如何保護您的小型企業免受破壞性網絡攻擊
已發表: 2021-10-26保護您的小型企業
10 月被國土安全部指定為國家網絡安全意識月。 雖然您可能認為您的企業太小而不必擔心網絡安全,但您錯了。
我最近與鳳凰城大學首席網絡安全學院和 Trace3 首席安全顧問 Stephanie Benoit-Kurtz 討論了小企業主如何最好地保護他們的公司免受網絡攻擊。
許多小企業主和初創公司認為他們的企業太小,網絡犯罪分子無法攻破。 我知道那是錯誤的。 小企業面臨哪些危險?
Stephanie Benoit-Kurtz:小型企業成為目標有幾個原因。 不良行為者意識到他們可能沒有大型 IT 團隊或系統來響應或預防事件。 根據 FBI 的數據,2020 年網絡犯罪給企業造成的損失超過 2.7B 美元。有超過 791,000 起投訴,不良行為者正在努力通過努力獲利。
小型企業應注意哪些網絡安全風險?
Benoit-Kurtz:隨著大大小小的組織受到攻擊,SMB 攻擊的頻率越來越高,現在正在縮小與大型組織的差距。 據 Verizon 稱,在DBIR 報告中,較小的組織違規行為的頻率逐年增加。 系統入侵仍然是導致事件的主要原因之一。 這是不良行為者獲得對數據和系統的訪問權限的時候。
小型企業最常見的網絡威脅是什麼? 如果您經營虛擬/遠程業務,這些會有所不同嗎?
Benoit-Kurtz:電子郵件和社會工程詐騙繼續對所有企業造成嚴重破壞。 PWC 對幾家金融機構進行了網絡釣魚模擬,70% 的電子郵件以 7% 的最終用戶點擊率發送。 只需單擊一下即可將您的組織暴露給不良行為者。 大量有效載荷仍然通過電子郵件發送。 CISA 提供了一些關於如何避免成為網絡釣魚和社會工程受害者的重要提示。
這些問題在虛擬或遠程業務與現場業務之間沒有顯著差異。 組織需要提供定期的網絡釣魚和社會工程培訓以減少事件。 幾位專家分享說,通過培訓員工識別網絡釣魚和社會工程情況的組織,估計可以降低 70% 的風險。 在 COVID-19 大流行期間,這個問題僅呈指數級增長。 在2020 年網絡釣魚和欺詐報告中,F5 報告稱網絡釣魚攻擊在大流行期間增長了 220%。
最好的防禦就是良好的進攻,小企業應該投資於員工網絡釣魚和社會工程培訓。 這些服務相對便宜,可以為小型企業提供額外的保護。
您有推薦的密碼策略嗎?
Benoit-Kurtz:另一個主要威脅是憑證盜竊。 登錄名和密碼是通過不安全的連接暴露出來的,或者是因為它們曾在被破壞的先前組織中使用過。 假設您的所有社交媒體、個人電子郵件和其他登錄名和密碼已在某處洩露。 對於您的工作帳戶,請勿重複使用登錄名或密碼。
通常,當一個組織遭到破壞時,登錄名和密碼會在暗網上出售,黑客在那裡購買列表,然後以魚叉式釣魚的方式尋找受害者。 第二個建議是讓您的密碼更複雜一些。 例如,不要使用您孩子或寵物的名字,而是使用包含特殊字符和數字的密碼。 有時員工會遭受密碼疲勞。 密碼庫可能是更好的解決方案。 這會創建唯一的密碼,並為員工提供幫助他們管理帳戶的工具。 PC Magazine發表了一篇關於“2021 年最佳密碼管理器”的精彩文章,其中分解了不同解決方案的好處。
Benoit-Kurtz:如果員工在咖啡店、機場、酒店房間等地工作,你如何保證數據安全?
咖啡店、酒店、餐館和機場的免費網絡不安全。 這些方便且易於連接的服務是不受管理的,並且會攻擊以毫無戒心的用戶為食的黑客。 即使您需要輸入您的酒店房間號或某種類型的密碼,它也可能是一個未受保護的網絡,您的個人和公司數據可能會面臨風險。 考慮為員工提供允許安全網絡訪問的手機或熱點數據計劃。 這是您將計算機連接到手機或其他 LTE 設備的安全網絡連接的地方。 這種類型的連接也適用於需要協作的團隊。 ComputerWorld在“如何將智能手機用作移動熱點”一文中詳細介紹了這種簡單的做法如何改善小型企業的安全狀況。
什麼是 VPN,小型企業如何設置 VPN?
Benoit-Kurtz:如果您必須在遠程辦公或遠程工作時使用公共訪問互聯網,虛擬專用網絡 (VPN) 是創建附加安全層的絕佳解決方案。 將 VPN 想像成一塊糖果的包裝。 包裝紙可防止糖果進入,其他污染物無法進入。 VPN 軟件為您的互聯網連接提供加密保護,使黑客更難攔截通信。 另外,軟件/服務相對便宜,小企業不需要自己搭建VPN。 相反,他們可以在市場上採購一種無需巨額成本即可提供安全性的產品。
您如何讓員工遵守這些準則?
Benoit-Kurtz:可靠的安全計劃的一部分包括意識培訓、工具和使用指標。 小型企業必須保持警惕。 可以實施配置管理來強制員工的機器具有端點保護。 當您處於遠程狀態並且不允許連接到隨機網絡時,必須使用 VPN 客戶端。 您還可以讓它變得有趣,例如用禮品卡和公司紀念品獎勵員工以保持合規。 認可做出努力的用戶。
違約的成本是多少?
Benoit-Kurtz:簡而言之,違規成本很高。 作為一家小型企業,您的聲譽和對客戶的信任可能會受到威脅。 Small Business Trends 估計小企業違規的平均成本為 25,000 美元。 IBM 在其年度數據洩露成本報告中表示,在過去兩年中,這些成本增加了 10% 以上。 但是,該成本不包括客戶信心的喪失以及客戶離開競爭時相關的業務損失。
確保您的小型企業網絡安全是否昂貴?
Benoit-Kurtz:不,擁有強大的網絡安全保護並不一定很昂貴。 把它想像成床上的毯子。 網絡安全提供了多層不同的技術和流程來保護用戶。 培訓、VPN 軟件、端點保護和熱點都大大降低了風險,無需大量 IT 人員即可實施。 作為一家小型企業,請尋找安全合作夥伴來幫助您提供解決方案並在您的預算範圍內進行擴展。
有很多很好的資源可以幫助小型企業的安全之旅。 SBA 發布了許多優秀的材料,並且有專門幫助公司踏上安全之旅的安全組織。 一個很好的開始方法是邀請安全合作夥伴提供安全風險評估並幫助您開始。 一個出色的安全合作夥伴不僅會幫助您找到薄弱環節,還會隨著威脅形勢的變化發展您的安全計劃。 如果您沒有安全合作夥伴,請做好功課並採訪幾個組織以找到合適的人選。
當然,您的 SCORE 導師可以幫助您做出正確的選擇。 今天找一個。