中小微企业如何应对巨大安全挑战?低成本+针对性强+力所能及是优先选

首页 / 业界 / 资讯 /  正文
作者:安全419
来源:安全419
发布于:2022-08-16
作为网络安全行业的专业媒体,每天我们都会关注发生在全球范围内的各种与网络安全有关的新闻,但相信大家也和我们感受一样,那就是只有那些规模较大的大型企业甚至是行业巨头会经常占据头条,诸如某某某昨天遭到勒索攻击导致业务中断,谁谁谁今天因为黑客攻击导致数据泄露等等,这里面的某某某和谁谁谁大多数时候都是耳熟能详的“大人物”,但实际上,中小企业是整体经济的重要贡献者,比如中小微企业对我国就有着“五六七八九”的贡献,具体则指的是他们贡献了我国50%以上的税收、60%以上的GDP、70%以上的技术创新、80%以上的城镇劳动就业以及90%以上的企业数量,而就欧盟而言,中小企业对经济的支柱作用也十分明显,他们代表了欧盟99%的企业,占欧洲GDP的一半以上,并且雇佣人数达到约1亿人,几乎在所有行业的发展中都发挥着关键作用。
 
由此可见,中小企业对于经济的贡献度并不逊于那些大型企业,而且在数字化转型的过程中,他们更是十分重要的力量,但同时我们也很清楚,很多企业面对疫情为了能够继续生存,不得不选择或加快了数字化转型,这种倒逼的转型,总是会有一些仓促,导致安全只能放在一个重要性并不是很强的位置,由此带来的后果无需多言。
 
为什么中小企业的网络安全挑战巨大?
 
根据360天枢智库于今年发布的《2022中小微企业数字安全报告》显示,针对中小微企业的网络攻击已呈现出更加复杂的趋势,在过去的一年中,针对我国中小微企业的破坏性攻击威胁主要来源于恶意软件入侵(68%)、勒索攻击(65.3%)、系统漏洞(65.4%)以及网络钓鱼(42.7%)等。同时,报告数据显示,有近半数中小微企业表示在2021年曾遭到过网络攻击,有10%的受访者表示自己甚至遭受过10次以上的攻击。
 
 
同样的情况在海外也是差不多,在ENISA发布的《中小企业网络安全报告》中,也是近一半的企业(46%)在过去的12个月内遭遇过网络安全攻击,尽管这其中受访的大型企业遭遇过攻击的比例更高(75%),但受访的中型企业中,也承认自己遭遇过攻击的比例也达到了68%。
 
所以,从全球的角度看,针对中小企业的攻击比例整体来看来并不低,而中小企业所面临的网络安全条件无疑也是巨大的。
 
 
那么目前对于中小企业的安全挑战主要集中在以下几点:
 
1、人员的网络安全意识低。
2、对关键和敏感信息的保护不够。
3、缺乏预算。
4、缺乏网络安全相关人才、专家。
5、缺乏针对中小企业的网络安全指南。
6、企业管理层对安全的支持力度普遍偏低。
 
在这之中,最核心的问题主要体现在第六点,实际上对于人员规模相对中等以及偏少的中小企业而言,管理层对安全的支持力度普遍决定了整个公司的网络安全水平,包括人员网络安全意识、对信息的保护、预算、人员等等,其实都是由企业的管理层决定的,如果上面没有表现出足够的重视,那么下面对于安全的态度就可想而知,至于中层的安全主管或团队,毫无疑问,要忍受着上、下双重压力,出了问题也只能是扮演一个背锅的角色。
 
中小企业真的不关注安全吗?
 
提出这个问题的时候其实我们也在思考,随着网络安全相关法律法规的不断施行,中小企业会不关注安全吗?全球的安全事件不断爆出,中小企业会没有触动吗?我们认为这一定会,那么如果为了合规不得不关注安全,也可能会做,但也只能做到合规而已,至于实际上是否能抵御攻击,另当别论。至于那些安全事件,只要没发生在自己身上,那么对于很多人而言,就是一个旁观者的角色去看一个新闻而已,有触动吗?有,但也仅此而已,因为做好安全建设不是靠一两个新闻就行的,当然,如果这个新闻的主角是自己的话,恐怕就是另一种情况。
 
因此,侥幸恐怕还是更多中小企业对待安全的态度。《2022中小微企业数字安全报告》也有指出,比如像绝大多数中小微企业对未来防御网络攻击持悲观的态度,其实就是对自己的防御能力没有信心,还有近八成中小微企业担心供应链安全会引发其自身安全风险增加。这些似乎都说明了一个问题——中小微企业对于自身的安全状况还是有一些“自知之明”,但即便如此,又能如何?它们真的能做好吗?
 
生存仍然是中小微企业的第一要务
 
关于中小微企业的生存状况,我们曾看到过很多内容,尤其是对于小微企业,平均存活周期只有3-5年左右,试问在这样的情况之下,他们有什么样的能力去大力的投入安全建设?首先要保证自己能够跨过3年、5年的坎,然后再去谈更多别的,否则一切都是以业务为重,相比之下,融资更是最令他们头疼的主要问题。
 
在人才方面,如果说中型企业对于人才的吸引力还有一定水平,那么小微企业就很难了,更别说去吸引那些有能力的安全人才,依靠自身去搞好安全可谓天方夜谭。
 
在投入方面,可以说更加可怜,此前就曾有民间团队做过针对中小企业的调查,尽管这些企业贡献了70%的技术创新,但在研发投入方面普遍不足,他们所依靠的更多是基于自身灵活的机制,一切基于业务、效率优先导向所带来的优势,可见对于技术型企业在主营业务的研发投入方面都不太够的情况下,理应作为基础性工作的安全都已经成为了奢侈品。
 
所以,中小微企业的网络安全态势不容乐观,除了企业的主观原因之外,也有客观原因,但是否中小企业就不用管安全了呢?在我们看来,答案一定是否定的,因为在中小微企业疯狂拥抱数字化转型浪潮的当下,一个安全问题就很有可能会让一个中小微企业直接停摆甚至消失,在力所能及的情况下,必须要对安全给予足够的重视。正如我们所常说的,健康是1,其他是0,如果没有了安全,那风险的来临只是一个事件问题而已。
 
中小企业应如何做好安全建设? 低成本+针对性强+力所能及是优先选项
 
在ENISA的报告中显示,欧洲的许多中小企业都已经采取了一些类似的网络安全措施,诸如部署防火墙、防病毒软件等等,但大多都是归属于企业内负责IT的人员或IT部(如果有的话),但这些肯定是不够的,但鉴于前面所说的那些问题,低成本将是面向中小微企业网络安全建设的关键词,这也是上述两份报告中都重点提及的内容。
 
不过,在我们看来,最大的先决条件依然是这些企业的高级管理人员对网络安全的认知和态度,毕竟低成本也是成本。在360天枢智库看来,低成本甚至免费的安全服务,其重要的作用在于让中小微企业更进一步的认知自身所存在的安全问题,也就是对自己的安全状况有一个较为直观的认识,这对于后面如何建设,重要的是有针对性的安全建设是很有意义的,这意味着中小微企业无须在所有的环节都去进行投入,换言之,就是尽量通过20%的投入降低80%的风险,减轻中小微企业的安全负担,同时快速补足自身安全短板。针对中小微企业,如何低成本的让自己有一个基础的安全保障呢,我们总结了业内的一些主要观点,主要从人员、过程、技术三方面来看,力所能及可做到的主要有以下几点:
 
一、人员方面
 
1、明确责任归属。一方面是明确安全谁来负责,即便是没有专门的人员,建议也应设定一个高级管理人员兼任,其他的人对于安全需要承担什么样的附加或连带责任也应明确。
 
2、制定安全政策或制度并让员工知晓并签署。不同企业的不同发展阶段,都应有相应的安全制度,并且要让所有的员工知晓,当然,更重要的是必须要让企业的高级管理层的签署以及全力支持(这的确很难,但最好做到)。
 
3、强化员工的安全意识。这一点同上面的安全制度其实是相衔接的,制度制定出来如果大家不遵守就相当于没有制度,而想要让员工更好的执行这些制度,还是尽量要让他们理解,比如如何识别钓鱼邮件?当发现潜在的安全威胁时应该如何做,自己第一时间应该如何处置?向谁汇报?这些内容,其实都需要让员工明白和清楚,哪些情况会危及企业乃至自己的信息安全。
 
4、安全培训及演练。这里主要是两方面,一方面是安全责任相关人员(无论是专职还是兼职),必须要保持一定节奏的安全培训,以时刻保证对安全的敏感性。另一方面,则是整体公司的员工,如果培训很枯燥,那么最好还是通过模拟演练的方式去训练他们,以更好的执行前面所说的那些安全制度。
 
5、针对第三方的管理。这里的第三方也包括供应商,所有会涉及到与企业自身系统、信息的权限,在对任何第三方授权的时候都必须要严格管理,其意义和价值不言而喻。
 
二、过程方面
 
1、审计。要确保定期对防火墙和外部等关键系统进行安全测试,尤其是漏洞相关的,要做到有更新就安装,有补丁就打上。同时最好还要确保所有企业内的终端上不存在非法软件等内容。
 
2、安全事件计划及响应。这个说实话不太容易,尤其是对于那些没有经历过安全事件的企业而言,但建议还是要根据一些最佳实践去调整并制定适合自身安全事件响应及计划,并明确相关的角色和职责,以确保企业在遇到风险时,至少能够一定的应对策略,而不是慌乱,无论是对于网络攻击还是其他灾害(如火灾等)都是如此。
 
3、密码。坦率地说,很多企业在这上面吃了亏,因为设备或重要系统的密码出现问题导致企业遭遇严重损失的事件层出不穷,因此这块必须要做到严格的管理,尤其是像弱密码,以及从第三方购买产品中的默认密码等等,统统都要修改,并应该定期检查,不能让企业内的任何人轻易暴露以上问题。
 
4、软件更新及补丁的管理。前面说到有更新就安装,有补丁就打上,但这里其实还需要特别强调的一点就是在部署这些的时候需要经过审核,以进一步的确保安全性,尤其是当前很多供应链攻击都是从这个层面发起,但需要注意的是,这个审核不能成为这些更新或补丁及时部署的障碍。
 
5、数据保护。对于中小企业而言,这里更重要的是合规,确保自身的数据以及涉及到个人信息的数据都能获得相对较为妥善的保护,以确保符合包括数据安全法、个人信息保护法等相关法律法规的要求。
 
三、技术方面
 
1、反病毒。对任何终端而言,这其实都是基础操作了,在安装并使用的同时,也要注意及时更新病毒库等操作。另外,企业版的反病毒软件虽然需要付费,但整体来看,其费用支出并不是很大的,也应值得考虑。
 
2、加密。理论上,凡是涉及存储企业相关数据的设备都最好实施全盘加密,以保证即便是被攻击,数据也不会轻易的直接落入攻击者手中。
 
3、物理安全。这部分的安全措施其实也很重要,比如重要IT资源要确保放在一个安全的环境中,而不是人来人往随意进出的地方,对于居家办公的人员也同样重要,个人使用却存有企业数据的设备是否足够安全?不会被包括家人、朋友等等在内的任何人随意查看?事实上,很多安全问题都是源于这些保护不够,而做好这些,其实对安全意识相对淡薄的中小企业而言也很关键。
 
4、备份。事实证明,良好的备份可以使企业能够在遭遇勒索软件攻击后快速地恢复业务,极大的挽回损失,对中小企业而言更是尤为重要。具体相关内容此前我们也曾有过专门针对一场真实发生的勒索软件攻击案例进行过采访报道,在那场事件中,对方依靠专业力量提供的灾备服务成功的抵御了一场勒索金额高达上千万美元的攻击。(延伸阅读:《向千万美元赎金说不 记一场企业出海遭遇勒索攻击的背后故事》
 
其实通过上述内容可以看出,从人、制度流程、技术这几个方面入手,在不需要付出太多成本的情况下,也能保证一个相对基本的安全。对于那些收入较为稳定的中小企业而言,一些普惠性的SaaS安全服务、产品也可以考虑,相对于一次性地投入高额成本,这种订阅付费的方式对于成本控制而言还是有一定的优势,而且安全能力也会随着专业厂商端的不断提升而自动获得提升,能够与时俱进的加强自身抵御网络安全威胁的能力,而成本上依然是相对可控的。