20個網絡安全關注點和10種網絡安全誤區剖析

10種中小企業網絡安全誤區剖析

為了評估有關中小企業安全狀況的常見誤區，我們比較了中小企業（員工人數：250- 499）和大型組織（員工人數：500 及以上）在各種網絡安全能力方面的調查結果。我們根據研究數據的發現了一些誤區。這里將對這些誤區進行調查，并提供數據來反駁這些錯誤的看法，證明中小企業的安全狀況比任何人想象的更好。

誤區 1：只有大型組織會受到各種形式的公眾關注

一個常見誤區是，媒體只關注大規模、破壞性的企業或政府數據泄露。這可能會使一些規

模較小的組織認為，當他們遭受網絡攻擊時，即使受到公眾關注，關注程度也不會很高。

錯誤：去年，小型組織與同行業大型組織受到的公眾關注度不相上下。

誤區2：大型企業遭受攻擊后停機時間更短并且恢復速度更快

當中小企業遭受網絡攻擊繼而導致一定程度的停機時間（營業時間損失）時，這一誤區暗示中小企業不具備相應資源確保自身像同行業大型企業那樣迅速恢復。

錯誤：我們的數據表明，中小企業和大型組織遭受網絡攻擊后的停機時間相差無幾。

誤區3：中小企業缺少專職安全人員

在中小企業中，必要時人人都要參與相關工作，因為人們會認為網絡安全只是某個人工作的一個方面。這些人還需要平衡 IT 管理的其他方面的工作，例如管理數據中心和評估新硬件。這就形成了一個誤區，即使中小企業有專職網絡安全資源，也屈指可數。

錯誤：雖然有些情況可能是這樣，但絕大多數中小企業都告訴我們，他們確實有專職員工負責網絡安全工作。事實上，不到 1% 的中小企業告訴我們，他們沒有任何專職負責安全工作的員工。也許更令人驚訝的是，60% 的中小企業表示，他們安排了 20 多人專職負責安全工作，但我們未具體說明此類專職工作可能需要多大程度的參與，也未具體說明相關員工是否通過托管安全服務提供商 (MSSP) 外包。

誤區4：大型企業擁有最新的基礎設施

隨著消費者升級到最新智能手機的頻率越來越高，大型組織似乎有能力更換其安全基礎設施的所有組件。但是，對于小型企業而言，這種周期性投資是否會對其年度 IT 預算產生更大影響？

不完全正確：當被問及其基礎設施情況及投資和更換關鍵安全技術的策略時，中小企業告訴我們：幾乎所有中小企業都在努力及時更新其基礎設施。

誤區5：中小企業面臨的威脅不同于大型企業

網絡犯罪分子希望獲得最大收獲，因此他們會采用最隱蔽、最危險的策略來攻擊大型企業，是嗎？

不完全正確：我們比較了中小企業和大型企業報告的他們在過去一年內遭受的網絡攻擊類型，以及攻擊造成的停機時間（營業時間損失）。為此，我們根據組織員工人數采用四個類別進行了上述比較，并對最可能造成 24 小時以上停機時間的事件進行了排名。

誤區6：中小企業不會主動進行威脅追蹤

威脅追蹤是一項主動性安全措施，目的在于找出并根除滲透到您的環境中但未引發警報的攻擊者。這與源自檢測到潛在惡意活動后發出警報的傳統調查和應對措施形成了鮮明對比。

整個威脅追蹤概念聽起來像是一場神秘的犯罪現場調查，其微妙性和復雜性超出了小型企業的能力范圍。中小企業正在全力調查警報；他們沒有時間追蹤其他威脅，是嗎？

錯誤：從我們的調查數據來看，不僅有 72% 的中小企業安排員工專門從事威脅追蹤，而且相似比例的大型組織還設立了威脅追蹤部門。

誤區7：中小企業不會通過演練/練習來測試其事件響應計劃

正如拳王邁克·泰森經常說的那樣：“每個人都有自己的計劃，直到被一拳打在臉上” 。在您了解事件響應計劃的實際執行情況之前，不過紙上談兵罷了。但中小企業沒有足夠的時間和資源來測試他們的計劃，是嗎？這肯定會造成比其應有價值更大的破壞。

錯誤：這一誤區完全不符合事實。事實上，只有 1% 的中小企業從未測試過自己的計劃，只有 4% 的中小企業很少測試自己的計劃。12% 的中小企業每兩年測試一次，36% 的中小企業每年測試一次，絕大多數 (45%) 中小企業每 6 個月測試一次。

誤區8：無論出于何種原因，中小企業領導層都不夠重視安全和數據隱私問題

這是一個重大誤區，遺憾的是多年來這個誤區在業界一直盛傳不衰。作為中小企業，您不了解自己處于何種危險之中，而且尚未形成注重安全和數據隱私的組織文化。

錯誤：我們的數據證明，這一誤區與實際情況大相徑庭。從我們對來自不同規模組織的 IT 決策者的調查中，有三個方面可以證明這一點。

誤區9：小型組織不會定期修補漏洞

漏洞修補通常屬于網絡安全基礎，但在實踐中，實施起來可能具有挑戰性。一個誤區認為，中小企業寧愿將資源用于其他地方，也不愿意設法最大限度地降低漏洞修補造成的干擾。

錯誤：56% 的中小企業每天或每周修補漏洞，相比之下，58% 的大型企業每天或每周修補漏洞。這表明，對于定期漏洞修補的慣例，各種規模的企業的漏洞修補頻率旗鼓相當。

誤區10：中小企業無法衡量其安全計劃的效果

有很多誤解認為規模較小的企業在網絡安全方面傾向于秉持 “漫天撒網，守株待兔” 的心態。這意味著，他們沒有能夠監控和衡量實際效力的措施，因此無法優化現有方案。

錯誤：高達 86% 的中小企業表示，他們有明確的指標來評估其安全計劃的效果，而在規模較大的組織中這一比例為 90%，相差甚微。

面向2020年的20個網絡安全關注點

我們對來自全球13個國家的2800名IT決策管理者進行了第六次年度調查訪問并延續了

之前的傳統：深入了解企業境況，編寫關鍵基準統計數據。并且充分詳盡地向首席信息安全官專家組介紹和分析了我們所發現的最新信息，羅列出面向2020年的20個考量關注點。這份報告提供了許多具有價值的專業意見和數據，可供您與其他團隊成員或是公司董事分享，形成切實有效的意見和建議，共同改善企業的安全運營環境。

1. 企業組織中由誰來提供行政管理支持和明確重點？
2. 如何決定哪項衡量指標最重要？
3. 哪些主要關注點主導著有限預算下的開支？
4. 如何正確平衡信任驗證支出和威脅檢測支出？
5. 衡量安全漏洞對企業造成的影響能為你帶來何種啟示？
6. 為何主動安全漏洞披露空前重要？
7. 是否可以對網絡和安全之間的協同效益進行量化？
8. 除了降低成本之外，你覺得采取外包模式還有哪些其他理由？
9. 提前準備是否可以為您創造效益？
10. 打補丁在漏洞保護中起到怎樣的關鍵作用？
11. 什么原因導致系統停機？
12. 保護移動辦公存在哪些挑戰性？
13. 如何從零信任延伸到安全應用？
14. 網絡基礎設施防護是否仍充滿挑戰？
15. 你能否衡量供應商整合的影響力？
16. 哪些原因會造成網絡安全疲勞和倦怠？
17. 在云中托管基礎架構設施可獲得什么安全收益？
18. 你認為未來存在什么樣的挑戰？
19. 您應將多少精力放在事件響應上？
20. 如何立足當下，促進企業安全發展？

內容引自：深圳市網絡與信息安全行業協會