面向中小企业的 7 条网络安全提示

当头条新闻集中在像 Optus 漏洞这样的大型企业的漏洞上时，小型企业很容易认为他们不是黑客的目标。当然，他们不值得花时间或精力吗？

不幸的是，当谈到网络安全时，规模并不重要。

假设您不是目标会导致许多 SMB 缺乏采取简单安全措施的知识或专业知识来采取松懈的安全措施。很少有小型企业将网络安全放在首位，而黑客对此心知肚明。据 Verizon 称，在过去几年中，受到攻击的小型企业数量稳步攀升——2021 年 46% 的网络泄露事件影响了员工人数少于 1,000 人的企业。

网络安全并不需要困难

保护任何企业的安全不需要很复杂，也不需要付出高昂的代价。这里有七个简单的提示，可帮助小型企业保护其系统、人员和数据。

每个组织的系统和设备上都有防病毒软件，对吗？不幸的是，Web 服务器等业务系统经常被忽视。对 SMB 而言，重要的是要考虑进入其网络的所有入口点，并在每台服务器以及员工的个人设备上部署防病毒软件。

黑客会找到薄弱的入口点来安装恶意软件，防病毒软件可以作为一个很好的最后手段，但这不是灵丹妙药。通过持续监控和渗透测试，您可以在黑客攻击之前发现弱点和漏洞，因为在前门阻止窃贼比在他们进入您家中更容易。

周边可能会受到远程攻击，因为它全天候 24 小时可用。黑客不断扫描互联网寻找弱点，因此您也应该扫描自己的边界。漏洞未修复的时间越长，发生攻击的可能性就越大。借助Autosploit和Shodan等现成的工具，攻击者比以往任何时候都更容易发现面向互联网的弱点并加以利用。

攻击面由暴露在互联网上的所有系统和服务组成。攻击面越大，风险就越大。这意味着暴露的服务（如用于电子邮件的 Microsoft Exchange）或内容管理系统（如 Wordpress）可能容易受到暴力破解或凭据填充的攻击，并且几乎每天都会在此类软件系统中发现新的漏洞。通过取消公众对不需要公众访问的敏感系统和界面的访问，并确保在他们访问的地方启用 2FA，可以限制风险并大大降低风险。

减少攻击面的第一步是使用安全的虚拟专用网络 (VPN)。通过使用 VPN，可以避免将敏感系统直接暴露在互联网上，同时保持它们对远程工作的员工的可用性。谈到风险，预防胜于治疗——除非绝对必要，否则不要将任何内容暴露在互联网上！

从网络浏览器到商业应用程序，每天都会在各种软件中发现新的漏洞。只要一个未修补的弱点就可能导致系统完全受损和客户数据泄露；正如TalkTalk在其 150,000 条私人数据记录被盗时发现的那样。

根据网络安全漏洞调查，持有客户电子个人数据的企业发生漏洞的可能性高于平均水平。补丁管理是良好网络卫生的重要组成部分，有一些工具和服务可以帮助您检查软件是否缺少任何安全补丁。

勒索软件正在增加。根据Sophos的研究，2021 年，37% 的企业和组织受到勒索软件的攻击。勒索软件会加密它可以访问的任何数据，使其无法使用，并且如果没有解密数据的密钥就无法逆转。

数据丢失是任何企业面临的主要风险，无论是出于恶意还是技术事故（例如硬盘故障），因此始终建议备份数据。如果您备份了数据，就可以通过恢复数据来对抗攻击者而无需支付赎金，因为受勒索软件影响的系统可以在没有攻击者密钥的情况下从未受影响的备份中擦除和恢复。

网络攻击者通常依赖于人为错误，因此员工接受网络卫生培训至关重要，这样他们才能识别风险并做出适当响应。2022 年网络安全漏洞调查显示，最常见的漏洞类型是员工收到欺诈性电子邮件或网络钓鱼攻击 (73%)，其次是通过电子邮件或在线冒充组织的人 (27%)、病毒、间谍软件和恶意软件 (12%) ) 和勒索软件 (4%)。

提高对使用复杂密码的好处的认识并培训员工发现网络钓鱼电子邮件和恶意链接等常见攻击，将确保您的员工成为优势而不是弱点。

网络安全措施应始终适合组织。例如，处理银行交易或有权访问医疗保健数据等敏感信息的小型企业应采用比宠物店严格得多的安全流程和做法。

这并不是说宠物店没有保护客户数据的责任，但它不太可能成为攻击目标。黑客是受金钱驱使的，所以奖金越大，就越会投入更多的时间和精力来实现他们的收益。通过使用一些工具识别威胁和漏洞，可以采取适当的步骤来减轻和优先处理哪些风险需要以何种顺序处理。

对大公司的攻击占据了新闻的主导地位，这助长了人们认为中小企业是安全的看法，而事实恰恰相反。攻击越来越自动化，因此中小型企业与大型企业一样容易受到攻击，如果他们没有适当的安全流程则更是如此。黑客将始终遵循阻力最小的路径。幸运的是，入侵者让这部分变得容易了。

1. >>>等级保护<<<
2. 开启等级保护之路：GB 17859网络安全等级保护上位标准
3. 回看等级保护：重要政策规范性文件43号文（上）
4. 网络安全等级保护：安全管理中心测评PPT
5. 网络安全等级保护：等级保护测评过程要求PPT
6. 网络安全等级保护：安全管理制度测评PPT
7. 等级保护测评之安全物理环境测评PPT
8. 网络安全等级保护：云计算安全扩展测评PPT
9. 网络安全等级保护：第三级网络安全设计技术要求整理汇总
10. 网络安全等级保护：等级测评中的渗透测试应该如何做
11. 网络安全等级保护：等级保护测评过程及各方责任
12. 网络安全等级保护：政务计算机终端核心配置规范思维导图
13. 网络安全等级保护：什么是等级保护？
    
14. 网络安全等级保护：信息技术服务过程一般要求
15. 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载
16. 闲话等级保护：什么是网络安全等级保护工作的内涵？
17. 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求
    
18. 闲话等级保护：测评师能力要求思维导图
    
19. 闲话等级保护：应急响应计划规范思维导图
    
20. 闲话等级保护：浅谈应急响应与保障
    
21. 闲话等级保护：如何做好网络总体安全规划
    
22. 闲话等级保护：如何做好网络安全设计与实施
    
23. 闲话等级保护：要做好网络安全运行与维护
    
24. 闲话等级保护：人员离岗管理的参考实践

25. 网络安全等级保护：浅谈物理位置选择测评项

26. 信息安全服务与信息系统生命周期的对应关系
27. >>>工控安全<<<
28. 工业控制系统安全：信息安全防护指南
29. 工业控制系统安全：工控系统信息安全分级规范思维导图
30. 工业控制系统安全：DCS防护要求思维导图
31. 工业控制系统安全：DCS管理要求思维导图
32. 工业控制系统安全：DCS评估指南思维导图
33. 工业控制安全：工业控制系统风险评估实施指南思维导图
34. 工业控制系统安全：安全检查指南思维导图（内附下载链接）
35. 工业控制系统安全：DCS风险与脆弱性检测要求思维导图
36. >>>数据安全<<<

37. 数据安全风险评估清单

38. 成功执行数据安全风险评估的3个步骤

39. 美国关键信息基础设施数据泄露的成本

40. VMware 发布9.8分高危漏洞补丁

41. 备份：网络和数据安全的最后一道防线

42. 数据安全：数据安全能力成熟度模型

43. 数据安全知识：什么是数据保护以及数据保护为何重要？

44. 信息安全技术：健康医疗数据安全指南思维导图

45. >>>供应链安全<<<

46. 美国政府为客户发布软件供应链安全指南
    

47. OpenSSF 采用微软内置的供应链安全框架
    

48. 供应链安全指南：了解组织为何应关注供应链网络安全
    

49. 供应链安全指南：确定组织中的关键参与者和评估风险
    

50. 供应链安全指南：了解关心的内容并确定其优先级

51. 供应链安全指南：为方法创建关键组件

52. 供应链安全指南：将方法整合到现有供应商合同中

53. 供应链安全指南：将方法应用于新的供应商关系

54. 供应链安全指南：建立基础，持续改进。

55. 思维导图：ICT供应链安全风险管理指南思维导图
    

56. 英国的供应链网络安全评估

57. >>>其他<<<

58. 网络安全十大安全漏洞

59. 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

60. 网络安全等级保护：应急响应计划规范思维导图

61. 安全从组织内部人员开始

62. 影响2022 年网络安全的五个故事

63. 2023年的4大网络风险以及如何应对

64. 网络安全知识：物流业的网络安全

65. 网络安全知识：什么是AAA（认证、授权和记账）？

原文始发于微信公众号（祺印说信安）：面向中小企业的 7 条网络安全提示