作為網絡安全行業的專業媒體,每天我們都會關注發生在全球范圍內的各種與網絡安全有關的新聞,但相信大家也和我們感受一樣,那就是只有那些規模較大的大型企業甚至是行業巨頭會經常占據頭條,諸如某某某昨天遭到勒索攻擊導致業務中斷,誰誰誰今天因為黑客攻擊導致數據泄露等等,這里面的某某某和誰誰誰大多數時候都是耳熟能詳的“大人物”。
但實際上,中小企業是整體經濟的重要貢獻者,比如中小微企業對我國就有著“五六七八九”的貢獻,具體則指的是他們貢獻了我國50%以上的稅收、60%以上的GDP、70%以上的技術創新、80%以上的城鎮勞動就業以及90%以上的企業數量。
而就歐盟而言,中小企業對經濟的支柱作用也十分明顯,他們代表了歐盟99%的企業,占歐洲GDP的一半以上,并且雇傭人數達到約1億人,幾乎在所有行業的發展中都發揮著關鍵作用。
由此可見,中小企業對于經濟的貢獻度并不遜于那些大型企業,而且在數字化轉型的過程中,他們更是十分重要的力量,但同時我們也很清楚,很多企業面對疫情為了能夠繼續生存,不得不選擇或加快了數字化轉型,這種倒逼的轉型,總是會有一些倉促,導致安全只能放在一個重要性并不是很強的位置,由此帶來的后果無需多言。
為什么中小企業的網絡安全挑戰巨大?
根據360天樞智庫于今年發布的《2022中小微企業數字安全報告》顯示,針對中小微企業的網絡攻擊已呈現出更加復雜的趨勢,在過去的一年中,針對我國中小微企業的破壞性攻擊威脅主要來源于惡意軟件入侵(68%)、勒索攻擊(65.3%)、系統漏洞(65.4%)以及網絡釣魚(42.7%)等。同時,報告數據顯示,有近半數中小微企業表示在2021年曾遭到過網絡攻擊,有10%的受訪者表示自己甚至遭受過10次以上的攻擊。
同樣的情況在海外也是差不多,在ENISA發布的《中小企業網絡安全報告》中,也是近一半的企業(46%)在過去的12個月內遭遇過網絡安全攻擊,盡管這其中受訪的大型企業遭遇過攻擊的比例更高(75%),但受訪的中型企業中,也承認自己遭遇過攻擊的比例也達到了68%。
所以,從全球的角度看,針對中小企業的攻擊比例整體來看來并不低,而中小企業所面臨的網絡安全條件無疑也是巨大的。
那么目前對于中小企業的安全挑戰主要集中在以下幾點:
1、人員的網絡安全意識低。
2、對關鍵和敏感信息的保護不夠。
3、缺乏預算。
4、缺乏網絡安全相關人才、專家。
5、缺乏針對中小企業的網絡安全指南。
6、企業管理層對安全的支持力度普遍偏低。
在這之中,最核心的問題主要體現在第六點,實際上對于人員規模相對中等以及偏少的中小企業而言,管理層對安全的支持力度普遍決定了整個公司的網絡安全水平,包括人員網絡安全意識、對信息的保護、預算、人員等等,其實都是由企業的管理層決定的,如果上面沒有表現出足夠的重視,那么下面對于安全的態度就可想而知,至于中層的安全主管或團隊,毫無疑問,要忍受著上、下雙重壓力,出了問題也只能是扮演一個背鍋的角色。
中小企業真的不關注安全嗎?
提出這個問題的時候其實我們也在思考,隨著網絡安全相關法律法規的不斷施行,中小企業會不關注安全嗎?全球的安全事件不斷爆出,中小企業會沒有觸動嗎?
我們認為這一定會,那么如果為了合規不得不關注安全,也可能會做,但也只能做到合規而已,至于實際上是否能抵御攻擊,另當別論。至于那些安全事件,只要沒發生在自己身上,那么對于很多人而言,就是一個旁觀者的角色去看一個新聞而已,有觸動嗎?有,但也僅此而已,因為做好安全建設不是靠一兩個新聞就行的,當然,如果這個新聞的主角是自己的話,恐怕就是另一種情況。
因此,僥幸恐怕還是更多中小企業對待安全的態度。《2022中小微企業數字安全報告》也有指出,比如像絕大多數中小微企業對未來防御網絡攻擊持悲觀的態度,其實就是對自己的防御能力沒有信心,還有近八成中小微企業擔心供應鏈安全會引發其自身安全風險增加。這些似乎都說明了一個問題——中小微企業對于自身的安全狀況還是有一些“自知之明”,但即便如此,又能如何?它們真的能做好嗎?
生存仍然是中小微企業的第一要務
關于中小微企業的生存狀況,我們曾看到過很多內容,尤其是對于小微企業,平均存活周期只有3-5年左右,試問在這樣的情況之下,他們有什么樣的能力去大力的投入安全建設?首先要保證自己能夠跨過3年、5年的坎,然后再去談更多別的,否則一切都是以業務為重,相比之下,融資更是最令他們頭疼的主要問題。
在人才方面,如果說中型企業對于人才的吸引力還有一定水平,那么小微企業就很難了,更別說去吸引那些有能力的安全人才,依靠自身去搞好安全可謂天方夜譚。
在投入方面,可以說更加可憐,此前就曾有民間團隊做過針對中小企業的調查,盡管這些企業貢獻了70%的技術創新,但在研發投入方面普遍不足,他們所依靠的更多是基于自身靈活的機制,一切基于業務、效率優先導向所帶來的優勢,可見對于技術型企業在主營業務的研發投入方面都不太夠的情況下,理應作為基礎性工作的安全都已經成為了奢侈品。
所以,中小微企業的網絡安全態勢不容樂觀,除了企業的主觀原因之外,也有客觀原因,但是否中小企業就不用管安全了呢?
在我們看來,答案一定是否定的,因為在中小微企業瘋狂擁抱數字化轉型浪潮的當下,一個安全問題就很有可能會讓一個中小微企業直接停擺甚至消失,在力所能及的情況下,必須要對安全給予足夠的重視。正如我們所常說的,健康是1,其他是0,如果沒有了安全,那風險的來臨只是一個事件問題而已。
中小企業應如何做好安全建設?
在ENISA的報告中顯示,歐洲的許多中小企業都已經采取了一些類似的網絡安全措施,諸如部署防火墻、防病毒軟件等等,但大多都是歸屬于企業內負責IT的人員或IT部(如果有的話),但這些肯定是不夠的,但鑒于前面所說的那些問題,低成本將是面向中小微企業網絡安全建設的關鍵詞,這也是上述兩份報告中都重點提及的內容。
不過,在我們看來,最大的先決條件依然是這些企業的高級管理人員對網絡安全的認知和態度,畢竟低成本也是成本。在360天樞智庫看來,低成本甚至免費的安全服務,其重要的作用在于讓中小微企業更進一步的認知自身所存在的安全問題,也就是對自己的安全狀況有一個較為直觀的認識,這對于后面如何建設,重要的是有針對性的安全建設是很有意義的,這意味著中小微企業無須在所有的環節都去進行投入,換言之,就是盡量通過20%的投入降低80%的風險,減輕中小微企業的安全負擔,同時快速補足自身安全短板。
針對中小微企業,如何低成本的讓自己有一個基礎的安全保障呢,我們總結了業內的一些主要觀點,主要從人員、過程、技術三方面來看,力所能及可做到的主要有以下幾點:
一、人員方面
1、明確責任歸屬。一方面是明確安全誰來負責,即便是沒有專門的人員,建議也應設定一個高級管理人員兼任,其他的人對于安全需要承擔什么樣的附加或連帶責任也應明確。
2、制定安全政策或制度并讓員工知曉并簽署。不同企業的不同發展階段,都應有相應的安全制度,并且要讓所有的員工知曉,當然,更重要的是必須要讓企業的高級管理層的簽署以及全力支持(這的確很難,但最好做到)。
3、強化員工的安全意識。這一點同上面的安全制度其實是相銜接的,制度制定出來如果大家不遵守就相當于沒有制度,而想要讓員工更好的執行這些制度,還是盡量要讓他們理解,比如如何識別釣魚郵件?當發現潛在的安全威脅時應該如何做,自己第一時間應該如何處置?向誰匯報?這些內容,其實都需要讓員工明白和清楚,哪些情況會危及企業乃至自己的信息安全。
4、安全培訓及演練。這里主要是兩方面,一方面是安全責任相關人員(無論是專職還是兼職),必須要保持一定節奏的安全培訓,以時刻保證對安全的敏感性。另一方面,則是整體公司的員工,如果培訓很枯燥,那么最好還是通過模擬演練的方式去訓練他們,以更好的執行前面所說的那些安全制度。
5、針對第三方的管理。這里的第三方也包括供應商,所有會涉及到與企業自身系統、信息的權限,在對任何第三方授權的時候都必須要嚴格管理,其意義和價值不言而喻。
二、過程方面
1、審計。要確保定期對防火墻和外部等關鍵系統進行安全測試,尤其是漏洞相關的,要做到有更新就安裝,有補丁就打上。同時最好還要確保所有企業內的終端上不存在非法軟件等內容。
2、安全事件計劃及響應。這個說實話不太容易,尤其是對于那些沒有經歷過安全事件的企業而言,但建議還是要根據一些最佳實踐去調整并制定適合自身安全事件響應及計劃,并明確相關的角色和職責,以確保企業在遇到風險時,至少能夠一定的應對策略,而不是慌亂,無論是對于網絡攻擊還是其他災害(如火災等)都是如此。
3、密碼。坦率地說,很多企業在這上面吃了虧,因為設備或重要系統的密碼出現問題導致企業遭遇嚴重損失的事件層出不窮,因此這塊必須要做到嚴格的管理,尤其是像弱密碼,以及從第三方購買產品中的默認密碼等等,統統都要修改,并應該定期檢查,不能讓企業內的任何人輕易暴露以上問題。
4、軟件更新及補丁的管理。前面說到有更新就安裝,有補丁就打上,但這里其實還需要特別強調的一點就是在部署這些的時候需要經過審核,以進一步的確保安全性,尤其是當前很多供應鏈攻擊都是從這個層面發起,但需要注意的是,這個審核不能成為這些更新或補丁及時部署的障礙。
5、數據保護。對于中小企業而言,這里更重要的是合規,確保自身的數據以及涉及到個人信息的數據都能獲得相對較為妥善的保護,以確保符合包括數據安全法、個人信息保護法等相關法律法規的要求。
三、技術方面
1、反病毒。對任何終端而言,這其實都是基礎操作了,在安裝并使用的同時,也要注意及時更新病毒庫等操作。另外,企業版的反病毒軟件雖然需要付費,但整體來看,其費用支出并不是很大的,也應值得考慮。
2、加密。理論上,凡是涉及存儲企業相關數據的設備都最好實施全盤加密,以保證即便是被攻擊,數據也不會輕易的直接落入攻擊者手中。
3、物理安全。這部分的安全措施其實也很重要,比如重要IT資源要確保放在一個安全的環境中,而不是人來人往隨意進出的地方,對于居家辦公的人員也同樣重要,個人使用卻存有企業數據的設備是否足夠安全?不會被包括家人、朋友等等在內的任何人隨意查看?事實上,很多安全問題都是源于這些保護不夠,而做好這些,其實對安全意識相對淡薄的中小企業而言也很關鍵。
4、備份。事實證明,良好的備份可以使企業能夠在遭遇勒索軟件攻擊后快速地恢復業務,極大的挽回損失,對中小企業而言更是尤為重要。具體相關內容此前我們也曾有過專門針對一場真實發生的勒索軟件攻擊案例進行過采訪報道,在那場事件中,對方依靠專業力量提供的災備服務成功的抵御了一場勒索金額高達上千萬美元的攻擊。(延伸閱讀:《向千萬美元贖金說不 記一場企業出海遭遇勒索攻擊的背后故事》)
其實通過上述內容可以看出,從人、制度流程、技術這幾個方面入手,在不需要付出太多成本的情況下,也能保證一個相對基本的安全。對于那些收入較為穩定的中小企業而言,一些普惠性的SaaS安全服務、產品也可以考慮,相對于一次性地投入高額成本,這種訂閱付費的方式對于成本控制而言還是有一定的優勢,而且安全能力也會隨著專業廠商端的不斷提升而自動獲得提升,能夠與時俱進的加強自身抵御網絡安全威脅的能力,而成本上依然是相對可控的。
更多信息可以來這里獲取==>>電子技術應用-AET<<
