By Jeffrey - 资深IT经理人,IT运营和安全顾问,历任多家知名跨国企业包括麦肯锡大中华区、通用电气公司、壳牌石油、英美烟草等公司IT总经理
不仅仅是对于大型知名企业,对于各种规模的公司来说,网络安全都同样是一个关键的业务问题,如果发生安全漏洞,其品牌可能会受到严重打击。事实上,网络攻击者知道中小型企业是最脆弱的,不幸的是,损害不仅仅是损害中小企业的声誉,它可以让它完全破产。
在 Verizon 的2022 年数据泄露调查报告中,2021年所有网络安全漏洞中有 46% 发生于员工人数少于 1,000 人的组织,其中 61% 的中小企业更不幸成为攻击目标——其中大多数没有网络保护。勒索软件被证明是最常见的攻击形式,并导致敏感数据丢失,只有一半以上的受害者实际支付了赎金——这是预算较小的小公司负担不起的。
这是可以理解的,相比与销售相关的活动,中小型企业关注网络安全更少,投入的时间和资源也不如大型企业。当你认为解决方案通常被视为“昂贵且过于复杂”时,网络安全就不在第一优先考虑范围并不奇怪,尽管不能实施大型企业的复杂或安规的网络安全解决方案,有一些简单的免费和廉价措施,是值得中小企业主考虑并立刻实施的。
值得记住的是,没有100%安全这样的事情。但是,如果您有足够的措施和资源来知道如何在攻击发生后采取行动,以及如何从攻击中快速恢复,那么您已经涵盖了将其影响降至最低的关键方面。这一切都是为了了解公司网络中的安全漏洞在哪里,以及如何“堵住”它们。
1. 身份和身份验证
“身份”可能是小企业在安全性方面遇到的第一个问题。这是一个谁在使用设备以及如何证明它的问题,对于大企业来说,有一个完整的行业在那里使用强身份验证和单点登录(SSO)来解决身份和安全问题。然而,对于小型企业来说,有一个问题:这些技术通常建立在Microsoft Active Directory目录服务之上,这个方案复杂,需要部署成本和不断的人力维护,对于小型企业稍显昂贵。并且大多数仍然忽略了SMB所需的特定变化或区别,但是利用基于云的目录服务 - 目录即服务(DaaS)进行用户身份管理可以为SMB所有者启用单一登录。
小型组织的一种解决方案是利用密码管理、多因素身份验证 (MFA)和最小特权原则(PoLP)(一种安全概念,使用户能够仅对某些任务的数据或应用程序具有特定访问权限)的强大功能来填补您的身份和身份验证安全漏洞。简单的密码策略是行不通的,密码重用很普遍,许多人出于方便而选择最常见的密码之一,包括生日,连续数字和标准英语键盘的前六个字母,以及ABC123之类非常容易破解的密码。
简单的解决方法是为所有业务关键型应用程序和帐户强制实施唯一的强密码。随机密码生成器是保证一次性使用的绝佳选择,密码管理器可帮助用户掌握这些密码。
任何身份管理策略还应包括可靠的 MFA 流程,只要可以实现这一点。微软最近的研究表明,如果激活MFA,有99.9%的客户可能阻止了至少一次攻击。MFA技术已经在银行业使用了很长时间,现在它已经出现在许多主流产品中,包括像Microsoft Office 365,Google Workspace和Apple iWork等大型企业应用中。启用 MFA 并不是帐户泄露的灵丹妙药,但它可以大大增加攻击者的难度。
但仍在存在风险:如果公司中的每个人都具有可以进行系统更改并访问重要数据的权限,那么只需要一个帐户就可以被恶意软件或网络犯罪分子入侵,那么安全也就不存在了。不可避免地,在中小型企业中,员工经常必须身兼数职,并在一系列角色和系统中工作,因此可能需要权衡安全性与便利性,因此,还需要身份安全的最后一道防线:PoLP(最小特权原则)。PoLP是指将用户、账户和计算进程的访问权限限制为仅执行日常授权活动绝对需要的那些资源的概念和实践。特最小权限安全模型需要强制执行最低级别的用户权限或最低权限级别,以允许用户执行他/她的角色。但是,最小权限也适用于流程、应用程序、系统和设备(例如物联网),因为每个都应该只具有执行授权活动所需的权限。
实现最小权限模型的主要好处:
- 精简的攻击面:限制人员、进程和应用程序的权限意味着攻击的路径和入口也减少了。
- 减少恶意软件感染和传播:因为恶意软件(例如 SQL 注入)将被拒绝提升允许其安装或执行的进程所需的权限。
- 改进的操作性能:将特权数量限制在执行授权活动的最小进程范围内,可减少其他应用程序或系统之间出现不兼容问题的机会,并有助于降低停机风险。
- 更容易得合规途径:通过限制可以执行的潜在活动,最小权限实施有助于创建一个不太复杂的环境,从而更便于审计。此外,许多合规性法规要求组织应用最小权限访问策略以确保适当的数据管理和系统安全。
如何实现PoLP就不再展开,如有需要,欢迎讨论。
2. 补丁管理
对于大多数小型企业来说,最迫切需要解决的安全漏洞是修补。
即使是最好的软件也会出现漏洞,“随着时间的推移,软件需要定期打补丁,否则遭受漏洞只是时间问题。修补的有效性取决于定期更新操作系统和软件的客户数量。对于中小型企业来说,这可能很难管理。
补丁管理工具可以帮助集中流程。错误配置,过时和未打补丁的软件是黑客试图利用的三个主要漏洞。能够自动化该过程对于没有IT团队的中小型企业特别有益。利用具有内置漏洞扫描的工具,可以找到易受攻击的设备并告诉您如何修复问题。
3. 电子邮件和网络钓鱼
现在的办公模式离不开电子邮件,无论大型企业或中小企业同样如此。企业电子邮件系统是一个敞开的前门,几乎可以接受发送到有效电子邮件地址的任何消息,即使清除了危险的附件,网络钓鱼攻击也一如既往地普遍存在,而这是几乎无法管理的威胁。需要让防范意识植入每一个员工脑中,并不断重复强化它。安全培训和电子邮件过滤,加上防病毒软件,都有助于缓解这个威胁。但为了更好地保护,建议通过统一端点管理软件等工具,更好地了解和控制访问网络的设备。对于一家中小企业来说,这可能是一个很大的要求和一笔较大的支出。但是,平台和服务的这些入口点为攻击者提供了巨大的机会,因此投资于他们的保护具有最大的价值。
如果您的员工确实成为网络钓鱼攻击的受害者,请记住,事后的响应方式仍然会对整体威胁环境产生影响,需要训练员工立即更改密码并报告事件,而不是试图隐匿。报告这一点始终很重要,不要惩罚员工,因为这会阻止他们报告未来的事件。
4. 远程桌面
远程桌面协议(RDP),使用户能够远程连接到本地网络上的Windows PC或服务器。随之疫情的扩散和工作模式的改变,远程访问工具在过去几年中的使用在激增。这可能是一个风险:有了这个进入你商业环境的窗口,如果黑客设法通过使用渗透测试软件找到开放且未被保护的端口,那么对这些开放端口进行暴力密码破解以获得访问权限可能会导致完整的IT系统被控制接管。
建议远程桌面只能通过虚拟专用网络(VPN)或虚拟桌面解决方案访问,以最大程度地减少攻击者找到进入途径的机会,并尽可能在关键业务资源和员工的个人系统之间建立防护隔离。
5. 云
在2022 年,中小型企业的安全性取决于其采用的最薄弱的云服务提供商。事实上,保护敏感数据不被未经授权的用户从基础设施中盗走是任何规模的企业面临的最关键挑战之一。随着公司越来越依赖Google Workspace和Microsoft Office 365等基于云的平台来支持其员工,一次网络破解就有可能变成一个全面的安全爆破。
中小型企业可能没有内部安全团队,但可以考虑外部的IT顾问,以使得数据保护与大型企业采用的数据安全IT实践保持一致。非专业人员管理IT的时间越长,面临的风险就越大。中小企业也应该具有类似于施工企业聘用的监理,从而在IT安全问题上有专业人员把关。
6. 不受信任的应用程序
中小型企业通常没有资源对所有内容进行深入的安全审查,这可能会导致公司网络上的危险软件蔓延。这主要适用于移动应用程序,特别是因为用户可能会在不知不觉中下载带有恶意程序的app,这些app会在安装后将恶意软件偷偷安装到设备上。
尽管在使用自带设备的中小型企业可能很难强制执行,但对于中小型企业环境中使用的每部智能手机和平板电脑来说,安全软件都是必须的,可确保有足够的保护,并且所有设备类型都符合政策和程序。主动恶意软件防护对于确保您的员工和数据免受威胁行为者的侵害至关重要。
版权归原作者 jeffreyzhong 所有, 如有侵权,请联系我们删除。