如何保护您的小型企业免受破坏性网络攻击

已发表: 2021-10-26

保护您的小型企业

10 月被国土安全部指定为国家网络安全意识月。 虽然您可能认为您的企业太小而不必担心网络安全,但您错了。

我最近与凤凰城大学首席网络安全学院和 Trace3 首席安全顾问 Stephanie Benoit-Kurtz 讨论了小企业主如何最好地保护他们的公司免受网络攻击。

许多小企业主和初创公司认为他们的企业太小,网络犯罪分子无法攻破。 我知道那是错误的。 小企业面临哪些危险?

Stephanie Benoit-Kurtz:小型企业成为目标有几个原因。 不良行为者意识到他们可能没有大型 IT 团队或系统来响应或预防事件。 根据 FBI 的数据,2020 年网络犯罪给企业造成的损失超过 2.7B 美元。有超过 791,000 起投诉,不良行为者正在努力通过努力获利。

小型企业应注意哪些网络安全风险?

Benoit-Kurtz:随着大大小小的组织受到攻击,SMB 攻击的频率越来越高,现在正在缩小与大型组织的差距。 据 Verizon 称,在DBIR 报告中,较小的组织违规行为的频率逐年增加。 系统入侵仍然是导致事件的主要原因之一。 这是不良行为者获得对数据和系统的访问权限的时候。

小型企业最常见的网络威胁是什么? 如果您经营虚拟/远程业务,这些会有所不同吗?

Benoit-Kurtz:电子邮件和社会工程诈骗继续对所有企业造成严重破坏。 PWC 对几家金融机构进行了网络钓鱼模拟,70% 的电子邮件以 7% 的最终用户点击率发送。 只需单击一下即可将您的组织暴露给不良行为者。 大量有效载荷仍然通过电子邮件发送。 CISA 提供了一些关于如何避免成为网络钓鱼和社会工程受害者的重要提示。

这些问题在虚拟或远程业务与现场业务之间没有显着差异。 组织需要提供定期的网络钓鱼和社会工程培训以减少事件。 几位专家分享说,通过培训员工识别网络钓鱼和社会工程情况的组织,估计可以降低 70% 的风险。 在 COVID-19 大流行期间,这个问题仅呈指数级增长。 在2020 年网络钓鱼和欺诈报告中,F5 报告称网络钓鱼攻击在大流行期间增长了 220%。

最好的防御是良好的进攻,小企业应该投资于员工网络钓鱼和社会工程培训。 这些服务相对便宜,可以为小型企业提供额外的保护。

您有推荐的密码策略吗?

Benoit-Kurtz:另一个主要威胁是凭证盗窃。 登录名和密码是通过不安全的连接暴露出来的,或者是因为它们曾在被破坏的先前组织中使用过。 假设您的所有社交媒体、个人电子邮件和其他登录名和密码已在某处泄露。 对于您的工作帐户,请勿重复使用登录名或密码。

通常,当一个组织遭到破坏时,登录名和密码会在暗网上出售,黑客在那里购买列表,然后以鱼叉式钓鱼的方式寻找受害者。 第二个建议是让您的密码更复杂一些。 例如,不要使用您孩子或宠物的名字,而是使用包含特殊字符和数字的密码。 有时员工会遭受密码疲劳。 密码库可能是更好的解决方案。 这会创建唯一的密码,并为员工提供帮助他们管理帐户的工具。 PC Magazine发表了一篇关于“2021 年最佳密码管理器”的精彩文章,其中分解了不同解决方案的好处。

Benoit-Kurtz:如果员工在咖啡店、机场、酒店房间等地工作,你如何保证数据安全?

咖啡店、酒店、餐馆和机场的免费网络不安全。 这些方便且易于连接的服务是不受管理的,并且会攻击以毫无戒心的用户为食的黑客。 即使您需要输入您的酒店房间号或某种类型的密码,它也可能是一个未受保护的网络,您的个人和公司数据可能会面临风险。 考虑为员工提供允许安全网络访问的手机或热点数据计划。 这是您将计算机连接到手机或其他 LTE 设备的安全网络连接的地方。 这种类型的连接也适用于需要协作的团队。 ComputerWorld在“如何将智能手机用作移动热点”一文中详细介绍了这种简单的做法如何改善小型企业的安全状况。

什么是 VPN,小型企业如何设置 VPN?

Benoit-Kurtz:如果您必须在远程办公或远程工作时使用公共访问互联网,虚拟专用网络 (VPN) 是创建附加安全层的绝佳解决方案。 将 VPN 想象成一块糖果的包装。 包装纸可防止糖果进入,其他污染物无法进入。 VPN 软件为您的互联网连接提供加密保护,使黑客更难拦截通信。 另外,软件/服务相对便宜,小企业不需要自己搭建VPN。 相反,他们可以在市场上采购一种无需巨额成本即可提供安全性的产品。

您如何让员工遵守这些准则?

Benoit-Kurtz:可靠的安全计划的一部分包括意识培训、工具和使用指标。 小型企业必须保持警惕。 可以实施配置管理来强制员工的机器具有端点保护。 当您处于远程状态并且不允许连接到随机网络时,必须使用 VPN 客户端。 您还可以让它变得有趣,例如用礼品卡和公司纪念品奖励员工以保持合规。 认可做出努力的用户。

违约的成本是多少?

Benoit-Kurtz:简而言之,违规成本很高。 作为一家小型企业,您的声誉和对客户的信任可能会受到威胁。 Small Business Trends 估计小企业违规的平均成本为 25,000 美元。 IBM 在其年度数据泄露成本报告表示,在过去两年中,这些成本增加了 10% 以上。 但是,该成本不包括客户信心的丧失以及客户离开竞争时相关的业务损失。

确保您的小型企业网络安全是否昂贵?

Benoit-Kurtz:不,拥有强大的网络安全保护并不一定很昂贵。 把它想象成床上的毯子。 网络安全提供了多层不同的技术和流程来保护用户。 培训、VPN 软件、端点保护和热点都大大降低了风险,无需大量 IT 人员即可实施。 作为一家小型企业,请寻找安全合作伙伴来帮助您提供解决方案并在您的预算范围内进行扩展。

有很多很好的资源可以帮助小型企业的安全之旅。 SBA 发布了许多优秀的材料,并且有专门帮助公司踏上安全之旅的安全组织。 一个很好的开始方法是邀请安全合作伙伴提供安全风险评估并帮助您开始。 一个出色的安全合作伙伴不仅会帮助您找到薄弱环节,还会随着威胁形势的变化发展您的安全计划。 如果您没有安全合作伙伴,请做好功课并采访几个组织以找到合适的人选。

当然,您的 SCORE 导师可以帮助您做出正确的选择。 今天找一个。