中小型企业面临风险的六个不良网络安全习惯

中小型企业增加了数字化足迹，采用远程工作、使用更多联网设备以及采用新工具和技术。他们现在发现自己成为网络犯罪分子更有吸引力的目标，而在针对大型组织的头条新闻攻击背后，中小企业正越来越频繁地受到攻击。

确切的数字可能很难衡量，但根据 Devolutions 的 2023-2024 年中小企业 IT 安全状况报告， 69% 的中小企业报告在去年至少经历过一次网络攻击，这一比例较前一年有所增加。

网络安全事件对小型企业的损害尤其严重，因为它们没有足够的财务和组织资源来应对影响。在某些情况下，这可能会导致它们破产。

根据其报告，尽管风险增加，但只有不到三分之二的企业通过密码管理器、双因素身份验证和网络安全培训等措施充分保护其业务。为了限制成为受害者的风险，专家向中小企业分享了他们的建议，以帮助他们将坏习惯转变为更好的防御措施。

1. 认为自己太小而不能成为目标

中小型企业可能会陷入这样的陷阱，认为网络犯罪分子只是追捕大鱼，但事实并非如此。中小企业不仅因为规模太小而无法成为攻击目标，而且这也是它们经常受到攻击的原因。

这种信念可能会导致一系列不良做法，使企业面临一系列漏洞。 统计数据显示，大多数网络攻击都针对中小企业，因为它们被认为是更容易成为目标的目标，但没有大型组织那样的安全态势。监管着大量中小企业客户。

建议不要因为认为该业务不在威胁行为者的监视范围内而忽视预防措施。

你有一个银行账户，并且使用互联网。你就是一个目标，即使这不是故意的。

中小企业希望做正确的事情，但他们需要行业和政府的更多支持。与英国和澳大利亚不同，美国缺乏政府监管，需要更多专门资源。

作为安全从业者和中小企业供应商的安全团队，我们有责任更好地支持中小企业。作为一个国家和那些为中小企业服务的人，需要挺身而出。

2. 低估中小型企业的勒索软件威胁

中小型企业低估了勒索软件的威胁。全球中小企业勒索软件调查，该调查发现超过三分之二 (67%) 的受访者不相信或不确定自己是勒索软件的目标。

太多的中小型企业认为网络犯罪分子技术精湛、经验丰富，对小型企业不感兴趣。但事实并非如此，近一半 (46%) 的受访者表示遭受了勒索软件攻击。

它是一种低成本、相对简单的攻击工具，可以轻松针对中小企业进行部署。 勒索软件即服务(RaaS) 可以简单地购买或部署，几乎不需要任何技术知识。

因此，中小型企业没有预留足够的资源，导致它们得不到充分的保护。重新思考中小企业对勒索软件的看法，并制定政策和技术以更好地保护自己，对于避免成为受害者至关重要。

如果确实遭受攻击，企业需要寻求专家支持来帮助管理这种情况，特别是考虑到支付费用并不能保证恢复数据。

关于攻击的影响有一些发人深省的统计数据。根据Hiscox Cyber Readiness 2023 报告，美国小企业去年支付了超过 16,000 美元的赎金。 勒索软件正在给小型企业带来巨大损失。

在接受调查的支付赎金的企业中，只有一半最终取回了数据，而一半则不得不重建系统。此外，调查还发现，再次遭到攻击的人数达到惊人的 27%，另有 27% 的人被索要更多金钱。

3. 将网络安全视为技术问题

网络安全无法仅靠技术来解决，从很多方面来说，这是一个人类问题。技术使攻击成为可能，技术有助于预防攻击，技术有助于在攻击后进行清理，但该技术需要知识渊博的人才能发挥作用，至少目前如此。

这也引发了其他问题，包括缺乏预算和没有专门的网络安全责任。这些对中小企业来说是重大挑战，导致他们没有合规框架指导和明确方向，只能依赖提供商的支持。

建议中小企业始终向政府资源寻求指导方针和最佳实践，并至少从建议的基本保护开始。例如，在美国，小企业管理局和联邦通信委员会都有信息和资源，而英国国家网络安全中心有指导，全球网络联盟（GCA）也有小企业工具包。澳大利亚信号局也有针对小型企业的指南。

由于大多数企业都在使用 Google Workspace 或 Microsoft Office 365，因此各自的知识库蕴含着丰富的信息。在这些平台之外，请寻找当地的指导来源。还有当地的社区学院、城镇和县的小型商业中心或经济发展部门，以及州商务部门也应该能够为您提供网络安全资源。

4. 没有采取良好的网络安全措施

养成良好的网络安全习惯应该是理所当然的事情，尽管它可能会时好时坏。例如，允许使用弱密码是很常见的。登录的默认密码没有更改或安全服务器的所有密码都更改为单个密码并且没有单独的管理密码的情况。

管理员帐户是威胁行为者想要入侵的最有利可图的帐户。只需要做出一个妥协，然后王国的钥匙就会向所有潜在的威胁行为者敞开。

备份被广泛部署，但中小型企业常常忽视备份测试的重要性。如果企业遭受攻击而备份失败，则可能是灾难性的。 

您希望能够恢复并减轻威胁攻击造成的损害，这意味着拥有经过检查的可靠备份，以确保其没有损坏或没有任何其他问题。

拥有足够的网络保险也很重要，但报告发现，只有 53% 的美国小型企业拥有包含网络保险的保险单。

他们所冒的风险不仅仅是自己企业的成本。没有足够网络覆盖的小型企业可能会对攻击结果承担经济责任。网络保险提供针对新兴威胁的保护和应对违规的成本，以及可以帮助控制损失的关键人员。

5. 没有优先考虑网络安全

当中小企业利用新技术时，对风险的考虑与企业不同，但他们面临许多相同的风险。

企业往往更注重风险管理，而小型企业则倾向于将效率置于安全之上。 遇到过一些案例，小型企业购买了新的数字系统，例如远程访问协议，这可能使它们容易受到攻击，因为这是勒索软件团体用来侵入公司的常见入口向量。

对于中小型企业来说，采用新的数字工具需要不同的方法，但他们没有能力聘请大型咨询公司来为他们提供建议。需要有一种更简单的方法来阐明需要采取哪些措施来确保他们的安全。

小企业犯的另一个常见错误是没有实施多因素身份验证。这应该是帮助更好地保护您的业务的首要步骤之一。

为了确定正确的优先事项，建议是首先分析当前的网络安全状况，但不要忽视潜在的漏洞。评估预算是否充足以及企业可能有的特殊需求。您是否在被视为较高风险目标的行业中运营、与该行业合作或为该行业运营，如果发生违规行为，您的需求是什么？

一旦建立了该基线，就采取系统方法来改进防御并采用最佳实践原则，例如：

● 所有系统和软件都需要启用自动更新并进行正确修补。

● 员工培训计划可帮助发现网络钓鱼电子邮件、商业电子邮件泄露、错误资金转移、如何创建强密码以及其他需要的教育。

● 采用一系列安全工具，包括防火墙、防病毒、端点检测和响应以及收件箱保护机制。

● 将数据备份到云端以及维护现场备份，并确保所有数据都经过加密并检查备份。

● 公司政策和程序旨在防止攻击、保护数据并在数据无法访问时进行处理。

6. 预算与不断增长的风险状况不匹配

中小型企业需要与其风险状况相称的预算，并考虑其需求、重要业务信息以及是否持有敏感个人数据。 每家公司都需要评估其运营情况以及愿意花费多少钱来帮助防止潜在的业务中断。

安全成本需要与支持企业运营的营销、销售和其他成本并存。企业知道每个员工购买企业运营所需的工具和许可证的成本是多少，以及为获取或留住客户而在销售和营销上花费了多少钱。

​需要花费一定比例的资金来确保员工的工作并保护客户、潜在客户及其产品。 需要根据企业市场及其复杂性来计算。