中小企業知道自己必須更加關注網絡安全,以下幾個領域就是他們目前最關心的:
1. 網絡釣魚激增
Webroot調查研究發現,全球IT決策者認為,網絡釣魚已經取代了其他新型惡意軟件,成為今年公司企業最容易遭受的攻擊。雖然網絡釣魚已存在多年,但曾經不在網絡釣魚攻擊者目標範圍內的中小企業如今已不再免疫,他們往往會被當成進入大型企業的跳板而加以攻擊。
2. 勒索軟件問題深化
Webroot研究發現,後WannaCry時代,在中小企業心中的威脅排行榜上,勒索軟件今年從第五位爬升到了第三位,而英國的中小企業更是將勒索軟件列在了最易遭受的攻擊類型No.1的位置。Webroot的Tomeo稱,這些結果遵循了他看到的市場現象,過去的一年裡他的員工基本忙於處理勒索軟件事件。
對很多小公司而言,被勒索軟件攻擊已成了他們的“恐慌時刻”,很多情況下他們會選擇支付贖金——即使FBI建議他們不要這麼做。然而,即便支付了贖金,詐騙犯們也可能只還給他們50%的文件,有時候甚至一份文件都不恢復。
3. 內部人威脅減少
距離斯諾登事件爆發已有5年,大部分中小企業不再對內部人威脅毫無防備:Webroot調查顯示,全球僅25%的公司稱內部人威脅依然成為問題。過去幾年中大部分公司都開展了積極的教育項目,公司企業更小心謹慎地對待權限授予問題,僱員也更加了解來自內部的威脅。
坊間傳言,相比大型諮詢公司或擁有數千員工的國防承包商,中小企業這種員工間對彼此業務都很熟悉的環境,更不容易被心懷惡意的員工找到機會作惡。
4. 新惡意軟件擔憂持續
Webroot對3個國家安全人員的調查表明,新形式的惡意軟件感染仍然是安全人員比較關心的重點。在美國,擔憂新型惡意軟件的佔比37%,澳大利亞34%,英國32%。攻擊者持續推出新型惡意軟件,讓安全公司忙於跟進。現在的情況顯然與5年或10年前大不相同。在過去,安全人員添加個病毒特徵碼就能擋住一個已知惡意軟件。今天,很多新惡意軟件動態改變特徵碼,當前威脅環境變得極為棘手。
5. 培訓項目並不持續
太多公司企業的培訓項目沒有保持連貫性。比如說,接受信用卡的公司就沒跟進年度PCI培訓。公司企業要麼做一遍培訓就完事,要麼只對CEO或董事做培訓,而將負責具體事務的員工排除在外。
Webroot做安全培訓的方法是在每次事件發生時插入培訓內容。舉個例子,當某員工點擊了惡意鏈接,系統就會彈出一段2分鐘的可疑連接點擊後果教育視頻。在事件發生當時做培訓,會讓員工更容易記住教訓,也讓公司避免了浪費整塊工作時間搞培訓。而最糟糕的培訓方式,就是所謂的“照單劃勾”式培訓——每年搞一兩次形式化的培訓,沒人認真對待,效果根本沒有。
6. 安全事件損失下降
Webroot和卡巴斯基的研究在安全事件的損失額度上出現了分歧。Webroot報告稱安全事件平均損失為52.7萬美元,下降了9%,而卡巴斯基將這個數字定在了12萬美元。不過,卡巴斯基稱,企業規模不同,安全事件所致損失數額也有較大差異,員工數在500人以下的中小企業平均損失在20萬美元,500-999人規模的中小企業遭遇安全事件的平均損失約為100萬美元。公司企業計算安全事件損失時,還必須考慮罰款、律師費、緩解工作開支和信譽損失所致的業務損失。
7. 安全預算增長
卡巴斯基指出,中小企業安全預算從2017年的20.1萬美元增長到了2018年的24.6萬美元。小微企業安全預算漲幅最大,過去12月來從2400美元增加到3900美元。這表明,即便是最微小的公司,如今也開始正視IT安全問題了。
卡巴斯基稱,小公司往往負擔不起聘請年薪15-20萬美元的CISO,但越來越多的小公司開始訴諸於業內流行的“CISO租賃”概念。公司企業可以租借CISO來搞培訓,或者花費CISO一段時間評估他們的整體安全準備度,然後請CISO定期回訪查看公司安全的進展。
8. 代價最高昂的安全事件發生在雲提供商身上
卡巴斯基的報告顯示,影響第三方託管IT基礎設施的攻擊,是中小企業面臨的代價最高昂的威脅之一。中小企業平均要花費11.8萬美元才能從此類攻擊中恢復,其次就是涉非計算型物聯網設備的事件——9.8萬美元。AWS和微軟Azure之類大型公共雲提供商兵強馬壯,而很多終端解決方案雲提供商並沒有把安全當成頭等大事看待。中小企業主在簽下新服務時應慎重考慮。
9. 技術複雜性驅動安全投資
卡巴斯基報告稱,超過1/3的公司企業將IT基礎設施複雜度的增加和提升專業安全知識的需求作為投資網絡安全的動機。在邊界上搭建防火牆來保護護城河的時代一去不復返。今天,移動性驅動業務應用,而業務的方方面面幾乎都依賴IT。有太多的基礎設施需要保護,太多的設備和應用需要鎖定。於是,專精某方面安全技能的安全人員投入也就更大了,DDoS攻擊、網絡釣魚、Office 365、雲、IoT,各方面都需要相應的安全人手。
閱讀更多 安全牛 的文章
