中小企业的6大网络安全错误认知

中小型企业可能会陷入这样一个误区，即认为网络犯罪分子只会针对大型企业，并不会拿自己开刀。然而，事实并非如此，Check Point Software Technologies的网络安全顾问Sadiq Iqbal表示，中小型企业不仅不会因为其较小的规模而免受攻击，反而正因为它们规模较小，所以更容易成为攻击目标。

“据统计数据显示，大多数网络攻击都会针对中小型企业，理由很简单，因为中小型企业更容易被针对，它们不像大型企业那样拥有强大的安全防护措施。所以这种‘小就不被攻击’的错误认知，很可能会给企业带来严重的后果。”

因此，Pocket CISO的创始人Carlota Sage建议，中小型企业不要被“攻击概率”蒙蔽了双眼，中小型企业的基数较大，不代表彼此不会成为攻击者的首要目标。“要我说，中小型企业更不能忽视网络安全措施。道理很简单，你们有银行账户，会使用互联网，那你们就是目标。比起大型企业的网络安全建设，你们是不是更容易入侵？黑客攻击你们的成本是不是更低？”

根据Sage的经验，大多数中小型企业确实希望能做出更好的建设，但它们同样也更需要来自行业和政府的支持。与美国不同，英国和澳大利亚的政府监管力度更大，因此需要更多专门的资源。Sage说：“作为中小型企业的安全供应商，我们有责任更好地支持中小型企业。同时，作为专为中小型企业提供服务的安全人员，我也一定会付出更多的努力来帮助它们做好安全建设。”

OpenText网络安全公司的安全情报主管Grayson Milbourne是一位威胁分析师，常年专注于小型企业。他表示，中小型企业往往会低估勒索软件的威胁。对此，他引用了OpenText的《全球中小型企业勒索软件调查报告》，该报告发现，超过三分之二（67%）的受访者要么不相信自己是勒索软件的目标，要么不确定自己会否成为目标。

太多中小型企业认为网络犯罪分子技术高超、手段复杂，不会对规模较小的企业感兴趣。然而，事实并非如此，近一半（46%）的受访者表示，作为中小型企业的自己，曾经确实遭受过勒索软件攻击。

勒索软件是一种低成本、相对容易部署的攻击工具，其可轻易地对中小型企业发起攻击。Grayson 表示：“勒索软件即服务（RaaS）非常容易被购买，也很容易部署，几乎不需要任何技术知识。因此，中小型企业若未能投入足够的资源，就很可能受到勒索组织的攻击。个人建议，中小型企业要改变自己对勒索软件的看法，同时需要制定相应的政策和策略，比如购买技术工具，比如和安全厂商进行合作，以更好地保护自己。”

Grayson指出，如果中小型企业真的遭受了勒索攻击，它们必须得寻求安全专家来帮助应对事件，尤其是要考虑到：支付赎金并不能保证恢复数据。

关于攻击造成的影响，有一些令人震惊的统计数据。根据希思科保险（Hiscox）发布的《2023年网络就绪度报告》，就在去年，美国小型企业所支付的赎金超过了1.6万美元。希思科保险公司技术与网络安全副总裁Christopher Hojnowski表示，勒索软件给小企业带来了巨大的成本。而其本人与美国60多万家小企业有过合作。

调查发现，支付赎金的企业中，只有一半最终能够找回数据，而另一半则不得不重建系统。此外，令人愤怒的是，有27%的企业遭受过二次攻击，另有27%的企业则被要求支付更多的赎金。Christopher对此的态度很明显：“我们当然不建议支付赎金。”

Sage认为，网络安全问题不能仅靠技术解决，其在很大程度上更应该是“人的问题”。“技术可以发动攻击，技术可以预防攻击，技术可以在被攻击后进行恢复和溯源。但之所以这些技术能发挥作用，其离不开的是人员本身的作用。”

当然，这也引发了其他的问题，即在预算不足，在缺乏网络安全知识的情况下，中小型企业该如何面临网络威胁带来的挑战？它们没有关于合规框架的指导，也没有明确的安全建设方向，因此它们就只能依赖安全供应商所提供的支持。

Grayson建议，中小型企业的一大出路，是利用好政府资源，比如常去查找政府所提供的指南和最佳实践，从这些基本的保护措施开始入手。在美国，小企业管理局和联邦通信委员会都会提供相关的信息和资源；在英国，国家网络安全中心会提供指导，全球网络安全联盟（GCA）也有一套为中小型企业设计的工具包；在澳大利亚，他们的信号指挥部也为中小型企业提供了指南。

Sage补充说，由于大多数企业都在使用Google Workspace或Microsoft Office 365，因此这些平台的知识库对中小型企业来说，也是重要的建设指南。当然，在这些平台之外，中小型企业还应寻求当地的指导资源。

养成良好的网络安全卫生习惯应该是所有企业的重中之重。对此，Hojnowski表示，在许多中小型企业里，使用弱密码的情况非常普遍，甚至有些登录系统的密码还是默认的，这都会给企业带来极大的安全风险。“此外，还有些企业，它们所有的安全服务器就只用单个密码，并且还没有单独的管理员密码。我们要知道的是，管理员账户是威胁行为者最想攻陷的账户，因为只要这个账户被攻陷，就等于企业的整个系统已经交到了坏人手中，到时再想弥补就为时已晚了。”

另一方面，许多中小型企业虽然会备份自己的数据，但它们往往会忽视备份测试的重要性。Hojnowski：“如果不能确保备份是可用的，那在企业遭受攻击后，万一备份无法使用，这将会带来万劫不复的后果。因此，中小型企业如果希望能够从攻击中恢复，并减轻损害，这就意味着，所有的备份系统、备份数据都是可靠，并经过检查的，企业要确保备份没有损坏，这样备份措施才有意义。”

根据希思科保险集团（Hiscox）发布的《2023年网络就绪度报告》，只有53%的中小型企业拥有和网络安全相关的保险政策。而其实从现实来看，拥有合适的网络安全保险至关重要。

Hojnowski对此表示：“没有网络安全保险作为保障的中小型企业，很可能会因为网络攻击而承担相应的财务成本。可见，网络安全保险能提供了对新兴威胁的保护，以及能为企业承担违规的成本。”

Rapid7的首席科学家Raj Samani表示，当中小型企业使用新技术时，对于这其中的风险，它们或许有着与大型企业截然不同的理解，但有一点必然是相通的，那就是风险的性质和程度，绝不会因为规模的不同而有所改变。

因此，大型企业往往拥有更多的风险管理视角，而规模较小的企业则会将效率置于安全之上。Samani表示，他见过一些中小型企业会购买新的数字系统，比如一些远程访问协议，而这些系统会让中小型企业更容易受到攻击，因为远程访问协议是勒索软件团伙最喜欢利用的一类系统。

对于中小型企业来说，采用新的数字工具需要不同的方法，但他们一般不具备相应的资源，能聘请大型咨询公司来提供建议。Samani对此表示：“所以我们需要用更简单的方法来阐明，他们目前可以做好哪些安全建设。比如，中小型企业还会犯的一个错误是没有实施多因素身份验证，而这应该是最基本的安全手段。”

为了在安全建设上设定正确的优先级，Samani建议，中小型企业首先应该分析当前的网络安全状况，不要忽视潜在的漏洞，然后评估预算是否充足，以及考虑企业在哪些方面可能有着的特殊需求。“请审查自己，看自己的合作对象里，有没有那些被视为高风险的行业，以及要想清楚，在发生违规行为时，自己的需求到底是什么。”

Samani指出，一旦建立了相应的基线，就要采取系统的方法来提高防御能力，比如：

中小型企业需要在安全领域里，投入与其风险状况相称的预算，并考虑自己的需求、重要的业务信息，以及所持有的敏感个人数据，是否已被纳入相应的管理流程中。Hojnowski对此表示：“每家公司都需要评估其运营情况，以及他们愿意投入多少资金来防止可能发生的业务中断。”

安全成本需要与市场、销售和其他支持业务运营的成本相平衡。Samani说：“对中小型企业来说，同样需要投入相应的资金来保障员工的工作，以及保护客户、品牌和产品的安全。这需要根据企业的市场和复杂性来进行确切的计算。”

对中小型企业而言，他们常会犯的“安全认知错误”是什么，关于中小型企业的网络安全建设又该如何完善，国内安全专家如此建议。

某科技公司CISO张鲁表示，对中小型企业来说，他们的认知中总会存在“幸存者偏差”，或者说对黑色产业的认知信息差不足，总认为自己的业务规模小，不会成为攻击目标。因此，他们会觉得当下的安全建设已然完全，足以对抗接下去的威胁趋势，或者他们会存粹以其他公司为参照物，觉得他人没问题，自己也应该没问题。

“我看到太多中小型企业，明明已经发现自己公司系统有漏洞，但他们也不会去修，应该概念总是觉得，既然一路走来都没问题，那以后也不会有问题。要么就是认为有安全产品就万事大吉了，觉得杀软能解决一切病毒木马。而其实安全的本质在于持续对抗，是人和人之间的斗争，所以这些观念不改变，总有一天会为此付出代价。”

对此，张鲁建议，安全建设应该follow IT建设，技术应该解决一切问题，无条件为业务服务，为所有风险兜底。“同时，改变认知错误的重点对象是企业管理者和决策者，除了日常信息输入以外需要善于抓典型，人教人百言无用，事教人一次入心。”

某A+H股上市公司信息安全负责人孙琦表示，根据平时和行业伙伴的交流，他个人觉得中小企业在安全认知方面常见的错误主要包括以下内容：

因此，通常他会建议中小企业可以以下措施提升安全认知和保障：

而针对中小企业的网络安全建设，孙琦建议，要从技术和安全管理的角度，参考行业标杆企业进行全面的安全能力覆盖，但在具体投入和不同阶段的安全需求上，要进行实际调整。“并不是说安全必须要非常大量的投入才能去做的，关键点在于结合当下的实际，以下具体建议是在很多行业充分实践后效果比较好的建议，具体实施时企业必须结合实际情况和需求进行调整和补充。”具体内容如下：