盘点中小企业面临的 9 类安全威胁

越来越多的调查数据显示，来自企业内部的网络威胁变得越来越多，包括有意或无意的。这倒不一定意味着攻击者潜伏在企业内部。通常情况下，如果企业员工对网络安全措施持漫不经心的态度，例如使用弱密码、不更新防病毒软件等。即使是微不足道的普通员工也可能会无意中危及企业业务。

另一种可能的情况是，现任或前任员工对企业心存报复心理或出于经济利益，对企业数据或系统做出恶意破坏或窃取机密数据。

总体而言，这些内部威胁的数量正在急剧攀升。根据Ponemon Institute的一项研究，企业内部威胁在过去两年中增长了47%。

勒索软件攻击是近几年最常见的网络攻击之一。Statista的调查数据显示，勒索软件占2021年所有恶意软件攻击的68.5%。Fortinet近期发布的《2021勒索软件调查报告》显示，勒索软件攻击并不只针对大型企业，中小企业更容易受到攻击，仅2018年就有超过71%的勒索攻击专门针对中小企业而来。

勒索软件攻击往往是悄无声息的，例如企业员工无意中在本地设备上安装了恶意程序，或者打开了恶意电子邮件附件，或是点击了钓鱼网站上的链接等。随后，勒索软件就会迅速感染设备，有时甚至包括备份驱动器，进而加密所有数据，包括程序中的或存储的，甚至是备份数据。Fortinet的《2021勒索软件调查报告》显示，有49%的企业选择直接支付赎金，但许多结果是数据仍旧遭到一定程度的破坏。

勒索软件目前已有超过120种不同的类型。在2022年，勒索软件攻击变得更加频繁和危险。勒索方式也发生变化，双重勒索（黑客两次索要钱财）等新方式正变得越来越普遍。

据估计，目前全球有 220 亿台活跃的物联网（IoT）设备。到2025年，这个数字预计将达到300亿。随着物联网设备的增多，针对物联网的攻击也越来越普遍。甚至可以说，物联网的出现改变了许多网络攻击的重点和规模。

许多企业员工使用智能设备办公，或者使用可穿戴设备、联网汽车或语音助手等。如果这些设备连接企业网络，那么很可能会成为攻击者侵入企业网络的跳板。

时至今日许多物联网设备的安全防护能力仍旧非常弱，甚至完全不具备安全能力。例如设备中包含不安全的组件、糟糕的日志记录机制、使用硬编码的密码、没有提供隐私保护等。

为防范物联网攻击，用户必须采取安全措施，例如更改不安全的设置、使用强密码、及时更新补丁等。更重要的是，物联网安全防护不能存在盲区，所有企业内物联网设备都应确保安全防护能力。

设置安全密码、启用双因素身份验证——这两项几乎成为最常见的安全意识选项和常识。但令人无语的是，这两项仍然是2022年安全漏洞的常见诱因。

此前，很多针对密码安全的调查报告显示，现在仍旧有大量的人在使用弱密码，甚至可以说是“弱到爆”的弱密码，例如“123456” “111111” “000000”“abcdef”“admin”，诸如此类。

这样的弱密码简直就相当于没有密码！

同样，双因素身份验证 (2FA) 或多因素身份验证 (MFA)也并不常见。或者准确来说，是系统有该项功能，用户却不经常启用。有调查显示，只有2.3%的用户激活了2FA。

弱密码甚至会导致严重的安全事件。例如，美国燃气管道运营商Colonial Pipeline 遭受勒索软件攻击事件，据称是与某员工未激活2FA有关。

相比之下，激活2FA功能并使用复杂的密码可以防止100%的自动机器人攻击、96%的批量网络钓鱼攻击和76%的直接目标攻击。

许多中小企业的一个常见安全短板在云服务。

云服务因较低的资费和维护成本以及可扩展性而受到中小企业广泛青睐。尤其是在新冠肺炎疫情期间，云服务是许多小企业维持业务运营唯一途径。

然而，在安全性方面，云环境存在几个严重缺陷。

首先，云提供商是否符合等保合规问题需要企业用户在选择云服务时需要重视的，这是基本项。此外，还有数据泄露风险问题，在使用到期后，有的云提供商未必保证永久删除用户数据。最后，最大的问题是企业对云环境中的数据及其可见性的控制较弱。

都2022年了，网络钓鱼这种“老掉牙”的攻击没成想仍然是目前中小企业面临的重大网络威胁。

同时，它们还是勒索软件等恶意软件攻击最常见的入口点。尤其是在新冠肺炎疫情期间，网络钓鱼诈骗甚至占据所有威胁的“头把交椅”。

许多数据表明，小企业特别容易受到网络钓鱼攻击。这是因为很多小企业在网络安全基础设施方面的投入过少，并且安全意识过弱。

有人预计2022年将有80%以上的网络泄露事件与网络钓鱼攻击有关。然而，仍然有许多人对防范钓鱼攻击过于自信——有73%的人表示他们对识别网络钓鱼电子邮件的能力充满信心，这一结果令人揪心。

许多攻击者在对企业发起网络攻击时只针对一个目标，即客户隐私信息，并以此来牟利。

数据隐私问题同样关乎中小企业的生死存亡。许多中小企业都已将数据隐私作为优先事项。一方面是安全形势所迫，另一方面也是合规原因。例如，欧盟的GDPR（通用数据保护条例）为企业如何收集、使用、存储和删除数据制定了严格的规则。在我国，《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等对数据保护有着严格规定。

来自客户的要求也是企业加强数据隐私保护的重要驱动力——许多大客户拒绝与没有专门数据安全策略的企业合作。

从智能手机到平板电脑，移动设备已无处不在。因此，它们经常成为网络攻击的目标。

与台式电脑相比，人们在移动设备上的安全标准和意识要低得多。例如，移动设备经常被用来访问不安全的Wi-Fi网络。因此，它们经常成为间谍软件、数据盗窃、加密劫持和勒索软件攻击的目标。

人工智能 (AI)将在网络安全领域发挥更重要的作用。一方面，攻击者将更多AI工具增强其攻击能力和自动化水平，进而实施更为复杂和频繁的攻击。另一方面，中小企业可以利用先进的AI系统自动识别网络钓鱼和密码漏洞等威胁，并且许多身份盗窃保护服务使用AI来监控信息是否已被泄露于众。

中小企业可以借助AI工具来增强行为分析和其他网络安全能力。例如，通过AI监测员工的异常行为，判断是账户被盗或是其他内部威胁。

2022 年将是中小企业面临网络安全挑战更为严峻的一年，内部威胁、勒索软件、网络钓鱼、移动和物联网攻击只是其中的一部分，更复杂的攻击可能会随时“光临”。

中小企业因缺乏足够的资金和人力投入而受到更大的压力。此时，中小企业能做的事情就是部署更实用且适合自己的网络安全基础设施，制定严格的网络安全战略，加强员工安全培训，从多方面应对这些挑战。

其中，在部署网络安全基础设施时，单点解决方案是不可行的，同时中小企业不一定非要“贪大求全”一味叠加更多安全工具，部署一体化的解决方案或者托管安全服务或许是更为实际的选择。