公司跟Endless Wardrobe一样，需要在网站上直接进行产品及服务销售。无论是哪一种情况，拒绝服务攻击这种致命的侵袭都极为可怕——攻击者利用这种方式占据大量带宽，使得网站无暇处理正常客户的合法交易。

    过去，以拒绝服务攻击为手段的敲诈勒索者们大多将注意力放在那些名声不好的公司身上，例如在线博彩公司或者色情网站。但现在犯罪分子的胃口越来越大，他们已经开始对所有安全技术薄弱、无力抵御网络攻击的小企业们展开侵袭。

    包括CloudFlare、Incapsula以及Prolexic在内的许多服务商都能帮助企业用户对抗拒绝服务攻击。他们的方法是创建一套“安全”网络——即经过严格控制的业务社区，任何恶意流量在访问企业客户之前都会被过滤机制拦截下来，这一方面阻绝了不良请求、另一方面也保障了正常交易的进行。