福布斯技術委員：增強中小企業安全能力的16條建議

隨著企業數字化轉型的深入推進，網絡安全建設已經受到越來越多的關注和重視，然而，調查數據顯示，有很多中小型企業組織存在一種虛假的安全感——“我們還太小，不值得被攻擊”。但事實上，網絡攻擊和數據竊取并不會只針對大型知名企業，只要組織開展了數字化業務并產生有價值的數據，就有可能成為不法分子的攻擊目標。

某種意義上說，中小型企業更容易因為網絡攻擊而受到損害，因為相對于大型企業，中小企業往往沒有足夠的網絡安全防御措施、產品和專業技術人員，即使認識到網絡安全的重要性，也可能沒有充足的預算來實施。據服務機構Arctic Wolf的一項調查顯示，77.6%的受訪中小企業缺乏有效應對網絡攻擊的計劃和能力。調查還發現，因無法支付勒索攻擊贖金而陷入經營困境的中小企業數量也在快速增長。

盡管面臨挑戰，但為了最大程度地降低網絡安全損害，中小企業應該更加積極地去應對威脅，充分利用一些簡單的方法加強防范。日前，福布斯技術委員會（福布斯委員會直屬分支機構，僅面向全球知名企業CIO、CTO和技術高管邀請開放）的16位專家委員，分享了他們對中小企業改善安全狀況的建議。

1. 首先對企業網絡邊界進行保護

防火墻是目前最成熟的網絡安全產品，也是中小型企業增強網絡安全的最簡單方式之一。同時，中小企業還可以采用針對拒絕服務式攻擊的保護措施來確保互聯網的邊界安全，因為互聯網邊界是所有基礎設施中最容易暴露和受到攻擊環節。

2. 盡快部署多因素身份認證

無論企業規模大小，在訪問辦公環境中的所有計算機、服務器、基礎設施和業務應用軟件時，采用多因素身份驗證技術已被證明是防止黑客入侵的最有效方式之一。據微軟一項調查數據顯示，企業組織通過多因素認證可以阻止99%的暴力破解攻擊。只要有一個認證因素驗證失敗，那么用戶訪問行為將被拒絕。而且，多因素身份認證技術的使用非常簡單，非常適合中小型企業用戶。

3. 從員工個人的安全防護做起

今天的黑客通常攻擊企業網絡防御中最薄弱的環節，比如企業員工的個人終端及賬號信息等，這樣可以繞過企業的安全機制，橫向滲透到企業目標主機。為了降低安全風險，小型企業需要像保護企業的重要數字資產一樣，保護好企業成員特別是高層管理者的個人終端設備、賬號、電子郵件等。

4. 重視網絡安全意識培訓

隨著云、移動辦公的普及應用，加強員工的安全意識培訓的需求越發迫切，包括：如何識別釣魚郵件、增加密碼的復雜度、對企業數據資產和隱私的保護。雖然這對技術人員來說顯而易見，但是對于安全意識不強的員工而言尤為重要，定期對所有員工進行安全意識培訓可以保護企業的網絡安全。

5. 購買威脅情報服務

中小企業需要不斷提升安全風險意識，盡可能了解目前IT系統可能存在的問題。建議企業可以采購第三方威脅情報機構的服務，對與公司業務特性相關的威脅、漏洞進行掃描及挖掘，站在“黑客”的角度洞悉不法分子的攻擊動機與活動路徑。這有助于企業提前了解自身所面臨的風險，正視安全防護的缺失，防患于未然。

6.優先采購自帶安全能力的電子設備

在遠程辦公模式下，員工個人電腦、筆記本等設備在企業數字化業務中的使用更加普及，但是通常情況下，個人用戶在購買電子產品時，并不會將安全及可靠性作為首要考慮因素。為了更好保障企業業務系統的安全性，企業應該向員工提供內置安全模塊和防護機制的電腦設備，例如具有遠程恢復功能和自我安全修復的設備，這樣當個人電腦受到攻擊時可以快速響應。

7. 添加云訪問安全代理（CASB）

隨著企業業務系統的遷移上云和遠程辦公的普及，企業可以通過實施云訪問安全代理（CASB）或類似的控制措施，來限制人員對云端信息的訪問，從而保護企業敏感資產。

8. 不要在社交媒體分享企業的隱私數據

對于中小企業而言，所取得的每一點進步和成長都可能是引人關注的，但過多地在社交媒體透露企業所在領域、網絡信息、客戶情況等，會使自身（甚至客戶）遭受網絡攻擊。黑客可以通過網址掃描漏洞并獲得管理員權限，而透漏客戶名稱也會讓黑客借助您的企業名義對客戶進行釣魚郵件攻擊。

9. 對重要的數據進行加密

中小企業應該充分利用密碼技術，對重要的業務數據采用端到端加密方式，比如企業的客戶信息數據。中小企業在設計業務流程時應考慮到客戶信息資產的保護，把保護客戶信息時刻放在首位，從而獲得客戶的信任，建立用戶忠誠度。

10. 使用MITRE ATT&CK框架

通過MITRE ATT&CK框架中的防護知識和威脅數據，企業的信息安全負責人既可以很好的了解攻擊者的戰術、技術和攻擊手段，同時能夠結合企業自身所面臨的威脅，預測不法分子可能對企業實施怎樣的攻擊。

11. 部署使用單點登陸

單點登陸是一種身份驗證方法，用戶能夠使用一次登陸獲取一組憑據訪問多個應用程序，這不僅可以更輕松地授予、審核和撤銷個人用戶訪問企業資源的權限，而且還可以降低密碼竊取和其它安全漏洞的風險。

12. 定期開展漏洞掃描

對中小企業用戶，制定并定期執行漏洞掃描計劃將會取得不錯的防護效果。網絡上有許多漏洞管理專業服務商提供免費的解決方案，推薦使用OWASP的工具列表。隨著中小企業業務不斷增長和變化，建議每月定期進行漏洞掃描來發現新的安全漏洞，并及時修補。

13. 實施第三方IT審計

通過第三方IT審計服務，可以幫助中小企業核查是否曾遭受過網絡攻擊，是否存在未知的風險隱患。在企業進行重大戰略決策前，有效的外部審核，能夠幫助企業更清晰了解被忽視的網絡安全問題，審計結果更有利于幫助企業保護IT資產和進行決策。

14. 購買網絡安全保險

由于專業防護能力缺失，小型企業應該需要考慮購買網絡安全保險降低可能發生的安全事件損失。通過合適的網絡安全保單，可以補償中小企業可能面對的安全損失、勒索軟件贖金支付、風險評估費用、監管部門罰金和法律訴訟費用，甚至包括網絡入侵后購買保護措施產生的費用。

15. 及時了解網絡安全動態

中小企業為增強網絡安全能力，需要了解最新的網絡攻擊方法和網絡安全新聞，密切關注漏洞信息和安全防護方案。魔高一尺，道高一丈，如果企業不了解最新的攻擊方式，就可能將業務和客戶數據置于新的危險之中。

16. 建立動態改進的流程

網絡安全不能僅靠單獨安全產品的羅列，而是需要一套完整的體系架構和流程，并將安全防護措施融入到每一個工作流程、每一個建設階段和每一次決策中，形成企業的網絡安全程序手冊。安全建設需要不斷地動態改進，才能取得更好的成效。