2020年數(shù)據(jù)報(bào)告表明，網(wǎng)絡(luò)犯罪分子不在乎您的企業(yè)規(guī)模有多大，他們無(wú)論如何都希望獲得您的憑據(jù)和數(shù)據(jù)。每個(gè)行業(yè)的所有類(lèi)型和規(guī)模的企業(yè)都可能發(fā)生數(shù)據(jù)泄露事件，而小型企業(yè)也是如此。那么中小企業(yè)數(shù)據(jù)泄露的主要原因有哪些？在加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作方面，小型企業(yè)可以在很多方面做得很好，并且在某些地方往往會(huì)有所作為。

　　5個(gè)中小企業(yè)數(shù)據(jù)泄露的主要原因

　　1.小企業(yè)認(rèn)為自己“太小”無(wú)法成為目標(biāo)

中小型企業(yè)犯下的最大的數(shù)據(jù)安全錯(cuò)誤是，認(rèn)為他們的業(yè)務(wù)規(guī)模太小，無(wú)法被網(wǎng)絡(luò)犯罪分子所針對(duì)。僅僅因?yàn)槟钠髽I(yè)被歸類(lèi)為“小型企業(yè)”，并不意味著網(wǎng)絡(luò)犯罪分子將魔術(shù)般地選擇忽略它。

企業(yè)協(xié)會(huì)表示，小型企業(yè)可以擁有1500名以上的員工，或者年收入最高為4150萬(wàn)美元，因此在實(shí)際上被認(rèn)為是小型企業(yè)的地方還有很多回旋余地。

認(rèn)為您的業(yè)務(wù)規(guī)模太小，不值得網(wǎng)絡(luò)罪犯付出努力?再想一想。如果您的企業(yè)擁有任何類(lèi)型的數(shù)據(jù)-客戶(hù)的個(gè)人身份信息，員工憑證，財(cái)務(wù)記錄，知識(shí)產(chǎn)權(quán)，商業(yè)秘密-那么他們就會(huì)想要它。

像Smeagol和他的戒指一樣，您的數(shù)據(jù)對(duì)于網(wǎng)絡(luò)犯罪分子而言是寶貴的。

為什么?因?yàn)樗麄兛梢允褂盟M(jìn)行欺詐，竊取金錢(qián)或?qū)⑵涑鍪劢o競(jìng)爭(zhēng)對(duì)手或其他網(wǎng)絡(luò)犯罪分子。是的，網(wǎng)絡(luò)罪犯是如此貪婪。

簡(jiǎn)而言之，您和您的客戶(hù)都無(wú)法負(fù)擔(dān)對(duì)網(wǎng)絡(luò)安全性的自滿(mǎn)。

　　2.不向員工和其他授權(quán)用戶(hù)提供網(wǎng)絡(luò)意識(shí)培訓(xùn)

在許多情況下，員工的社會(huì)工程學(xué)意識(shí)和網(wǎng)絡(luò)安全意識(shí)可能是網(wǎng)絡(luò)犯罪分子與您最有價(jià)值的數(shù)據(jù)之間唯一的關(guān)系。這就是為什么網(wǎng)絡(luò)安全意識(shí)培訓(xùn)是組織網(wǎng)絡(luò)防御的關(guān)鍵部分的原因。教育是幫助您的員工理解和認(rèn)識(shí)網(wǎng)絡(luò)上潛伏的不同類(lèi)型的社會(huì)工程策略和網(wǎng)絡(luò)威脅的方法。

不幸的是，并非所有組織都認(rèn)識(shí)到提供這種培訓(xùn)的價(jià)值。的結(jié)果數(shù)據(jù)安全調(diào)查2019顯示，只有不到三分之一的企業(yè)提供社會(huì)工程意識(shí)培訓(xùn)他們的員工。此外，該業(yè)務(wù)應(yīng)用程序和軟件發(fā)現(xiàn)平臺(tái)還報(bào)告說(shuō)，許多組織缺少通用數(shù)據(jù)安全性和網(wǎng)絡(luò)安全培訓(xùn)：

“ 最近的數(shù)據(jù)安全調(diào)查發(fā)現(xiàn)，有43%的受訪(fǎng)者表示他們的公司沒(méi)有定期提供數(shù)據(jù)安全培訓(xùn);8%的人表示 從未接受過(guò)培訓(xùn)。”

但是為什么這次培訓(xùn)如此重要?數(shù)據(jù)指出，網(wǎng)絡(luò)犯罪分子最關(guān)心的是如何從任何組織訪(fǎng)問(wèn)憑據(jù)和個(gè)人數(shù)據(jù)，而不論其規(guī)模如何。他們希望獲得您的信息的原因是因?yàn)樗顾麄兡軌蛟L(fǎng)問(wèn)使用這些憑據(jù)的任何帳戶(hù)以及這些帳戶(hù)有權(quán)訪(fǎng)問(wèn)的任何系統(tǒng)。畢竟，對(duì)于網(wǎng)絡(luò)罪犯而言，穿越前門(mén)要比通過(guò)防火墻闖入您的網(wǎng)絡(luò)要容易得多。

他們獲取此信息的一些方法是通過(guò)企業(yè)電子郵件泄露和網(wǎng)絡(luò)釣魚(yú)詐騙。對(duì)于全球企業(yè)而言，企業(yè)電子郵件泄露是一個(gè)巨大且代價(jià)高昂的問(wèn)題。報(bào)告說(shuō)，它收到23775個(gè)投訴BEC，導(dǎo)致超過(guò)17十億的損失$ 2019年獨(dú)自一人。

報(bào)告稱(chēng)，他們?cè)?019年觀(guān)察到的多達(dá)99%的成功的網(wǎng)絡(luò)釣魚(yú)攻擊需要人工干預(yù)。這意味著目標(biāo)做了一些最終使攻擊成功的措施。在許多情況下，這涉及員工未遵循網(wǎng)絡(luò)安全最佳實(shí)踐的情況。他們的錯(cuò)誤決定導(dǎo)致憑證和數(shù)據(jù)被盜，惡意軟件安裝，網(wǎng)絡(luò)欺詐以及許多其他問(wèn)題。

　　3.不控制或限制對(duì)網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)

毫無(wú)疑問(wèn)：網(wǎng)絡(luò)犯罪分子無(wú)論您的組織規(guī)模大小，都希望訪(fǎng)問(wèn)您的數(shù)據(jù)。如果外部威脅參與者能夠獲得合法的用戶(hù)憑據(jù)，他們將使用它來(lái)訪(fǎng)問(wèn)受感染用戶(hù)帳戶(hù)有權(quán)訪(fǎng)問(wèn)的任何系統(tǒng)。

但是，外部威脅并不是您唯一的問(wèn)題。有時(shí)，最大的網(wǎng)絡(luò)安全威脅是來(lái)自您自己組織內(nèi)部的威脅，通常被稱(chēng)為內(nèi)部威脅。

值得慶幸的是，您可以采取一些措施來(lái)限制內(nèi)部和外部網(wǎng)絡(luò)犯罪分子的影響范圍，并遏制其造成的破壞：實(shí)施訪(fǎng)問(wèn)控制。此過(guò)程涉及將網(wǎng)絡(luò)，數(shù)據(jù)庫(kù)和其他關(guān)鍵系統(tǒng)的訪(fǎng)問(wèn)權(quán)限限制為僅其工作確實(shí)需要訪(fǎng)問(wèn)的個(gè)人。

這意味著，無(wú)論人力資源部的詹姆斯有多少抱怨或說(shuō)不，他都沒(méi)有理由訪(fǎng)問(wèn)您的客戶(hù)數(shù)據(jù)。想要或需要訪(fǎng)問(wèn)數(shù)據(jù)的人之間存在很大的差異-識(shí)別差異并采取措施限制訪(fǎng)問(wèn)至關(guān)重要。

　　4.不執(zhí)行及時(shí)的更新和修補(bǔ)

經(jīng)營(yíng)使用過(guò)時(shí)的舊設(shè)備運(yùn)行的業(yè)務(wù)就像穿著破爛的盔甲的戰(zhàn)斗。您將遭受很多損害，并且可能最終會(huì)在沒(méi)有及時(shí)干預(yù)的情況下屈服。

如果不定期更新和修補(bǔ)系統(tǒng)，則會(huì)在網(wǎng)絡(luò)防御中留下巨大的漏洞。我說(shuō)的是足夠大的孔，以至于M卡車(chē)可以從中犁過(guò)。為了抵御這些漏洞，制造商發(fā)布了更新和補(bǔ)丁程序，希望他們能夠在被黑客和其他網(wǎng)絡(luò)罪犯利用之前填補(bǔ)這些漏洞。

但是，如果您不及時(shí)應(yīng)用這些補(bǔ)丁之一，會(huì)發(fā)生什么？無(wú)法應(yīng)用更新和補(bǔ)丁的最明顯例子之一就是2017年WannaCry慘敗。盡管Microsoft發(fā)布了可消除其舊版Windows操作系統(tǒng)漏洞的補(bǔ)丁程序，但全球所有規(guī)模的組織和企業(yè)都發(fā)現(xiàn)自己是大規(guī)模勒索軟件攻擊的目標(biāo)，原因很簡(jiǎn)單：他們沒(méi)有應(yīng)用該補(bǔ)丁程序。

另一個(gè)重要的例子是某公司數(shù)據(jù)泄露。這一特別具有破壞性的漏洞暴露了許多國(guó)家億萬(wàn)消費(fèi)者的個(gè)人和財(cái)務(wù)數(shù)據(jù)。如果信用報(bào)告機(jī)構(gòu)在兩個(gè)月前首次發(fā)布該應(yīng)用程序時(shí)已應(yīng)用了一個(gè)Web應(yīng)用程序漏洞補(bǔ)丁程序，他們可能會(huì)完全避免了數(shù)據(jù)泄露。

　　5.不采用深度防御方法來(lái)保護(hù)網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全并不是要100%不受攻擊，而是要使自己比旁邊的人更堅(jiān)強(qiáng)。如果網(wǎng)絡(luò)罪犯可以選擇黑客入侵您的高度防御性網(wǎng)絡(luò)或競(jìng)爭(zhēng)對(duì)手的脆弱網(wǎng)絡(luò)，那么您認(rèn)為他們更傾向于攻擊哪家公司？我會(huì)給您一個(gè)提示：這家公司沒(méi)有虛擬的鋼制障礙物和火箭筒。

除非您了解其他網(wǎng)絡(luò)安全領(lǐng)域所不具備的知識(shí)，否則就不可能阻止每次網(wǎng)絡(luò)攻擊。而且，沒(méi)有任何一種工具或方法可以使您100%抵御網(wǎng)絡(luò)威脅。但是，采用縱深防御策略是使您的中小型企業(yè)成為一個(gè)更艱難的目標(biāo)的關(guān)鍵……這就是任何人都可以期望的。

縱深防御，這個(gè)起源于軍事領(lǐng)域的術(shù)語(yǔ)，是一種整體方法，可以彌補(bǔ)漏洞并保護(hù)您的數(shù)據(jù)。它是旨在檢測(cè)和緩解威脅的工具和策略的組合。這里的想法是通過(guò)多種策略來(lái)管理風(fēng)險(xiǎn)，這些策略可能會(huì)導(dǎo)致另一層防御失敗。

　　您可以做什么來(lái)保護(hù)您的小型企業(yè)

好的，所以您知道SMB放棄的一些重要方式。但是，您可以怎么做以確保自己也不會(huì)感到困惑呢？您可以付諸實(shí)踐的深度防御工具和方法的示例包括：

· 優(yōu)先考慮應(yīng)用更新和補(bǔ)丁程序，以使您的軟件應(yīng)用程序，操作系統(tǒng)，服務(wù)器和其他IT基礎(chǔ)結(jié)構(gòu)保持最新。

· 實(shí)施網(wǎng)絡(luò)外圍防御工具和過(guò)程。

· 使用自動(dòng)化工具和技術(shù)來(lái)檢測(cè)威脅。

· 過(guò)濾網(wǎng)絡(luò)和電子郵件流量。

· 將訪(fǎng)問(wèn)權(quán)限限制為僅授權(quán)個(gè)人。

· 評(píng)估您的供應(yīng)商及其網(wǎng)絡(luò)安全策略，流程和過(guò)程。

· 提供員工培訓(xùn)并執(zhí)行政策和程序。

強(qiáng)大的數(shù)據(jù)安全性的另一個(gè)關(guān)鍵組件是正確配置和管理的公鑰基礎(chǔ)結(jié)構(gòu)。眾所周知，PKI是一種總體系統(tǒng)和框架，其中包含對(duì)各方進(jìn)行身份驗(yàn)證并保護(hù)您在線(xiàn)發(fā)送和接收的所有數(shù)據(jù)的策略，流程，過(guò)程和技術(shù)的系統(tǒng)。

這包括所有類(lèi)型的數(shù)據(jù)-從網(wǎng)站交易和電子郵件到移動(dòng)應(yīng)用程序和軟件的所有內(nèi)容。

但是，如果您是一家小型企業(yè)卻負(fù)擔(dān)不起許多精美的工具和多個(gè)IT員工使用它們，該怎么辦？你不是一個(gè)人。你的鞋子里有很多公司。但是，好消息是，即使沒(méi)有大型團(tuán)隊(duì)，您仍然可以通過(guò)多種方式保護(hù)自己的業(yè)務(wù)。同樣，另一種選擇是將您的網(wǎng)絡(luò)安全需求外包給托管安全即服務(wù)提供商。

無(wú)論選擇哪種方法，保護(hù)自己的小企業(yè)總比什么都不做好。盡一切可能使自己成為比其他中小企業(yè)更具挑戰(zhàn)性的目標(biāo)。想了解更多關(guān)于數(shù)據(jù)安全的信息，請(qǐng)繼續(xù)關(guān)注中培偉業(yè)。