行业新闻与博客

不确定如何保护您的 SMB 免受网络安全威胁？我们解释了 SMB 网络安全风险评估如何提供帮助，并概述了要涵盖的最关键领域 

尽管有些人可能认为对中小型企业进行网络安全风险评估是不必要的，但行业数据表明并非如此。中小企业的网络安全与企业组织一样重要。 

虽然 SMB 所有者和领导者可能认为黑客只针对拥有大量有价值数据的大公司，但 Verizon 的 2021 年数据泄露调查报告 (DBIR) 报告称，遭到黑客攻击的 SMB 数量几乎等于大型企业目标的数量。  

这个数字高于 2019 年和 2020 年 DBIR 版本中报告的数字，Keeper Security 的另一份报告显示中小企业更多地依赖统计运气而不是有意准备来避免网络攻击，这加剧了令人不寒而栗的增长。 

Keeper Security 的数据显示： 

• 60% 的中小型企业表示他们没有网络攻击预防计划。
• 9% 的 SMB 将网络安全列为首要业务优先事项，而 18% 将其列为最低。
• 7% 的 SMB 表示很可能发生网络攻击，而 43% 表示完全不可能发生网络攻击。
• 25% 的 SMB 表示他们不知道从哪里开始网络安全。

虽然这些数字描绘了一幅严峻的图景，但中小型企业可以通过采取主动措施来强化其基础设施并保护其数据来反击黑客。SMB 网络安全风险评估就是这样一种方式。  

让我们来分析一下。

什么是 SMB 网络安全风险评估以及为什么需要它？ 

一个网络安全风险评估是识别，分析和评估风险，您的组织每天面临的一个过程。这个过程的一部分需要识别漏洞，有人可以利用它们的可能性，以及如果有人这样做会产生什么影响。

这里的想法是，通过提前了解潜在风险及其影响，您可以采取必要的步骤来确保您拥有适当的网络安全控制和工具来支持适当的网络风险响应。

与大多数与安全相关的问题一样，准备工作至关重要。网络安全风险评估是必不可少的准备工具，任何 SMB 都可以使用它来衡量其攻击准备情况，而无需预先投入大量资源。 

通过执行网络安全风险评估，中小型企业可以了解需要采取哪些措施： 

• 识别有价值的 IT 资源，包括数据、
• 识别和量化潜在威胁，
• 隔离未缓解的漏洞，
• 避免潜在的数据泄露，
• 维护治理和合规性，
• 保证客户和员工的业务正常运行，以及
• 验证和更新 IT 安全控制。

网络安全 Ri 评估的三个要素

尽管网络安全风险评估可以像犹他州政府的 57 点评估清单一样详细，但对于 SMB 而言，涵盖高威胁区域是更好的起点。 

在本指南中，我们涵盖了三个主要重点领域： 

• 技术
• 政策
• 人们

技术网络安全风险评估办法

技术构成了大多数 SMB 的核心基础设施，但大多数 SMB 缺乏大型组织拥有的复杂的威胁监控和缓解工具。这种风险管理差距使中小企业成为黑客的软目标。 

作为补救措施，SMB 领导者可以通过在其网络安全风险评估中包含以下组件来保护其 IT 基础设施和相关资源：  

1. 安装所有设备和软件更新  

强制设备更新是密封已知软件漏洞的一种基本但有效的方法。 

在网络安全风险评估中，确保设备配置为自动更新或按预定义的时间表更新。对于非 OTA（空中）更新，请与供应商一起计划以确保按计划提供更新，并确保在服务级别协议 (SLA) 中捕获此信息。 

不实施及时更新的风险之一是暴露于零日漏洞。在这次攻击中，黑客会跟踪软件公司已发布更新的已知漏洞。但是，不应用此更新的公司仍然容易受到攻击并成为容易攻击的目标。因此，在软件供应商发布更新后立即应用所有更新至关重要。 

2. 安装防病毒和 / 或反恶意软件并保持更新

另一个基本但经常被忽视的安全措施是，防病毒软件必须始终与有效订阅保持同步。由于恶意软件每天都在演变，因此防病毒供应商会定期推送新的恶意软件定义。如果防病毒软件没有更新，它可能没有最新的定义，这意味着恶意软件很容易被忽视。 

尽管大多数 SMB 都意识到防病毒软件的重要性，但员工经常发现在单个机器级别强制执行更新具有挑战性。有些人会忽略提示或完全关闭（看起来很烦人）更新通知。在其他情况下，他们可能没有管理权限来自行应用更新。 

实施集中式防病毒是确保更新在发布时推送到所有计算机的更有效方法。   

3. 实施网络分段和隔离协议

黑客依靠利用各种漏洞来访问您的核心 IT 资产。利用加密、分段和隔离协议将确保如果入侵者访问您的网络的一部分，它不会让他们完全访问您的整个网络。 

如果您的员工远程工作或从现场访问公司基础设施，则此安全措施至关重要。通过将远程访问 VPN 网络与核心网络基础设施隔离，您可以确保远程工作的员工不会对您公司的 IT 完整性构成更大的威胁。 

4. 保护所有传入和传出的信息流

考虑到 94% 的恶意软件是通过电子邮件传递的，因此必须将通过加密和垃圾邮件过滤器保护电子邮件的内容纳入评估范围。在垃圾邮件到达您员工的邮箱之前过滤所有垃圾邮件等简单步骤可以成为保护通信安全的有效措施。 

您应该考虑保护的其他网络组件是您的公司网站和远程 VPN 访问。一些攻击者使用未加密的网站流量来访问公司电子邮件或他们可以通过网络钓鱼等攻击方法利用的任何其他数据。同样，未加密的 VPN 访问使公司容易受到嗅探和中间人攻击，这两种策略加密都会阻止。 

5. 使用分层方法进行网络安全

您的 IT 基础架构是否有足够的层来阻止攻击？分层安全避免了由于单个漏洞而导致灾难性安全故障的可能性。您应该考虑的基本层是： 

• 周边安全， 
• 端点安全， 
• 备份和灾难恢复， 
• 身份验证协议（访问控制），
• 实时监控，和 
• 员工意识培训。 

分层网络安全框架的前提是每一层都充当故障保护器，对抗其他层的安全弱点。例如，如果员工丢失了公司设备（员工意识安全失败），端点安全和身份验证协议会阻止访问设备并允许远程设备擦除。 

6. 在整个网络中部署入侵检测系统 (IDS)

及早发现攻击企图可以在实际伤害发生之前阻止它。网络入侵检测系统 (NIDS) 和基于主机的入侵检测系统 (HIDS) 等 IDS 工具可以为此提供帮助。DDoS 和暴力攻击监控等其他方法也可以提醒您发生攻击，让您的 IT 团队有时间做出响应或寻求外部帮助。 

IDS 是 IT 网络安全的重要组成部分，因为当所有其他安全组件出现故障时，它充当最后一道防线。比如说，攻击者使用网络钓鱼攻击来获取管理员密码。如果他们尝试从无法识别的 IP 地址访问安全服务器，这将触发监控工具并锁定攻击者（重置密码）或生成警报。 

7. 实施和强制实施实时数据备份

勒索软件让全世界了解了实时备份的重要性，这是每个 SMB 都应该学习的一课。在您的评估中，确定需要备份哪些资源并采取措施实施必要的解决方案，例如 OneDrive、Google Drive 或 Dropbox——所有这些都支持实时云备份和恢复。 

除了勒索软件攻击之外，没有实时数据备份解决方案会使您的公司面临其他安全威胁和损害。例如，即使没有外部攻击，员工有意或无意地删除关键数据也可能危及公司的运营，从而使公司付出代价来恢复或重建数据。 

政策性网络安全风险评估办法

政策措施为组织在培育网络安全企业文化方面的治理实践提供信息。当正确定义时，他们确定什么被认为是适当的使用和行为，什么不是。 

一些需要考虑的领域包括： 

8. 定义和执行访问控制策略

评估与用户访问（密码）、物理访问、管理访问和远程访问相关的所有政策。采取措施限制密码共享、弱密码、从公共 Wi-Fi 等不安全网络访问以及使用未经验证 / 未经授权的设备访问工作资源。 

访问控制策略的挑战之一是执行，因此这是您应该注意的领域。随着时间的推移，员工往往不遵守指导方针。他们可能从事不安全的活动，例如： 

• 密码共享， 
• 使用非工作设备访问工作，以及 
• 跨多个站点重复使用密码。 

因此，执行访问控制策略与首先定义它们一样重要。 

9. 实施多供应商端点管理政策

中小型企业通常依赖外部供应商和第三方设备。由于这些端点（打印机、计算机、平板电脑、移动设备和其他智能设备）已联网，因此请评估它们所代表的漏洞以及您可以创建哪些策略来降低潜在风险。 

多供应商端点安全的一个新兴趋势是使用自动化安全集成工具，从一个统一的仪表板保护所有端点。所有注册的设备都使用此类工具通过标准协议自动保护，确保在确认之前没有新设备连接到网络。 

10. 警惕自带设备 (BYOD)

BYOD 在大多数 SMB 中很常见，但很少有人创建强大的策略来管理 BYOD 安全。假设您允许员工使用自己的设备连接到公司系统。在这种情况下，您需要评估需要采取哪些措施来防止源自 BYOD 设备的任何网络攻击。 

BYOD 环境中出现的最普遍的攻击之一是恶意软件。当员工携带设备并将其连接到公司网络时，恶意软件很容易从端点设备跳转到安全服务器。减轻此类安全风险的一种有效方法是实施端点安全框架，以保护最终用户设备（如手机、笔记本电脑和平板电脑）的安全。 

11. 维持当前的业务连续性 / 灾难恢复计划

至少，每个 SMB 都应该知道什么时候出现问题。业务连续性计划是您在紧急情况下减少运营停机时间和维持运营的行动计划。本文档应概述您需要了解的所有信息，以帮助您的企业在小型和大型事件中保持稳定——例如处理从停电到全面自然灾害的所有事情。 

此外，您的团队需要知道如果您的公司丢失所有数据，即使是由于员工错误，他们会怎么做。如果您有灾难恢复计划 (DRP)，请包括网络攻击的威胁以及在后果中采取的缓解和恢复措施。

例如，如果您的公司受到勒索软件攻击，灾难恢复计划可以概述缓解和恢复措施。这些可能包括格式化受影响的机器并从云备份中恢复所有内容。它还可以指示如何确保勒索软件攻击不会传播到网络上的其他设备和服务器。 

12. 考虑购买网络安全保险

网络安全保险（网络责任保险或网络保险）是一种相对较新的产品，专门涵盖与信息技术相关的风险，可以帮助抵消在线业务固有的财务风险。由于获得政策需要进行网络安全评估，因此它将提供支持公司网络安全的额外好处。 

在评估网络保险时，请考虑您是否需要第一方保险、责任保险或两者兼而有之。第一方保险涵盖您免受黑客攻击、盗窃、勒索、拒绝服务和其他可能影响您业务的威胁。责任险可限制您在错误和遗漏、诉讼和其他事故后责任方面的财务风险。 

人员网络安全风险评估办法

第三块拼图是人。卡巴斯基发现，52%的企业将员工视为最重要的安全漏洞。人为因素甚至可以从内部阻碍最强大的安全 IT 和策略措施。 

您可以采取以下措施来避免“门内的敌人”情况： 

13. 实施可见的事件报告渠道

创建简单、可访问且可见的事件报告渠道，以便任何人都可以提交报告。考虑定义事件的构成要素，以便员工在看到事件时了解事件。虽然不是每个人都能识别和报告木马，但他们可以报告密码共享、远程未授权访问和其他受限操作等事件。 

当没有足够的内部资源来响应事件时，与外部网络安全公司签订合同也会有所帮助。这些公司中的大多数都有事件报告工具和结构，其中一些是自动化的，它们作为托管服务包的一部分实施。   

14. 进行全面的最终用户培训

就如何以及为何更新防病毒软件对最终用户进行培训似乎是多余的，甚至是显而易见的。尽管如此，它确实有助于避免潜在的危险行为，例如员工关闭防病毒软件，因为它会不断提示他们更新。

除了防病毒培训，还包括有关如何进行的培训：

• 锁定 PDF 文档， 
• 更改过期密码， 
• 设置一个强大的设备密码，
• 报告安全事件， 
• 安全地访问网络，以及
• 在家工作时使用 VPN。

确保所有员工，尤其是新员工，都接受过彻底的培训，有助于避免员工无意中参与网络攻击事件时的“糟糕”时刻。 

15. 将网络安全培训和意识融入您的文化中

从那以后，网络安全不再只是 IT 部门的责任。现代公司明白每个人都有责任，并采取措施培训和提高员工的意识。在您的组织中，考虑举办网络安全意识日或从员工队伍中任命网络安全冠军，他们可以不断提醒他们的同事网络安全的重要性。 

作为培训和意识计划的一部分，请确保您的网络安全评估侧重于以下领域：

• 网络钓鱼和社会工程：让员工意识到攻击使用欺骗和其他社会工程策略来操纵或诱骗他们提供密码等敏感数据。 
• 访问、密码和连接：培训用户区分一般访问和特权访问，同时涵盖 VPN 使用和公共 Wi-Fi 协议等领域。 
• 设备安全：无论您的员工使用的是公司自有设备还是个人设备，请确保您制定的政策能够让员工保持警惕。 
• 物理安全：网络安全超越网络空间，这是您应该培训员工了解并包括锁定设备、办公室和服务器机房以及在丢弃或出售 BYOD 设备时正确擦拭的一个方面。