SMB(Small and Medium-sized Business),指經營規模不大,人員、資金有限的中小規模企業,相比於那些實力雄厚的大企業,他們可能沒有那麼多資源和技術來應對網路攻擊。那麼,中小企業應該通過什麼方式以最小成本來維護企業安全?這是我們要探討的問題。
麻雀雖小,五臟俱全,小企業和大企業實現資訊保安的過程、流程都是差不多的,只是SMB使用者在進行安全部署時往往首先考慮成本、維護費用等支出。
一些規模更小的企業並沒有專門的IT部門,通常依靠辦公室的行政人員或一名IT人員處理複雜的安全性任務。在某些情況下,資金較短缺的企業由於不堪重負,容易疏於保護他們的網路和資料。
在過去,因自身企業規模較小受到攻擊的概率相對較小,網路安全的投入均不能迅速帶來顯而易見的回報。但在實際企業運營過程中,又常常有來自網路安全的損失阻礙著企業成長。當病毒、黑客技術的發展使得網路威脅無處不在,誰也不能倖免。
在網路攻擊肆掠橫行的今天,許多大公司都防不勝防,更不要說技術與之相去甚遠的中小企業了。如果說網路失守造成的資訊系統中斷對大公司來說只是一場感冒,那麼對中小企業則可能是滅頂之災。
幸運的是,中小企業網路安全最佳實踐流程比比皆是,技術變得越來越好,而且越來越傾向採用正確的思維方式來處理問題。儘管我們在總體上仍處於被動之中,但是充滿希望,而如何界定問題是邁向更好成果的第一步。
中小企業驅動著世界。與500強企業相比,單個企業可能規模較小,但總體而言,其影響遠遠大於大型企業。你的業務可能很小,但對企業所有者是意義重大的。任何不重視你的服務或技術提供商,都不應該為你服務。
在提出具體的戰術建議之前,讓我們先談談幾點關鍵的戰略:
l 找到可靠的資訊保安諮詢顧問,並按他們所說的做!
l 承擔責任。即使有專家為你提供意見,行動也要靠自己!人人都應承擔起責任——在任何行業,小到個人員工,大到董事會,這是維護安全的一個關鍵理念。
l 不要指望政府。政府要做的並且能做的事情就是:(1)制定法規,對資訊服務商/企業,提出指導性的最低要求;(2)懲處違反法規者。
l 採取行動。不要只停留在研究,不要讓分析癱瘓。採取行動-任何行動-不要拖延。如果找到更好的選擇,則以後可以隨時調整。
l 服務外包,不要自己動手做。從單項安全服務到企業安全/ IT基礎設施的完全外包,可選擇範圍非常大。租用服務而不是購買實體。
l 讓員工負責!你負有最終責任,但在那之前,請確保每個員工都知曉他們必須為自己的不當行為/違規行為負有責任,並付出代價。
說完了戰略,讓我們進入關鍵的十大戰術——
每個SMB應該採取這十個專案來保障企業網路安全。這些都不貴,都是易於理解、易於執行的。然而,如果你不這麼做,只要忽視了其中一項,就等於將整個企業置於危險之中。
1.保持合理的硬體更新率。
理想的情況下,建議您每年都更換新的PC,儘管我們知道這是不現實的。換句話說,更新率超過3-4年,意味著您要承擔額外的風險。硬體製造商每年在“隱藏”的安全性改進上投資數十億美元,其中許多漏洞作為使用者是不知道的。你要做的就是讓你的IT基礎設施(從PC到手機再到伺服器)保持最新的狀態。
2.使用最新的作業系統。
這一條的意義和第一條相同。如果你仍在執行Windows 7,那麼會使公司面臨不必要的風險——Windows 7在2020年1月14日之後將停止服務。上Windows 10,就現在!
3.使用評級較高的端點安全解決方案。
不推薦任何具體的解決方案,有一個主要原因——所有服務商都竭盡全力試圖在檢測率,效能等方面超越對手。每年都有多個年終評選,對防病毒、安全服務商等進行排名/評級——因此每年審查你選擇的服務商的效能,如果有更好的解決方案,請切換。
4.定期下載並安裝所有補丁/更新。
無論是作業系統、硬體,還是關鍵業務軟體,甚至是IP攝像頭,勤打補丁對於安全性都是至關重要。在計算機領域,“零日漏洞”指被發現後立即被惡意利用的安全漏洞,而利用這種漏洞發起的攻擊則被稱為“零日攻擊”。這種攻擊利用使用者缺少防範意識或未裝補丁,造成巨大破壞。零日漏洞一直是黑客的最愛,通常在漏洞與安全補丁曝光的同一日內,惡意利用程式就會出現,及時打補丁是防範零日攻擊的最好方法,儘管這是一項無聊乏味的工作,但卻是必不可少的。
5.遵守良好的密碼衛生習慣,並進行現代化管理。
始終為購買的新硬體(如路由器等)和軟體更改預設密碼。使用“強密碼”,並每年更改幾次。切勿對多個裝置/服務使用相同或相似的密碼!為了使所有這些事情變得更容易,您可以使用實用的“密碼管理器”——如Dashlane之類具有硬體優化功能的密碼管理器。
6.使用雙重(或多重)身份驗證——也稱為“ 2FA”。
如果終端使用者和企業都使用雙重(或多重)身份驗證,可以消除絕大部分資料和隱私洩露隱患。這是免費、簡單、有效的方法。如果要在網路安全方面選一個“躺贏”的方法,那就是它了。此外,與此密切相關的是,根據身份驗證的要求,按需選擇不同的供應商——從金融服務到辦公服務。要求雙重身份驗證,要求供應商有清晰的,易於理解的隱私和安全宣告。如果你看不明白宣告的內容,或者對其中的任何內容不滿意,這不是你的錯,而是供應商的錯,你可以選擇下一家。
7.計算機務必安全地聯網。
首先,連線到熱點時務必使用VPN。切記。被入侵的主要途徑之一就是無保護地連線到犯罪分子偽造/廣播的公共熱點。你在連線的時候就已經放棄了所有密碼。最壞的情況是,系統感染了無法檢測的惡意軟體(例如,鍵盤記錄程式等)。如果可能的話,使用蜂窩網路連線也好過使用公共熱點。大多數現代手機都允許自己作為個人熱點,您可以在PC上連線個人熱點連線到網際網路。
8.備份,備份,備份。
之所以迫切地需要備份資料,拋開所有的其他原因,現在我們有了一個最大的元凶——勒索軟體。有許多基於雲的備份服務商,你必須根據你的業務性質,確定最符合你功能需求的服務。需要堅持的一項重要功能是“無限制拷貝”(unlimited copies)——即每次更改檔案時,服務都會儲存一份副本,而不僅僅是最後一份。這一點至關重要,因為一旦遭遇勒索軟體攻擊,你需要確定感染髮生的確切時間並選擇此時間點之前的備份檔案進行還原。另外,強烈建議使用本地檔案備份伺服器(網路附加儲存或NAS)作為備份——本地備份可以使你在事件發生後立即備份並執行,而從雲服務下載TB資料需要一段時間。但是,不要只做本地備份,因為可能會遭遇物理災害(例如火災)。備份是無聊,乏味的,而且對於NAS來說,安裝起來很困難。但是,你不得不這麼做,某些本地服務商可以幫助設定NAS,你也可以自己進行雲設定。
9.信任但要審查——每年聘請一名審計師。
很少有人建議這樣做,但是考慮到資料在業務運營中的重要性,我認為這是值得的投資。審計公司會檢查您的補丁程式,評估你的保護措施,審查你的員工政策,並對備份設定進行風險評估。考慮到發生資料洩露可能會導致你的公司破產,被起訴或甚至徹底毀掉你的生活,提前審查無疑是省心又安心的辦法。
10.不要忘記保險!
很多服務商提供身份資訊保護/恢復保險,而且非常便宜。同樣,更多樣的網路保險也變得越來越普遍,值得評估。
以上提到的十個戰術,並沒有高深複雜的技術,也沒有獨樹一幟的創新方法,但其中很多重要的事項是值得老生常談的。如果這篇文章使每個讀到它的中小企業至少採取了其中一項行動,那麼它就是有意義的。
及時掌握網路安全態勢 盡在傻蛋聯網裝置搜尋系統