中小企业知道自己必须更加关注网络安全,以下几个领域就是他们目前最关心的:

1. 网络钓鱼激增

Webroot调查研究发现,全球IT决策者认为,网络钓鱼已经取代了其他新型恶意软件,成为今年公司企业最容易遭受的攻击。虽然网络钓鱼已存在多年,但曾经不在网络钓鱼攻击者目标范围内的中小企业如今已不再免疫,他们往往会被当成进入大型企业的跳板而加以攻击。

2. 勒索软件问题深化

Webroot研究发现,后WannaCry时代,在中小企业心中的威胁排行榜上,勒索软件今年从第五位爬升到了第三位,而英国的中小企业更是将勒索软件列在了最易遭受的攻击类型No.1的位置。Webroot的Tomeo称,这些结果遵循了他看到的市场现象,过去的一年里他的员工基本忙于处理勒索软件事件。

对很多小公司而言,被勒索软件攻击已成了他们的“恐慌时刻”,很多情况下他们会选择支付赎金——即使FBI建议他们不要这么做。然而,即便支付了赎金,诈骗犯们也可能只还给他们50%的文件,有时候甚至一份文件都不恢复。

3. 内部人威胁减少

距离斯诺登事件爆发已有5年,大部分中小企业不再对内部人威胁毫无防备:Webroot调查显示,全球仅25%的公司称内部人威胁依然成为问题。过去几年中大部分公司都开展了积极的教育项目,公司企业更小心谨慎地对待权限授予问题,雇员也更加了解来自内部的威胁。

坊间传言,相比大型咨询公司或拥有数千员工的国防承包商,中小企业这种员工间对彼此业务都很熟悉的环境,更不容易被心怀恶意的员工找到机会作恶。

4. 新恶意软件担忧持续

Webroot对3个国家安全人员的调查表明,新形式的恶意软件感染仍然是安全人员比较关心的重点。在美国,担忧新型恶意软件的占比37%,澳大利亚34%,英国32%。攻击者持续推出新型恶意软件,让安全公司忙于跟进。现在的情况显然与5年或10年前大不相同。在过去,安全人员添加个病毒特征码就能挡住一个已知恶意软件。今天,很多新恶意软件动态改变特征码,当前威胁环境变得极为棘手。

5. 培训项目并不持续

太多公司企业的培训项目没有保持连贯性。比如说,接受信用卡的公司就没跟进年度PCI培训。公司企业要么做一遍培训就完事,要么只对CEO或董事做培训,而将负责具体事务的员工排除在外。

Webroot做安全培训的方法是在每次事件发生时插入培训内容。举个例子,当某员工点击了恶意链接,系统就会弹出一段2分钟的可疑连接点击后果教育视频。在事件发生当时做培训,会让员工更容易记住教训,也让公司避免了浪费整块工作时间搞培训。而最糟糕的培训方式,就是所谓的“照单划勾”式培训——每年搞一两次形式化的培训,没人认真对待,效果根本没有。

6. 安全事件损失下降

Webroot和卡巴斯基的研究在安全事件的损失额度上出现了分歧。Webroot报告称安全事件平均损失为52.7万美元,下降了9%,而卡巴斯基将这个数字定在了12万美元。不过,卡巴斯基称,企业规模不同,安全事件所致损失数额也有较大差异,员工数在500人以下的中小企业平均损失在20万美元,500-999人规模的中小企业遭遇安全事件的平均损失约为100万美元。公司企业计算安全事件损失时,还必须考虑罚款、律师费、缓解工作开支和信誉损失所致的业务损失。

7. 安全预算增长

卡巴斯基指出,中小企业安全预算从2017年的20.1万美元增长到了2018年的24.6万美元。小微企业安全预算涨幅最大,过去12月来从2400美元增加到3900美元。这表明,即便是最微小的公司,如今也开始正视IT安全问题了。

卡巴斯基称,小公司往往负担不起聘请年薪15-20万美元的CISO,但越来越多的小公司开始诉诸于业内流行的“CISO租赁”概念。公司企业可以租借CISO来搞培训,或者花费CISO一段时间评估他们的整体安全准备度,然后请CISO定期回访查看公司安全的进展。

8. 代价最高昂的安全事件发生在云提供商身上

卡巴斯基的报告显示,影响第三方托管IT基础设施的攻击,是中小企业面临的代价最高昂的威胁之一。中小企业平均要花费11.8万美元才能从此类攻击中恢复,其次就是涉非计算型物联网设备的事件——9.8万美元。AWS和微软Azure之类大型公共云提供商兵强马壮,而很多终端解决方案云提供商并没有把安全当成头等大事看待。中小企业主在签下新服务时应慎重考虑。

9. 技术复杂性驱动安全投资

卡巴斯基报告称,超过1/3的公司企业将IT基础设施复杂度的增加和提升专业安全知识的需求作为投资网络安全的动机。在边界上搭建防火墙来保护护城河的时代一去不复返。今天,移动性驱动业务应用,而业务的方方面面几乎都依赖IT。有太多的基础设施需要保护,太多的设备和应用需要锁定。于是,专精某方面安全技能的安全人员投入也就更大了,DDoS攻击、网络钓鱼、Office 365、云、IoT,各方面都需要相应的安全人手

相关阅读

【CS论坛】中小企业存大量安全需求--合理规划控制风险