在日常接受社会新闻时,我们看到网络攻击者更多关注于攻击大型企业,损失了多少钱,造成了什么影响。然而,中小企业 (SMB) 收到网络威胁比大企业少不了多少。根据 Vanson Bourne Research 最近的一项研究,题为“2024 年中小企业网络安全状况”,94% 的中小企业过去至少遭受过一次网络威胁攻击,远远高于 2019 年的 64%。中小企业网络威胁激增意味着人们对进一步攻击的担忧程度加剧,89% 的中小企业者担心在未来数月内成为攻击目标,但是又受限于自身能力和资源限制,对某些安全威胁处理起来,捉襟见肘。
近年来,网络威胁仅攻击大型企业的情况发生了重大转变,部分网络犯罪分子将目光投向了规模较小、更脆弱的目标——中小企业,甚至是个人。随着大型企业加大对网络安全的投入以及政府监管力度和协同力度提升,中小企业被认为是可以“被轻易获利攻破弱点”因被认为存在弱点而成为有吸引力的目标。埃森哲 2023 年的网络犯罪研究显示,近 43% 的网络攻击针对小型企业,而这些企业中只有 14% 做好了应对准备。
中小企业面临的网络安全挑战
虽然中小型企业网络安全情况不容乐观,但是考虑到自身的条件和情况,面对一下情况仍是心有余而力不足:
PART.1 网络安全资源有限
中小型企业的对于网络安全预算通常有限,甚至没有考虑这一款的支出,因此很难一开始就投资于强大的网络安全措施和工具,大部分企业发现问题,不影响日常运营和没有被官方通报,当作默认。此外,由于平台和薪酬问题,许多中小企业缺乏专职 IT 人员,部分人员一人身兼多职,甚至由行政代替,更不用说专业的网络安全人员了。这导致员工负担过重,他们可能没有必要的专业知识。
PART.2 缺乏网络安全意识和培训
中小企业员工,非专业人士可能没有接受过良好的网络威胁识别和应对培训,面对常见的甚至隐藏更深的网络威胁,没有任何防御意识。因此更容易受到网络钓鱼攻击和社会工程攻击。此外,企业主和管理人员的网络安全认知水平和企业增长不匹配,可能低估了网络安全的重要性,导致优先考虑和投资不足。
PART.3 网络安全复杂的威胁
网络发展越来越普遍,各种病毒和黑客攻击更加隐秘,防不胜防,且针对性越来越强。中小企业可能没有先进的安全基础设施来抵御这些不断演变的威胁。例如:部分企业网站甚至防火墙都没有,违法网站轻易可以篡改链接至违法赌博网站和色情网站。
PART.4 监管合规性
法律在不断完善,但是对于中小企业来说,专业IT安全是一种奢望,更别说专业的网络安全方面律师的支撑了,在面对企业发展和网络安全的时候,更多资金会投向企业业绩增长,忽略对于法规的认知力度,了解网络安全法规(例如 GDPR、CCPA)可能很困难,尤其是那些法律和合规专业知识有限的企业。不遵守法规可能会导致巨额罚款和法律后果,这给中小企业增加了保持合规的压力。此方面需要地方政府和法律工作者的共同普及。
PART.5 事件响应和恢复
许多中小企业缺乏全面的事件响应计划,因此很难有效应对违规行为或网络事件。甚至部分企业网站被篡改跳转违法网站一个月有余,被监管部门巡查到才发现,甚至信息被盗取后,整个案件调查完毕,检察院和网安协同通报才处理,自己能力有限,管理人员认知不足加上资金少,无法获得复杂的数据备份和恢复解决方案可能会延长停机时间并加剧网络事件的影响。
PART.6 第三方合作风险
一个企业有几十家甚至上百家供应商,每个供应商的的能力也和“自己”能力一样甚至还不如,因此依赖第三方供应商和合作伙伴,如果这些实体的网络安全实践薄弱,则可能会引入漏洞。
PART.7 安全技术技术过时
在供应商接触中,中小企业可能会使用过时的硬件和软件,不再接收安全更新,从而产生可利用的漏洞。例如:有的供应商已经倒闭,无法维护,有的供应商发布了漏洞好久,但是一直没有打补丁。所以考虑到成本和技术原因,升级到更安全的技术的成本和复杂性对于中小企业来说可能是难以承受的。
PART.8 缺乏可靠网络安全策略
中小型企业没有良好的网络安全策略框架,甚至初创世怎么简单怎么来,一台主机就构成了一个机房,数据在裸奔。没有明确的网络安全策略,中小企业可能会以临时的方式实施安全措施,从而导致漏洞和不一致,也加大了处理的难度和及时性,通常缺乏适当的风险评估和管理实践,导致对潜在威胁和漏洞的了解不足。
PART.9 供应商管理
市面上安全供应商和软件供应上有几百家,网络安全层次不齐,且根据自身预算,识别和选择合适的网络安全解决方案和供应商可能会非常困难,尤其是在市场上产品激增的情况下。
综合来说,中小型企业网络安全最大的原因:投入资金有限和法律意识以及管理人员的认知能力水平层次不齐,应对这些挑战需要采取多管齐下的方法:(1)包括提高管理人员和IT人员安全意识和技术水平。
(2)投资适当的安全措施(例如多因素身份验证、风险和漏洞评估、端点和 SaaS 安全以及数据备份)、
(3)制定全面的网络安全政策,并在必要时利用外部专业知识。聘请专业法律人士进行合规法律普及和技术指导。
