[編譯]來(lái)自經(jīng)濟(jì)各部門的公司應(yīng)該保護(hù)自己的業(yè)務(wù)免受網(wǎng)絡(luò)威脅。中小企業(yè)往往更容易受到網(wǎng)絡(luò)攻擊。這是因?yàn)榇蠊靖菀淄顿Y于信息安全，而小企業(yè)可能負(fù)擔(dān)不起嚴(yán)重的保護(hù)成本。此外，許多小型企業(yè)高管仍然認(rèn)為網(wǎng)絡(luò)犯罪分子對(duì)他們的公司不感興趣，因此不值得在安全性上花錢。但是，事實(shí)并非如此。信息是現(xiàn)代企業(yè)中最有價(jià)值的資產(chǎn)，無(wú)論其大小如何，保護(hù)信息應(yīng)該是每個(gè)企業(yè)的首要任務(wù)。

報(bào)告顯示，去年數(shù)據(jù)泄露的數(shù)量增加了424%，這是黑客針對(duì)小企業(yè)造成的。中小企業(yè)絕對(duì)不應(yīng)該希望網(wǎng)絡(luò)罪犯忽視他們。網(wǎng)絡(luò)罪犯知道小企業(yè)受到的保護(hù)更差，所以他們更容易受到攻擊。而攻擊小企業(yè)并不是未來(lái)的趨勢(shì)，而是我們已經(jīng)生活在今天的現(xiàn)實(shí)。

也沒(méi)有希望網(wǎng)絡(luò)事件會(huì)比企業(yè)保護(hù)措施便宜。此外，如果網(wǎng)絡(luò)攻擊得逞，金錢并不是公司唯一的損失。其中的后果將是生產(chǎn)力損失，甚至恢復(fù)期間的停機(jī)時(shí)間，客戶損失以及由此造成的收入損失。損害將是巨大的。對(duì)于某些公司而言，這甚至可能是致命的。

同時(shí)，對(duì)于小型企業(yè)而言，提供針對(duì)網(wǎng)絡(luò)威脅的保護(hù)并不是那么困難。遵循簡(jiǎn)單的準(zhǔn)則就足夠了。

在超過(guò)90％的情況下，黑客的受害者是被偶然性攻擊的公司，這是由于稱為“機(jī)會(huì)主義”的非個(gè)人化自動(dòng)攻擊的結(jié)果。例如，對(duì)網(wǎng)站的機(jī)會(huì)主義攻擊是企圖獲得對(duì)Web資源的未經(jīng)授權(quán)的訪問(wèn)，在這種攻擊中，攻擊者并非旨在侵入特定的網(wǎng)站，而是攻擊按某種標(biāo)準(zhǔn)選擇的成百上千個(gè)資源。

攻擊者的目標(biāo)是盡可能多地賺錢。他們甚至沒(méi)有努力將其行為隱藏在安全監(jiān)控系統(tǒng)中。

在有針對(duì)性的攻擊（10％的情況）下，攻擊者選擇一個(gè)特定的目標(biāo)，例如，竊取或破壞有價(jià)值的數(shù)據(jù)。這個(gè)過(guò)程包括精確的計(jì)劃，黑客知道攻擊誰(shuí)，以及在特定企業(yè)中安裝了什么保護(hù)。通常這種攻擊是通過(guò)供應(yīng)商進(jìn)行的。黑客首先侵入供應(yīng)商的軟件，然后感染公司的系統(tǒng)。這種攻擊現(xiàn)在變得越來(lái)越重要，因?yàn)楹茈y驗(yàn)證所有下載的軟件。這是B2B網(wǎng)絡(luò)保護(hù)的另一個(gè)關(guān)鍵特性：你不僅需要保護(hù)你的周邊環(huán)境，還需要保護(hù)來(lái)自外部的一切。

如何保護(hù)公司免受網(wǎng)絡(luò)威脅

終端節(jié)點(diǎn)以防病毒形式提供的基本保護(hù)級(jí)別僅適用于第一類攻擊?？梢院苋菀椎赝ㄟ^(guò)測(cè)試檢查對(duì)它們的防護(hù)質(zhì)量。

當(dāng)攻擊者試圖繞過(guò)每個(gè)保護(hù)層時(shí)，有針對(duì)性的攻擊需要更嚴(yán)格的安全措施。防御解決方案的目的是增強(qiáng)繞過(guò)保護(hù)資源的能力，以使攻擊的代價(jià)高于其潛在的利益。例如，公司有幾層保護(hù)，黑客需要突破所有這些。這是昂貴的，需要大量的資源，可能是無(wú)利可圖的。

網(wǎng)絡(luò)安全防御的最佳做法

開展網(wǎng)絡(luò)安全意識(shí)培訓(xùn)。公司管理層需要記住，最大的危險(xiǎn)隱藏在企業(yè)內(nèi)部。大多數(shù)網(wǎng)絡(luò)攻擊都與公司員工有關(guān)。網(wǎng)絡(luò)罪犯經(jīng)常利用個(gè)人的粗心或無(wú)知來(lái)滲透系統(tǒng)。因此，通過(guò)適當(dāng)?shù)呐嘤?xùn)，您的員工將成為抵御網(wǎng)絡(luò)威脅的有力保護(hù)。由于攻擊者的技術(shù)不斷變化，僅靠一次培訓(xùn)是不夠的。因此，應(yīng)首先在招聘時(shí)進(jìn)行培訓(xùn)，然后每十二個(gè)月進(jìn)行一次培訓(xùn)。培訓(xùn)結(jié)束后，應(yīng)對(duì)員工進(jìn)行測(cè)試。

制定詳細(xì)的安全政策。如果懷疑有緊急情況或網(wǎng)絡(luò)事件，每個(gè)員工都應(yīng)該知道如何以及與誰(shuí)聯(lián)系。對(duì)事件的響應(yīng)時(shí)間越長(zhǎng)，其后果越嚴(yán)重。如果把注意力放在早期發(fā)生的事情上，損害是完全可以避免的。

建立安全的基礎(chǔ)架構(gòu)。即使在與信息安全無(wú)關(guān)的活動(dòng)中也必須考慮需要保護(hù)的必要性。例如，當(dāng)選擇辦公設(shè)備時(shí)。今天，當(dāng)我們積極使用物聯(lián)網(wǎng)時(shí)，這一點(diǎn)尤其重要。當(dāng)共享包含敏感數(shù)據(jù)的文檔并通過(guò)MFP將其傳遞到組織的信息環(huán)境時(shí)，它可能成為信息泄漏的來(lái)源。

加強(qiáng)密碼策略。長(zhǎng)期以來(lái)，人們一直在討論對(duì)復(fù)雜密碼的需求，但用戶仍然使用弱密碼。因此，讓我們?cè)俅沃貜?fù)：密碼必須是唯一的，專門針對(duì)服務(wù)或設(shè)備生成。使用強(qiáng)大的軟件來(lái)管理您的密碼。要求員工不要共享密碼或?qū)⑵浯鎯?chǔ)在容易訪問(wèn)的地方。

選擇安全的云技術(shù)。使用來(lái)自可靠提供商的云存儲(chǔ)和應(yīng)用程序。那些提供對(duì)數(shù)據(jù)的安全管理，防止未經(jīng)授權(quán)的復(fù)制的數(shù)據(jù)。控制對(duì)文檔的訪問(wèn)，使用內(nèi)容加密以及設(shè)置自動(dòng)數(shù)據(jù)存檔和刪除。

使用雙因素身份驗(yàn)證提供對(duì)敏感帳戶或信息的訪問(wèn)。攻擊者可以代表公司創(chuàng)建信函，要求他們共享機(jī)密數(shù)據(jù)或進(jìn)行金融交易。在這種情況下，請(qǐng)員工致電其同事，以確保該請(qǐng)求不是來(lái)自欺詐者。

使您的軟件保持最新。許多軟件更新不僅擴(kuò)展了功能，而且還解決了安全漏洞。不要忘記，不僅計(jì)算機(jī)需要更新，而且其他辦公設(shè)備也需要更新，例如掃描儀，打印機(jī)或MFP。

不要使用公共Wi-Fi。如果您不能沒(méi)有它，請(qǐng)不要輸入敏感信息，因?yàn)椴东@到的內(nèi)容都可以在攻擊者的便攜式計(jì)算機(jī)上讀取。必須通過(guò)VPN安排從公共網(wǎng)絡(luò)對(duì)公司資源的訪問(wèn)，以避免信息被攔截。

定期測(cè)試您的員工是否遵守安全策略以及他們對(duì)網(wǎng)絡(luò)威脅的響應(yīng)。如果長(zhǎng)時(shí)間沒(méi)有發(fā)生任何事件，那么即使是最細(xì)心的員工也會(huì)失去注意力。因此，您應(yīng)該偶爾進(jìn)行測(cè)試。有效的工具包括發(fā)送網(wǎng)絡(luò)釣魚電子郵件，匿名致電公司電話以詢問(wèn)個(gè)人或公司信息。根據(jù)測(cè)試結(jié)果，您應(yīng)該與員工進(jìn)行其他工作，更新信息安全策略和基礎(chǔ)結(jié)構(gòu)。