福布斯科技委员会:提升中小企业安全能力的16条建议但事实上,网络攻击和数据窃取不仅仅针对大型知名企业。只要组织开展了数字化业务,产生了有价值的数据,就有可能成为不法分子的目标。从某种意义上说,中小企业更容易受到网络攻击的伤害,因为与大企业相比,中小企业往往没有足够的网络安全防御措施、产品和专业的技术人员。即使他们认识到网络安全的重要性,也可能没有足够的预算来实施它。服务机构北极狼调查显示,77.6%的受访中小企业缺乏有效应对网络攻击的计划和能力。调查还发现,因无力支付勒索软件攻击赎金而陷入经营困难的中小企业数量也在快速增长。尽管面临挑战,但为了最大限度地减少网络安全损害,中小型企业应该更加主动地应对威胁,并利用一些简单的方法来加强防御。日前,福布斯技术委员会(福布斯委员会直属分会,只对全球知名企业的CIO、CTO、技术高管开放)的16位专家成员分享了他们对改善小企业安全状况的建议和中型企业。1.首先保护企业网络边界。防火墙是目前最成熟的网络安全产品,也是中小企业增强网络安全最简单的方式之一。同时,中小企业也可以采取针对拒绝服务攻击的防护措施来保证互联网边界的安全,因为互联网边界是所有基础设施中暴露和攻击最多的环节。2.尽快部署多重身份验证无论企业规模大小,多重身份验证已被证明是防止黑客访问办公室中所有计算机、服务器、基础设施和业务应用程序时最有效的方法之一环境。一。根据微软的一项调查,企业组织可以通过多因素身份验证来防止99%的暴力攻击。只要其中一个认证因素失败,用户的访问就会被拒绝。而且,多重身份验证技术的使用非常简单,非常适合中小型企业用户。3、从员工的人身安全保护入手如今的黑客通常会攻击企业网络防御中最薄弱的环节,如企业员工的个人终端、账户信息等,从而绕过企业的安全机制,横向渗透到企业内部。目标主机。为了降低安全风险,小企业需要像保护公司重要的数字资产一样,保护公司成员尤其是高层管理人员的个人终端设备、账户、邮箱等。4、重视网络安全意识培训随着云和移动办公的普及应用,迫切需要加强员工安全意识培训,包括:如何识别钓鱼邮件、增加密码复杂度、保护企业数据等资产和隐私。虽然这对技术人员来说是显而易见的,但对于安全意识较低的员工来说尤其重要,对所有员工进行定期安全意识培训可以帮助确保您组织的网络安全。5、购买威胁情报服务中小企业需要不断提高安全风险意识,尽可能了解当前IT系统可能存在的问题。建议企业可以购买第三方威胁情报机构的服务,扫描挖掘与企业业务特征相关的威胁和漏洞,从“黑客”的角度洞察不法分子的攻击动机和活动路径。这有助于企业提前了解所面临的风险,正视安全防护的不足,防患于未然。6.优先购买具有内置安全功能的电子设备。远程办公模式下,员工个人电脑、笔记本等设备在企业数字化业务中更为普及。但是,一般情况下,个人用户在购买电子产品时,并不会把安全性和可靠性放在首位。为了更好地保护企业业务系统的安全,企业应为员工提供内置安全模块和保护机制的计算机设备,如具有远程恢复功能和自我安全修复功能的设备,以便员工在遇到个人问题时能够快速响应。计算机受到攻击。7、增加云访问安全代理(CASB)随着企业业务系统向云端迁移和远程办公的普及,企业可以通过实施云访问安全代理(CASB)或类似的控制措施来限制人员对云信息的访问,因此以保护企业的敏感资产。8.不在社交媒体上分享企业隐私数据。对于中小企业来说,每一点进步和成长都可能引人瞩目,但在社交媒体上过度披露企业的领域、网络信息、客户状况等,会暴露自己(甚至客户)网络攻击。黑客可以通过URL扫描漏洞并获得管理员权限,并且公开客户名称也会让黑客利用您的企业名称通过钓鱼邮件攻击客户。9、对重要数据进行加密中小企业应充分利用密码技术,对企业客户信息数据等重要业务数据采用端到端加密。中小企业在设计业务流程时应考虑客户信息资产的保护,始终把保护客户信息放在首位,从而获得客户的信任,建立用户忠诚度。10、使用MITREATT&CK框架通过MITREATT&CK框架中的防护知识和威胁数据,企业信息安全负责人不仅可以很好地了解攻击者的战术、技术和攻击方法,还可以结合企业本身面临的威胁,预测不良行为者可能如何攻击您的企业。11、部署使用单点登录单点登录是一种身份验证方法,使用户可以使用一次登录获得一组凭据来访问多个应用程序,这不仅可以更容易地授予、审核和撤销个人用户'访问公司资源,还可以降低密码被盗和其他安全漏洞的风险。12、定期进行漏洞扫描对于中小企业用户来说,制定并定期执行漏洞扫描计划会达到很好的防护效果。网上有很多漏洞管理专业服务商,提供免费的解决方案。推荐使用OWASP工具列表。随着中小企业业务的不断发展和变化,建议每月定期进行漏洞扫描,发现新的安全漏洞并及时修补。13、实施第三方IT审计通过第三方IT审计服务,可以帮助中小企业检查自己是否遭受过网络攻击,是否存在未知的风险隐患。在企业做出重大战略决策之前,有效的外部审计可以帮助企业更清楚地了解被忽视的网络安全问题,审计结果更有利于帮助企业保护IT资产和做出决策。14、购买网络安全保险由于缺乏专业的防护能力,小企业应考虑购买网络安全保险,以减少可能发生的安全事件损失。通过合适的网络安全政策,可以补偿中小企业可能遭受的安全损失、勒索软件赎金、风险评估成本、监管罚款和法律诉讼成本,甚至网络入侵后购买保护措施的成本。15、及时了解网络安全动态为增强网络安全能力,中小企业需要了解最新的网络攻击手段和网络安全新闻,密切关注漏洞信息和安全防护方案。魔方在前,路在高处,如果企业不了解最新的攻击方式,就可能将自己的业务和客户数据置于新的风险之中。16.建立动态改进流程。网络安全不能仅仅依靠单个安全产品的上市,而是需要一个完整的系统架构和流程,将安全防护措施融入到每一个工作流程、每一个建设阶段、每一个决策中。在此过程中,形成了企业的网络安全方案手册。安全建设需要不断动态改进,才能取得更好的效果。参考链接https://www.forbes.com/sites/forbestechcouncil/2022/05/17/16-effective-ways-a-small-business-can-enhance-its-cybersecurity-profile/?sh=66714fb35191
