近年来,由于受到新冠疫情的影响,人们逐渐转向远程办公,同时许多企业正在进行数字化转型,这都为网络犯罪分子制造了新的机会。因此,无论规模大小,所有企业都必须了解主要网络安全威胁和网站安全问题,以便能够采取措施来保护自身安全。请继续阅读以了解更多信息。
企业网络安全风险 1:勒索软件
据报道,全球 80% 的企业在 2021 年遭受了某种形式的勒索软件攻击。勒索软件是一种锁定用户计算机或通过加密信息来限制用户对数据访问的软件。用户必须输入特殊的密钥代码来恢复访问权限,而黑客只有在收到赎金后才会提供密钥。然而,即使支付了赎金,最恶劣的勒索软件也会删除所有用户数据。
许多中小型企业主认为相比那些大企业,自己的企业微不足道,对犯罪分子来说没有什么吸引力。他们从新闻报道中了解到大企业遭受网络攻击的焦点事件,认为自己相对安全,但事实上,大公司已经吸取了很多教训,知道该如何加强对网络入侵者和对未来攻击的防御。
因此,网络犯罪分子更容易去瞄准中小企业,因为这些企业的保护措施通常很不到位,并且缺乏防止计算机数据盗窃的知识。网络犯罪分子会窃取密码、银行账户详细信息、住址甚至社保卡号等信息。掌握了这些信息后,网络窃贼可以套取资金、窃取身份,并对企业甚至政府发起网络攻击。
企业如何防范勒索软件
分层安全防护措施:为降低勒索软件的风险,对网络安全采取分层防护的方法。分层防护就是将各种安全工具结合使用。例如,在每台设备上都使用优质的反病毒软件并保持更新,安装防火墙,并部署垃圾邮件过滤器和云数据防丢失程序。结合使用各种工具的好处是,如果一个工具出现故障,还有其他工具可以备用。
数据备份:确保企业的系统有完整的离线备份,该备份保持最新版本并且脱离主网络。这样,即使企业被勒索,您也可以访问自己的数据。定期检测您的备份,确保在需要时能够正常使用。
评估自带设备 (BYOD) 政策:随着远程办公的常态化,员工有时会使用自己的笔记本电脑或移动设备来工作和访问公司网络。这种做法存在风险,因为这些设备可能没有安装适当的反病毒软件或其他安全软件。如果员工移动办公,他们可能会使用不安全的公共 Wi-Fi 网络。要解决这个问题,您可以规定只能使用公司提供的设备来访问网络,并要求员工通过 虚拟专用网络 (VPN) 来联网。
企业网络安全风险 2:网络钓鱼
网络钓鱼是企业面临的另一个重大网络威胁。网络钓鱼是指企图通过看似合法的伪造电子邮件或虚假网站来获取敏感信息,比如用户名、密码和信用卡详细信息等。网络钓鱼诈骗以前都是通过电子邮件实施的。但近年来,更多的网络钓鱼诈骗选择以短信(短信钓鱼)和电话(语音钓鱼)作为媒介。
鱼叉式网络钓鱼指的是企图针对特定个人或公司实施的网络钓鱼行为。网络犯罪分子利用社交工程手段,向目标发送符合个人特点的消息,使它们看起来像是认识的联系人发来的合法电子邮件。他们利用各种来源的在线信息(例如社交媒体或公司网站),来逐步建立攻击目标的档案。他们甚至可能会打电话给公司,冒充是公司的客户,从而套取银行账户详细信息等。
欺诈性电子邮件通常直接发送给公司的客户经理,要求将资金打入客户的银行账户。邮件中会提供银行账户信息和资金转账明细。毫无戒备的客户经理会向网络犯罪分子的银行账户转入几千到几百万美元不等的资金。
企业如何防范网络钓鱼
评估您的数字足迹:考量您的企业在网上公开提供的信息(即您的数字足迹)以及这可能使员工遭受网络钓鱼的风险有多大。例如,列出所有高级职员的 LinkedIn 个人资料链接以及他们的电子邮箱和电话号码会增加遭受网络钓鱼的风险(详细了解 LinkedIn 隐私问题)。
使用电子邮件过滤器:电子邮件过滤器本身并不能保证您不会收到网络钓鱼电子邮件,但它确实能够为您带来更多保护。电子邮件提供商提供各种垃圾邮件过滤器,因此为了选择适合自己的产品,有必要先做一番市场研究。
使用反病毒软件:在每台设备上安装全面且最新的反病毒软件将有助于为您的企业抵御网络钓鱼攻击以及一系列其他网络威胁。具备防网络钓鱼功能的反病毒软件会扫描电子邮件的附件,检查它们是否存在风险。
保持警惕:注意网络钓鱼的警示信号。例如,银行发来一封要求您更新个人详细信息的电子邮件,里面不太可能出现拼写和语法错误。如果一封电子邮件试图营造出一种情况紧急的感觉,例如向您告知您的账户已被黑客入侵,需要立即重置,这可能就是一个警示信号。如果消息中包含 URL,应将鼠标悬停在 URL 上,检查它是否指向正确的页面。确保 URL 具有 SSL 证书并且以 HTTPS 开头,这一点也很重要。一般来说,如果您收到来自未知发件人的电子邮件,切勿打开其中包含的任何附件。
企业网络安全风险 3:弱密码
企业面临的另一个重大 IT 安全风险是员工使用了很容易被猜到的弱密码。使用弱密码或容易猜到的密码,或对多个账户使用同一个密码,可能会导致敏感数据或财务信息泄露。由于网络安全风险意识较为薄弱,小型企业的员工特别容易使用弱密码。平均 19% 的企业专业人员使用容易猜到的密码或对多个账户设置同一个密码。
黑客编写的程序使用了包含数百万个密码的字典来强行访问个人和企业的 IT 系统。这种行为被称为蛮力攻击,侵入计算机的成功率很高。一旦黑客找到了软件应用的密钥,那么就极有可能获取到使用同一个密码的其他账户的访问权限。
企业如何杜绝弱密码
引入通过技术手段强制执行的强密码策略:强密码由至少 15 个字符组成,包括大小写字母、数字和特殊字符的混合。用户应避免使用简单的连续数字,例如“12345”,或在密码中使用配偶、孩子或宠物的名字,因为黑客很容易就能从社交媒体上获取这些信息。有些公司要求员工至少每 90 天更改一次登录密码。
使用密码管理器:您的员工应考虑使用密码管理器来生成和维护冗长复杂的密码,这些密码可以直接粘贴到应用的登录页面中。
启用多重身份验证:多重身份验证 (MFA) 确保用户需要密码结合其他验证方式才能访问企业账户。这涉及到额外的验证步骤,例如将密码发送给移动设备。多加一层安全保护有助于防止攻击者入侵企业账户,即使他们已经猜到了正确的密码。
更改默认密码:没有更改制造商分配给智能手机、笔记本电脑和其他类型 IT 设备的默认密码是很常见的错误。在将设备发放给员工之前,应更改所有默认密码。定期检查设备和软件以检测未更改的默认密码。
企业网络安全风险 4:移动设备
为了让员工能实现灵活的远程办公,企业通常会向员工提供智能手机、笔记本电脑和平板电脑。因此,相比以往,我们的数据更多地存储在平板电脑和智能手机上。这些设备与传统计算机一样强大,而且因为它们是移动设备,会脱离办公室和家中的安全环境,所以需要比台式设备更多的保护。然而在许多公司中,大多数移动端点仍然缺乏针对网络钓鱼、恶意软件和移动操作系统漏洞等威胁的保护措施,这些设备也因此成为主要网络安全风险之一。
企业如何保护移动设备
启用密码保护:使用复杂的 PIN 码或密码来防止普通的犯罪分子入侵您的手机。很多设备现在都支持通过指纹或面部识别来锁定设备,从而减少了对密码的依赖。这些功能并不是默认启用的,因此需要检查它们是否已启用。
确保可以追踪、锁定丢失或被盗的设备或擦除其中的数据:如果员工的设备丢失或被盗,您应该不仅能够追踪设备,还需要远程删除设备上的所有内容。密码可以在短时间内阻止窃贼访问您的设备,但为了防患于未然,从设备中删除任何有价值的信息可以消除风险。务必确保在员工使用的每台移动设备上启用此功能。
备份数据:正如您定期备份计算机数据一样,您还应该备份公司移动设备上的数据。设备丢失或被盗的确很糟糕,但令人欣慰的是,重要数据依然安全并且可以恢复。
保持设备和应用更新:确保软件和应用是最新版本,安装最新的安全补丁非常重要。
制定移动安全政策:在任何一位员工开始使用移动设备工作之前,请依法制定可接受的使用政策。提供设备丢失或被盗后如何处理的指南,这样工作人员就知道该如何采取行动,并及时做出补救。要求员工在开始使用移动设备工作之前先阅读并在政策副本上签名,以表明他们了解风险以及如何确保安全。
始终加密数据:在商务手机上启用加密功能至关重要。移动设备加密就是将手机上保存的数据转换为不可读的形式。与手机的密码保护类似,用户需要输入加密 PIN 码或密码才能解密数据。现代智能手机通常都提供一定水平的密码保护和加密功能,尽管有些智能手机的安全性更高一些。以安卓设备为例,在创建密码时,系统会要求您打开加密选项。在所有物理设备上启用加密功能,必要时应安装数据加密软件。
企业网络安全风险 5:人为错误
据 IBM 2021 年的一项研究显示,人为错误占网络安全漏洞的 95%。换句话说,无意的行为或不采取行动,会导致漏洞的出现。通常是一些看似不起眼的行为带来风险,例如点击可疑的电子邮件附件、访问不可靠的网站,或者使用弱密码或对多个账户使用相同的密码(与本文中概述的其他风险有很大的重叠,因为人为错误通常都具有共同点)。从本质上讲,网络犯罪分子会利用人类的弱点。
企业如何防范人为错误
开展培训:大多数人为错误是员工对风险了解不够所致。您可以通过有效的网络安全意识培训来减少人为错误,包括对员工进行有关社会工程风险的宣传教育。这样做的目的是提高对企业网络安全威胁的认识,向员工灌输良好的 IT 行为规范。员工培训、定期电子邮件或企业内网通讯或者在职上岗培训课都会有所帮助。
减少密码数量:虽然强密码策略必不可少,但减少人为错误的最好方法是首先减少密码数量。具体做法是使用密码管理器,启用多重身份验证以提高安全性,并改用支持生物特征身份验证(如指纹 ID)的设备。
小型企业可能特别容易受到在线安全风险的影响
中小型企业可能特别容易受到网络安全威胁的侵害。原因如下:
- 他们通常自认为不会成为目标,因此没有做好准备。
- 他们的系统可能已经过时,或缺少安全协议和培训,这使他们更容易被黑客入侵。
- 他们不太可能拥有一支大型、专门的 IT 团队,很难应对最新 IT 安全风险和网站安全问题。
评估企业的网络安全风险
要评估企业面临的主要网络安全威胁,首先要对您当前的安全系统进行评估。创建资产清单,包括所有软件和硬件。生成数据存储位置和访问权限的列表。确保这些信息安全可靠,并限制可以查看的人员。对当前的安全系统进行评估,以发现可能存在的漏洞。评估企业风险有助于确保业务运营的安全。
除了本文概述的建议外,还需要遵循以下两个网络安全实践:
- 制定网络攻击防御计划:为应对紧急情况做好准备。如果受到攻击,您肯定希望能为您的企业、员工和客户提供最佳的安全保障。因此您必须制定一个计划,详细说明在发生最坏情况时将采取的应对措施。
- 随时了解企业可能遭遇的最新网络威胁:了解最新的网络安全威胁和演变趋势,这将帮助您未雨绸缪并制定出最佳保护方案。
最后,端点安全是管理企业网络安全威胁的一个重要方面。端点是指连接到网络的任何设备,包括笔记本电脑、台式机、智能手机、打印机、服务器等。端点安全就是保护工作中所用的设备抵御网络安全威胁。基于云的端点安全软件非常适合中小型企业,因为它需要较少的内部资源来管理,前期投入也不多,但能够提供持续监控和从任何地方监控端点的能力。
详细了解卡巴斯基的端点安全解决方案。
Kaspersky Endpoint Security 在 2021 年凭借在企业端点安全产品方面表现出的卓越性能、保护能力和可用性,一举拿下三大 AV-TEST 奖项。在所有测试中,该解决方案都展示出一流的性能、保护能力和可用性,能够为企业提供强大保护。
相关的文章和链接:
相关产品: