中小企業(yè)知道自己必須更加關(guān)注網(wǎng)絡(luò)安全�����,以下幾個(gè)領(lǐng)域就是他們目前最關(guān)心的:
1. 網(wǎng)絡(luò)釣魚(yú)激增
Webroot調(diào)查研究發(fā)現(xiàn),全球IT決策者認(rèn)為���,網(wǎng)絡(luò)釣魚(yú)已經(jīng)取代了其他新型惡意軟件�����,成為今年公司企業(yè)最容易遭受的攻擊�����。雖然網(wǎng)絡(luò)釣魚(yú)已存在多年��,但曾經(jīng)不在網(wǎng)絡(luò)釣魚(yú)攻擊者目標(biāo)范圍內(nèi)的中小企業(yè)如今已不再免疫�����,他們往往會(huì)被當(dāng)成進(jìn)入大型企業(yè)的跳板而加以攻擊���。
2. 勒索軟件問(wèn)題深化
Webroot研究發(fā)現(xiàn),后WannaCry時(shí)代�����,在中小企業(yè)心中的威脅排行榜上�����,勒索軟件今年從第五位爬升到了第三位��,而英國(guó)的中小企業(yè)更是將勒索軟件列在了最易遭受的攻擊類型No.1的位置。Webroot的Tomeo稱����,這些結(jié)果遵循了他看到的市場(chǎng)現(xiàn)象,過(guò)去的一年里他的員工基本忙于處理勒索軟件事件�����。
對(duì)很多小公司而言����,被勒索軟件攻擊已成了他們的“恐慌時(shí)刻”,很多情況下他們會(huì)選擇支付贖金——即使FBI建議他們不要這么做���。然而�����,即便支付了贖金����,詐騙犯?jìng)円部赡苤贿€給他們50%的文件�,有時(shí)候甚至一份文件都不恢復(fù)。
3. 內(nèi)部人威脅減少
距離斯諾登事件爆發(fā)已有5年�,大部分中小企業(yè)不再對(duì)內(nèi)部人威脅毫無(wú)防備:Webroot調(diào)查顯示��,全球僅25%的公司稱內(nèi)部人威脅依然成為問(wèn)題�。過(guò)去幾年中大部分公司都開(kāi)展了積極的教育項(xiàng)目����,公司企業(yè)更小心謹(jǐn)慎地對(duì)待權(quán)限授予問(wèn)題,雇員也更加了解來(lái)自內(nèi)部的威脅����。
坊間傳言,相比大型咨詢公司或擁有數(shù)千員工的國(guó)防承包商�,中小企業(yè)這種員工間對(duì)彼此業(yè)務(wù)都很熟悉的環(huán)境,更不容易被心懷惡意的員工找到機(jī)會(huì)作惡��。
4. 新惡意軟件擔(dān)憂持續(xù)
Webroot對(duì)3個(gè)國(guó)家安全人員的調(diào)查表明�,新形式的惡意軟件感染仍然是安全人員比較關(guān)心的重點(diǎn)。在美國(guó)�����,擔(dān)憂新型惡意軟件的占比37%��,澳大利亞34%��,英國(guó)32%�。攻擊者持續(xù)推出新型惡意軟件,讓安全公司忙于跟進(jìn)?��,F(xiàn)在的情況顯然與5年或10年前大不相同���。在過(guò)去,安全人員添加個(gè)病毒特征碼就能擋住一個(gè)已知惡意軟件�。今天,很多新惡意軟件動(dòng)態(tài)改變特征碼����,當(dāng)前威脅環(huán)境變得極為棘手。
5. 培訓(xùn)項(xiàng)目并不持續(xù)
太多公司企業(yè)的培訓(xùn)項(xiàng)目沒(méi)有保持連貫性����。比如說(shuō),接受信用卡的公司就沒(méi)跟進(jìn)年度PCI培訓(xùn)����。公司企業(yè)要么做一遍培訓(xùn)就完事,要么只對(duì)CEO或董事做培訓(xùn)�����,而將負(fù)責(zé)具體事務(wù)的員工排除在外�。
Webroot做安全培訓(xùn)的方法是在每次事件發(fā)生時(shí)插入培訓(xùn)內(nèi)容�����。舉個(gè)例子����,當(dāng)某員工點(diǎn)擊了惡意鏈接���,系統(tǒng)就會(huì)彈出一段2分鐘的可疑連接點(diǎn)擊后果教育視頻�����。在事件發(fā)生當(dāng)時(shí)做培訓(xùn)��,會(huì)讓員工更容易記住教訓(xùn)���,也讓公司避免了浪費(fèi)整塊工作時(shí)間搞培訓(xùn)。而最糟糕的培訓(xùn)方式���,就是所謂的“照單劃勾”式培訓(xùn)——每年搞一兩次形式化的培訓(xùn),沒(méi)人認(rèn)真對(duì)待���,效果根本沒(méi)有��。
6. 安全事件損失下降
Webroot和卡巴斯基的研究在安全事件的損失額度上出現(xiàn)了分歧���。Webroot報(bào)告稱安全事件平均損失為52.7萬(wàn)美元��,下降了9%���,而卡巴斯基將這個(gè)數(shù)字定在了12萬(wàn)美元。不過(guò)�,卡巴斯基稱,企業(yè)規(guī)模不同��,安全事件所致?lián)p失數(shù)額也有較大差異�,員工數(shù)在500人以下的中小企業(yè)平均損失在20萬(wàn)美元,500-999人規(guī)模的中小企業(yè)遭遇安全事件的平均損失約為100萬(wàn)美元����。公司企業(yè)計(jì)算安全事件損失時(shí),還必須考慮罰款��、律師費(fèi)�����、緩解工作開(kāi)支和信譽(yù)損失所致的業(yè)務(wù)損失。
7. 安全預(yù)算增長(zhǎng)
卡巴斯基指出���,中小企業(yè)安全預(yù)算從2017年的20.1萬(wàn)美元增長(zhǎng)到了2018年的24.6萬(wàn)美元��。小微企業(yè)安全預(yù)算漲幅最大�����,過(guò)去12月來(lái)從2400美元增加到3900美元���。這表明,即便是最微小的公司���,如今也開(kāi)始正視IT安全問(wèn)題了�����。
卡巴斯基稱��,小公司往往負(fù)擔(dān)不起聘請(qǐng)年薪15-20萬(wàn)美元的CISO�����,但越來(lái)越多的小公司開(kāi)始訴諸于業(yè)內(nèi)流行的“CISO租賃”概念����。公司企業(yè)可以租借CISO來(lái)搞培訓(xùn)���,或者花費(fèi)CISO一段時(shí)間評(píng)估他們的整體安全準(zhǔn)備度�����,然后請(qǐng)CISO定期回訪查看公司安全的進(jìn)展�����。
8. 代價(jià)最高昂的安全事件發(fā)生在云提供商身上
卡巴斯基的報(bào)告顯示����,影響第三方托管IT基礎(chǔ)設(shè)施的攻擊����,是中小企業(yè)面臨的代價(jià)最高昂的威脅之一。中小企業(yè)平均要花費(fèi)11.8萬(wàn)美元才能從此類攻擊中恢復(fù)�,其次就是涉非計(jì)算型物聯(lián)網(wǎng)設(shè)備的事件——9.8萬(wàn)美元。AWS和微軟Azure之類大型公共云提供商兵強(qiáng)馬壯�,而很多終端解決方案云提供商并沒(méi)有把安全當(dāng)成頭等大事看待。中小企業(yè)主在簽下新服務(wù)時(shí)應(yīng)慎重考慮����。
9. 技術(shù)復(fù)雜性驅(qū)動(dòng)安全投資
卡巴斯基報(bào)告稱���,超過(guò)1/3的公司企業(yè)將IT基礎(chǔ)設(shè)施復(fù)雜度的增加和提升專業(yè)安全知識(shí)的需求作為投資網(wǎng)絡(luò)安全的動(dòng)機(jī)。在邊界上搭建防火墻來(lái)保護(hù)護(hù)城河的時(shí)代一去不復(fù)返����。今天,移動(dòng)性驅(qū)動(dòng)業(yè)務(wù)應(yīng)用��,而業(yè)務(wù)的方方面面幾乎都依賴IT����。有太多的基礎(chǔ)設(shè)施需要保護(hù),太多的設(shè)備和應(yīng)用需要鎖定���。于是�����,專精某方面安全技能的安全人員投入也就更大了���,DDoS攻擊、網(wǎng)絡(luò)釣魚(yú)���、Office
365�、云、IoT�����,各方面都需要相應(yīng)的安全人手���。
