許多小企業(yè)認(rèn)為,由于自己普遍缺少有價(jià)值的信息(比如客戶數(shù)據(jù)或計(jì)算資源),不會(huì)受到網(wǎng)絡(luò)攻擊,但事實(shí)遠(yuǎn)非如此。小企業(yè)對(duì)網(wǎng)絡(luò)犯罪分子的吸引力在于,它們有寶貴的資產(chǎn)可以竊取,而且保護(hù)措施薄弱。許多小企業(yè)擔(dān)心自己沒有足夠的資金或人力來加強(qiáng)安全。
盡管針對(duì)小企業(yè)的網(wǎng)絡(luò)攻擊在增加,但并非所有企業(yè)主都有相應(yīng)的回應(yīng)。據(jù)PurpleSec的數(shù)據(jù)顯示,新冠疫情期間的網(wǎng)絡(luò)犯罪猛增了600%,預(yù)計(jì)到2025年會(huì)以同樣的幅度增加。以為小企業(yè)很少考慮網(wǎng)絡(luò)安全有失公允,但許多人確實(shí)這么認(rèn)為。盡管網(wǎng)上充斥著令人擔(dān)憂的數(shù)據(jù)和故事,但許多小企業(yè)經(jīng)常會(huì)淡化網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。
下面列出了小企業(yè)保護(hù)自己免受網(wǎng)絡(luò)攻擊的幾個(gè)方法。
1. 使用更安全的密碼
即使像多因素身份驗(yàn)證(MFA)這樣的身份驗(yàn)證系統(tǒng)越來越流行,密碼在網(wǎng)絡(luò)安全界依然至關(guān)重要。可以使用結(jié)合大小寫字母、數(shù)字和符號(hào)的長(zhǎng)通行短語(yǔ)或長(zhǎng)密碼,以此提升密碼強(qiáng)度。每次使用的密碼都應(yīng)該不一樣。
長(zhǎng)而難記的密碼使用起來可能很麻煩,這可能會(huì)助長(zhǎng)不良行為(比如針對(duì)多個(gè)帳戶重復(fù)使用稍加改動(dòng)的密碼)。由于網(wǎng)上有數(shù)十億個(gè)被盜密碼,網(wǎng)絡(luò)犯罪分子只需基于現(xiàn)有或過時(shí)的密碼就能猜中密碼。應(yīng)該使用密碼管理器來生成和記住強(qiáng)密碼。
2. 使用幾個(gè)安全因素來驗(yàn)證身份
大大小小企業(yè)的安全管理人員都應(yīng)該為所有企業(yè)和基于Web的登錄和系統(tǒng)協(xié)議實(shí)施MFA。即使攻擊者使用一種技術(shù)(比如電子郵件網(wǎng)絡(luò)釣魚)獲得了密碼,他們?nèi)孕枰褂玫诙€(gè)(有時(shí)是第三個(gè))身份驗(yàn)證因素,比如人臉掃描或生物特征識(shí)別指紋、手機(jī)或硬件密鑰。
雖然MFA最初是為大型組織和政府設(shè)計(jì)的,但現(xiàn)在它也可用于較小的帳戶、移動(dòng)設(shè)備和企業(yè)。MFA是當(dāng)今最廣泛采用、最重要的身份驗(yàn)證標(biāo)準(zhǔn)之一。實(shí)際上,現(xiàn)代基于云的MFA解決方案允許通過員工智能手機(jī)進(jìn)行身份驗(yàn)證,很少需要專門硬件。
3.定期更新你的設(shè)備
由于這個(gè)原因,使用最新的安全更新和補(bǔ)丁頻繁升級(jí)軟硬件至關(guān)重要,因?yàn)閻阂夥肿涌偸窃诓粩鄬ふ倚路椒ǎ员阃ㄟ^網(wǎng)絡(luò)和設(shè)備中的漏洞滲入網(wǎng)絡(luò)和設(shè)備。最新的軟件更新可能是惡意軟件與應(yīng)對(duì)惡意軟件的人之間的唯一一道屏障。這些補(bǔ)丁通過防止勒索軟件及其他惡意軟件進(jìn)入系統(tǒng)來加強(qiáng)防御。確保補(bǔ)丁是當(dāng)前版本。
員工是抵御網(wǎng)絡(luò)攻擊的第一道防線;因此,他們需要接受教育和培訓(xùn),了解黑客可能使用的潛在威脅和入口點(diǎn)。最佳實(shí)踐、適當(dāng)?shù)囊?guī)程、禁止的行為以及解決惡意或可疑網(wǎng)絡(luò)活動(dòng)導(dǎo)致的問題,都應(yīng)該成為員工培訓(xùn)和指導(dǎo)的核心。
4. 考慮使用托管服務(wù)提供商(MSP)
人們普遍認(rèn)為,只有大企業(yè)才雇得起網(wǎng)絡(luò)安全專業(yè)人員來保護(hù)自己免受網(wǎng)絡(luò)漏洞和攻擊。因此,在過去小企業(yè)將稀缺的IT資源投入到加強(qiáng)網(wǎng)絡(luò)防御之外的工作上。而現(xiàn)在,小企業(yè)比以往任何時(shí)候更需要與大企業(yè)同等水平的互聯(lián)網(wǎng)安全。許多企業(yè)可以通過與MSP合作來獲得企業(yè)級(jí)保護(hù),而不是聘請(qǐng)全職的內(nèi)部網(wǎng)絡(luò)安全專業(yè)人員。
5. 制定移動(dòng)設(shè)備使用策略
當(dāng)移動(dòng)設(shè)備可以訪問敏感的企業(yè)數(shù)據(jù)或用于遠(yuǎn)程工作時(shí),它們可能難以監(jiān)控和保護(hù)。應(yīng)要求用戶在使用公共網(wǎng)絡(luò)時(shí)對(duì)設(shè)備進(jìn)行密碼保護(hù)、加密數(shù)據(jù)和使用安全軟件,從而保護(hù)敏感信息。確保建立報(bào)告丟失或被盜裝備的協(xié)議。
6. 為重要的企業(yè)記錄和文件創(chuàng)建副本,以防萬(wàn)一
確保所有的PC都有定期備份。必要數(shù)據(jù)包含各種類型的文檔,包括在文字處理軟件、數(shù)據(jù)庫(kù)、電子電子表格、財(cái)務(wù)文件、人力資源文件和帳戶記錄中創(chuàng)建的文檔。為了確保這些關(guān)鍵信息的安全性和可用性,建議每周創(chuàng)建一次異地備份或基于云的備份,如果可行,甚至可以更頻繁地創(chuàng)建備份。
7. 保護(hù)Wi-Fi網(wǎng)絡(luò)
確保小企業(yè)和Wi-Fi設(shè)置的安全至關(guān)重要。避免使用過時(shí)和不太安全的加密方法。配置企業(yè)的無線接入點(diǎn)或路由器以停止廣播網(wǎng)絡(luò)名稱(又叫服務(wù)集標(biāo)識(shí)符,SSID)。這使企業(yè)的網(wǎng)絡(luò)不容易被潛在的攻擊者看到。為訪問路由器設(shè)置創(chuàng)建一個(gè)獨(dú)特的強(qiáng)密碼。這有助于防止未經(jīng)授權(quán)的個(gè)人修改網(wǎng)絡(luò)配置。
8. 采用小企業(yè)支付卡的最佳實(shí)踐
與信譽(yù)良好的銀行或支付處理商密切合作,它們常提供可信賴、經(jīng)過驗(yàn)證的工具和反欺詐服務(wù)。與它們協(xié)商,實(shí)施用于處理支付卡的強(qiáng)有力的安全措施。視企業(yè)與銀行或處理商的協(xié)議而定,貴企業(yè)可能需要履行額外的安全義務(wù)。
確保貴企業(yè)滿足這些要求,以維護(hù)安全的支付卡環(huán)境。將企業(yè)的支付系統(tǒng)與其他安全措施較弱的計(jì)算機(jī)程序隔離開來。避免使用同一臺(tái)計(jì)算機(jī)用于處理支付和瀏覽網(wǎng)頁(yè)。通過將一臺(tái)單獨(dú)的計(jì)算機(jī)專門用于支付處理,企業(yè)可以盡量減小惡意軟件感染和未經(jīng)授權(quán)訪問支付信息的可能性。
9. 完成安全審計(jì)
你覺得安全遠(yuǎn)離在線攻擊嗎?你是否在一些情況下覺得安全,但在另一些情況下覺得不安全?評(píng)估當(dāng)前的安全級(jí)別,看看如何提高安全級(jí)別。花一個(gè)小時(shí)對(duì)當(dāng)前的網(wǎng)絡(luò)安全保障進(jìn)行簡(jiǎn)短的審計(jì)可能是值得的,即使小企業(yè)可能采取的大多數(shù)步驟會(huì)花費(fèi)比這更長(zhǎng)的時(shí)間。
如果還沒有,那么為設(shè)備、數(shù)據(jù)和網(wǎng)絡(luò)起草一項(xiàng)可接受的使用策略是個(gè)好主意。如果連這都看起來太難了,那就利用這段時(shí)間去找一位當(dāng)?shù)氐腎T專家來幫助你。不要不情愿尋求專業(yè)網(wǎng)絡(luò)安全顧問的幫助。通過參加相關(guān)課題的研討會(huì)或課程,你可以更好地讓員工了解最緊迫的網(wǎng)絡(luò)安全問題。
10. 使用密碼管理器
要記住多個(gè)復(fù)雜的密碼并非易事,畢竟每個(gè)設(shè)備或帳戶都有一個(gè)密碼。員工每次都要記住并輸入復(fù)雜的密碼,這降低了工作效率。出于這個(gè)原因,許多企業(yè)現(xiàn)在使用密碼管理軟件。
這些密碼管理器可以跟蹤企業(yè)的所有登錄信息,包括用戶名、密碼和安全問題的答案。這允許用戶將所有憑據(jù)保存在一個(gè)集中的位置,從而減少了用戶需要記住的密碼或PIN的數(shù)量。許多密碼管理器還會(huì)在用戶使用以前用過的密碼時(shí)發(fā)出警告,并提示用戶定期更改密碼。
11. 連接到VPN
使用VPN可以提高貴企業(yè)數(shù)據(jù)傳輸?shù)陌踩浴J褂锰摂M專用網(wǎng)(VPN),企業(yè)員工可以從世界上任何地方安全地連接到企業(yè)網(wǎng)絡(luò)。VPN通過將自己插入到互聯(lián)網(wǎng)連接和員工試圖訪問的網(wǎng)站或服務(wù)之間來實(shí)現(xiàn)這一點(diǎn),從而掩蓋你的真實(shí)位置和IP地址。在任何共享互聯(lián)網(wǎng)連接的地方(比如咖啡店、機(jī)場(chǎng)或愛彼迎民宿),VPN都派得上用場(chǎng),但在用戶有可能被黑客攻擊的地方(比如咖啡店、機(jī)場(chǎng)或愛彼迎民宿)尤其有用。通過在設(shè)備和網(wǎng)絡(luò)之間創(chuàng)建一條經(jīng)過加密的隧道,VPN可以防止黑客獲取敏感信息。
12. 保護(hù)企業(yè)免受實(shí)際的物理盜竊
請(qǐng)記住,對(duì)企業(yè)網(wǎng)絡(luò)構(gòu)成威脅的不僅僅是黑客,硬件也可能被盜取。應(yīng)確保筆記本電腦、計(jì)算機(jī)、掃描儀及其他辦公設(shè)備避免未經(jīng)授權(quán)使用。你可以采取預(yù)防措施,鎖住或安裝物理跟蹤器,以防設(shè)備丟失或被盜。確保每個(gè)員工都意識(shí)到保護(hù)移動(dòng)設(shè)備上企業(yè)信息的重要性。
如果許多員工訪問同一個(gè)設(shè)備,建議他們每個(gè)人都有自己的用戶帳戶和配置文件。啟用遠(yuǎn)程擦除功能也是一個(gè)好主意,這將從遠(yuǎn)程位置刪除丟失或被盜設(shè)備中的所有數(shù)據(jù)。
結(jié)論
小企業(yè)和大企業(yè)一樣容易受到網(wǎng)絡(luò)攻擊。威脅分子之所以攻擊中小企業(yè),是由于它們不太可能擁有安全可靠的IT基礎(chǔ)設(shè)施或精通安全最佳實(shí)踐和當(dāng)前威脅的員工隊(duì)伍。一家企業(yè)容易受到勒索軟件等惡意軟件、數(shù)據(jù)盜竊、網(wǎng)絡(luò)釣魚攻擊及其他形式的網(wǎng)絡(luò)犯罪的脆弱性與企業(yè)規(guī)模沒有直接關(guān)系。上述這些簡(jiǎn)易的措施將大大有助于加強(qiáng)小企業(yè)的安全。
參考及來源:https://informationsecuritybuzz.com/12-ways-to-protect-small-businesses-from-cyberattacks/
