作為網(wǎng)絡(luò)安全的“弱勢(shì)群體”，安全意識(shí)、管理、人才、資金捉襟見肘的中小企業(yè)（編者：也包括只配備了小型安全團(tuán)隊(duì)的大型企業(yè)）正面臨越來越嚴(yán)峻的“安全鴻溝”問題。

　　近年來，網(wǎng)絡(luò)威脅的“溢出”、“下沉”和“降維打擊”成為新的趨勢(shì)，無(wú)論是高級(jí)持續(xù)威脅APT的“民主化”、勒索軟件即服務(wù)RaaS的產(chǎn)業(yè)化，還是高級(jí)網(wǎng)絡(luò)安全工具/漏洞利用的長(zhǎng)尾化，都對(duì)缺少足夠預(yù)算和實(shí)力的中小企業(yè)構(gòu)成更大的威脅。根據(jù)2019年Zogby Analytics報(bào)告，數(shù)據(jù)泄露可能導(dǎo)致25%的中小企業(yè)破產(chǎn)。

　　在過去的幾年中，我們看到針對(duì)中小企業(yè)的網(wǎng)絡(luò)安全攻擊快速增長(zhǎng)，包括BEC商業(yè)電子郵件攻擊、端點(diǎn)威脅，勒索軟件攻擊已成倍增加。與擁有龐大網(wǎng)絡(luò)安全團(tuán)隊(duì)的大型企業(yè)不同，中小型企業(yè)所面臨的困擾包括缺乏專用資源、設(shè)備管理不善、缺乏培訓(xùn)以及IT管理框架水平降低等。

　　盡管如此，中小企業(yè)的CISO仍然可以建設(shè)一支精干高效的小規(guī)模安全團(tuán)隊(duì)，克服困難提升企業(yè)的安全能力。以下是業(yè)界網(wǎng)絡(luò)安全專家給中小企業(yè)CISO提出的十點(diǎn)建議：

　　1.重視管理層溝通和自上而下的安全意識(shí)文化建設(shè)

　　制定并提出應(yīng)對(duì)網(wǎng)絡(luò)安全攻擊的策略/計(jì)劃。這應(yīng)該每年進(jìn)行一次，并在董事會(huì)會(huì)議上介紹。避免講技術(shù)，重點(diǎn)提供有關(guān)新威脅的統(tǒng)計(jì)信息、趨勢(shì)和概述。討論這些威脅帶來的業(yè)務(wù)風(fēng)險(xiǎn)以及公司防御此類攻擊的能力。在計(jì)劃中設(shè)定預(yù)算和期望，并明確相關(guān)風(fēng)險(xiǎn)。

　　此外，要從管理層到業(yè)務(wù)人員實(shí)施“安全優(yōu)先”的安全意識(shí)文化建設(shè)，要讓所有員工明白，安全不是負(fù)擔(dān)，而是競(jìng)爭(zhēng)力。根據(jù)GoSecurity的調(diào)查，安全意識(shí)培訓(xùn)是最有效的安全產(chǎn)品/服務(wù)，也是投入產(chǎn)出比最高的安全投資項(xiàng)目，尤其值得中小企業(yè)重視。

　　2.利用合規(guī)性（等保）來增加安全預(yù)算

　　與網(wǎng)絡(luò)安全預(yù)算問題相比，合規(guī)預(yù)算“就是它的本錢”。合規(guī)是一個(gè)硬性的要求，對(duì)于安全預(yù)算短缺的中小企業(yè)來說，利用合規(guī)預(yù)算來增強(qiáng)安全性不是負(fù)擔(dān)，而是捷徑和契機(jī)。網(wǎng)絡(luò)安全專家蔡培特表示，通過等保發(fā)現(xiàn)問題解決問題，提高信息系統(tǒng)的安全防護(hù)能力。

　　3.評(píng)估產(chǎn)品的端到端成本

　　從初始部署到安裝后分析，警報(bào)響應(yīng)和維護(hù)，新的安全解決方案的成本涉及多個(gè)領(lǐng)域。在購(gòu)買新的網(wǎng)絡(luò)安全產(chǎn)品時(shí)，請(qǐng)確保了解實(shí)際產(chǎn)品成本和范圍，包括升級(jí)頻率和要求、儀表板/SIEM監(jiān)控警報(bào)、誤報(bào)率等以外的相關(guān)投資。要求供應(yīng)商提供試用期，以便更好地理解和評(píng)估這些參數(shù)。

　　4.選擇集成度高的安全平臺(tái)

　　縱深防御意味著安全可以有很多層，每層都增加了整體IT復(fù)雜性。中小企業(yè)應(yīng)該盡可能尋找那些通過設(shè)計(jì)整合多種技術(shù)的單一產(chǎn)品。

　　5.最知名和最昂貴的不一定是最好的

　　多參考評(píng)測(cè)網(wǎng)站、自媒體并與同事或同行交談，吸取他們的解決方案實(shí)施經(jīng)驗(yàn)和教訓(xùn)。了解相關(guān)解決方案在第三方平臺(tái)的安全有效性和評(píng)測(cè)排名。

　　6.避免被安全警報(bào)牽著鼻子走

　　所謂安全團(tuán)隊(duì)，大多數(shù)時(shí)間都在圍著警報(bào)轉(zhuǎn)。由于較小的團(tuán)隊(duì)沒有資源來跟蹤每個(gè)警報(bào)，因此請(qǐng)?jiān)O(shè)置策略來定義何時(shí)需要處理特定警報(bào)。確保跟蹤已經(jīng)自動(dòng)修復(fù)的警報(bào)，因?yàn)樽畛醯耐{很可能是大型網(wǎng)絡(luò)攻擊的序幕。

　　7.考慮不會(huì)干擾運(yùn)營(yíng)的安全解決方案

　　員工總是會(huì)破壞那些拖慢運(yùn)營(yíng)的安全策略。與其為公司的所有實(shí)體創(chuàng)建統(tǒng)一的安全策略，不如針對(duì)每個(gè)角色面臨的不同挑戰(zhàn)選擇多個(gè)策略。

　　8.最大限度的自動(dòng)化

　　如果安全運(yùn)營(yíng)中存在多個(gè)手動(dòng)任務(wù)，那么自動(dòng)化可以大大減少時(shí)間投入。中小企業(yè)的安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)發(fā)揮敏捷優(yōu)勢(shì)，充分利用新的自動(dòng)化技術(shù)的力量來避免繁瑣或重復(fù)的工作。

　　9.不要只盯著產(chǎn)品

　　選擇安全產(chǎn)品或方案廠商的時(shí)候，不要只盯著產(chǎn)品本身，要避開那些缺乏優(yōu)質(zhì)客戶支持和服務(wù)的產(chǎn)品或服務(wù)。在詢問新的安全產(chǎn)品時(shí)，請(qǐng)務(wù)必了解廠商能夠提供多少產(chǎn)品培訓(xùn)，是否有初始安裝成本，是否有專門的客戶經(jīng)理，客戶服務(wù)的積極程度如何，工單的服務(wù)水平協(xié)議是什么？是否提供事件服務(wù)（MDR）等等。

　　10.利用SaaS云安全產(chǎn)品來降低成本，開銷和資源

　　SaaS安全解決方案可減少安全產(chǎn)品的部署、管理要求，以及維護(hù)資源和成本。鑒于其強(qiáng)大的處理能力，許多安全SaaS產(chǎn)品對(duì)于基于云的體系結(jié)構(gòu)也更加有效。檢查自己的安全堆棧并進(jìn)行研究，以確認(rèn)哪些是可以用基于SaaS的解決方案替代的解決方案，在不犧牲安全性的情況下受益于云服務(wù)集的管理、處理和運(yùn)營(yíng)方面的成本優(yōu)勢(shì)。

　　總結(jié)

　　通過多花時(shí)間做些額外的研究，選擇正確的工具和支持服務(wù)，中小企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)也可以實(shí)現(xiàn)（大型）企業(yè)級(jí)的安全保護(hù)。尤其是醫(yī)療、零售、教育、金融服務(wù)和保險(xiǎn)行業(yè)的小型安全團(tuán)隊(duì)的CISO們，可以充分發(fā)揮團(tuán)隊(duì)/技術(shù)堆棧的敏捷性優(yōu)勢(shì)，借助第三方平臺(tái)、云服務(wù)和咨詢服務(wù)，可快速提升安全投資的有效性和企業(yè)安全能力。