麻雀虽小,五脏俱全,小企业和大企业实现信息安全的过程、流程都是差不多的,只是用户在进行安全部署时往往首先考虑成本、维护费用等支出。
一些规模更小的企业并没有专门的IT部门,通常依靠办公室的行政人员或一名IT人员处理复杂的安全性任务。在某些情况下,资金较短缺的企业由于不堪重负,容易疏于保护他们的网络和数据。
在过去,因自身企业规模较小受到攻击的概率相对较小,网络安全的投入均不能迅速带来显而易见的回报。但在实际企业运营过程中,又常常有来自网络安全的损失阻碍着企业成长。当病毒、黑客技术的发展使得网络威胁无处不在,谁也不能幸免。
在网络攻击肆掠横行的今天,许多大公司都防不胜防,更不要说技术与之相去甚远的中小企业了。如果说网络失守造成的信息系统中断对大公司来说只是一场感冒,那么对中小企业则可能是灭顶之灾。
幸运的是,中小企业网络安全最佳实践流程比比皆是,技术变得越来越好,而且越来越倾向采用正确的思维方式来处理问题。尽管我们在总体上仍处于被动之中,但是充满希望,而如何界定问题是迈向更好成果的第一步。
中小企业驱动着世界。与500强企业相比,单个企业可能规模较小,但总体而言,其影响远远大于大型企业。你的业务可能很小,但对企业所有者是意义重大的。任何不重视你的服务或技术提供商,都不应该为你服务。
在提出具体的战术建议之前,让我们先谈谈几点关键的战略:
- 找到可靠的信息安全咨询顾问,并按他们所说的做!
- 承担责任。即使有专家为你提供意见,行动也要靠自己!人人都应承担起责任——在任何行业,小到个人员工,大到董事会,这是维护安全的一个关键理念。
- 不要指望政府。政府要做的并且能做的事情就是:(1)制定法规,对信息服务商/企业,提出指导性的最低要求;(2)惩处违反法规者。
- 采取行动。不要只停留在研究,不要让分析瘫痪。采取行动-任何行动-不要拖延。如果找到更好的选择,则以后可以随时调整。
- 服务外包,不要自己动手做。从单项安全服务到企业安全/ IT基础设施的完全外包,可选择范围非常大。租用服务而不是购买实体。
- 让员工负责!你负有最终责任,但在那之前,请确保每个员工都知晓他们必须为自己的不当行为/违规行为负有责任,并付出代价。
说完了战略,让我们进入关键的十大战术——
每个中小企业应该采取这十个项目来保障企业网络安全。这些都不贵,都是易于理解、易于执行的。然而,如果你不这么做,只要忽视了其中一项,就等于将整个企业置于危险之中。
1.保持合理的硬件更新率。
理想的情况下,建议企业每年都更换新的PC,尽管我们知道这是不现实的。换句话说,更新率超过3-4年,意味着企业要承担额外的风险。硬件制造商每年在“隐藏”的安全性改进上投资数十亿美元,其中许多漏洞作为用户是不知道的。企业要做的就是让你的IT基础设施(从PC到手机再到服务器)保持最新的状态。
2.使用最新的操作系统。
这一条的意义和第一条相同。如果企业仍在运行Windows 7,那么会使公司面临不必要的风险——Windows 7在2020年1月14日之后将停止服务。上Windows 10,就现在!
3.使用评级较高的端点安全解决方案。
不推荐任何具体的解决方案,有一个主要原因——所有服务商都竭尽全力试图在检测率,性能等方面超越对手。每年都有多个年终评选,对防病毒、安全服务商等进行排名/评级——因此每年审查企业选择的服务商的性能,如果有更好的解决方案,请切换。
4.定期下载并安装所有补丁/更新。
无论是操作系统、硬件,还是关键业务软件,甚至是IP摄像头,勤打补丁对于安全性都是至关重要。在计算机领域,“零日漏洞”指被发现后立即被恶意利用的安全漏洞,而利用这种漏洞发起的攻击则被称为“零日攻击”。这种攻击利用用户缺少防范意识或未装补丁,造成巨大破坏。零日漏洞一直是黑客的最爱,通常在漏洞与安全补丁曝光的同一日内,恶意利用程序就会出现,及时打补丁是防范零日攻击的最好方法,尽管这是一项无聊乏味的工作,但却是必不可少的。
5.遵守良好的密码卫生习惯,并进行现代化管理。
始终为购买的新硬件(如路由器等)和软件更改默认密码。使用“强密码”,并每年更改几次。切勿对多个设备/服务使用相同或相似的密码!为了使所有这些事情变得更容易,您可以使用实用的“密码管理器”——如Dashlane之类具有硬件优化功能的密码管理器。
6.使用双重(或多重)身份验证——也称为“ 2FA”。
如果最终用户和企业都使用双重(或多重)身份验证,可以消除绝大部分数据和隐私泄露隐患。这是免费、简单、有效的方法。如果要在网络安全方面选一个“躺赢”的方法,那就是它了。此外,与此密切相关的是,根据身份验证的要求,按需选择不同的供应商——从金融服务到办公服务。要求双重身份验证,要求供应商有清晰的,易于理解的隐私和安全声明。如果你看不明白声明的内容,或者对其中的任何内容不满意,企业可以选择下一家。
7.计算机务必安全地联网。
首先,连接到热点时务必使用VPN。切记。被入侵的主要途径之一就是无保护地连接到犯罪分子伪造/广播的公共热点。你在连接的时候就已经放弃了所有密码。最坏的情况是,系统感染了无法检测的恶意软件(例如,键盘记录程序等)。如果可能的话,使用蜂窝网络连接也好过使用公共热点。大多数现代手机都允许自己作为个人热点,企业可以在PC上连接个人热点连接到互联网。
8.备份,备份,备份。
之所以迫切地需要备份数据,抛开所有的其他原因,现在我们有了一个最大的元凶——勒索软件。有许多基于云的备份服务商,企业必须根据自己的业务性质,确定最符合你功能需求的服务。需要坚持的一项重要功能是“无限制拷贝”(unlimited copies)——即每次更改文件时,服务都会保存一份副本,而不仅仅是最后一份。这一点至关重要,因为一旦遭遇勒索软件攻击,企业需要确定感染发生的确切时间并选择此时间点之前的备份文件进行还原。另外,强烈建议使用本地文件备份服务器(网络附加存储或NAS)作为备份——本地备份可以使企业在事件发生后立即备份并运行,而从云服务下载TB数据需要一段时间。但是,不要只做本地备份,因为可能会遭遇物理灾害(例如火灾)。备份是无聊,乏味的,而且对于NAS来说,安装起来很困难。
9.信任但要审查——每年聘请一名审计师。
很少有人建议这样做,但是考虑到数据在业务运营中的重要性,我认为这是值得的投资。审计公司会检查企业的补丁程序,评估你的保护措施,审查企业的员工政策,并对备份设置进行风险评估。考虑到发生数据泄露可能会导致公司破产,被起诉或甚至彻底毁掉,提前审查无疑是省心又安心的办法。
10.不要忘记基础的网络安全防护
例如企业网站部署SSL安全证书,企业邮件部署邮件证书等等,给用户的隐私数据上了一把锁,在用户访问页面的时候,帮你检查该网站是否安全,还会预防流量劫持,数据篡改等问题。做好最基础的安全防护工作,避免因小失大。
以上提到的十个战术,并没有高深复杂的技术,也没有独树一帜的创新方法,但其中很多重要的事项是值得老生常谈的。如果这篇文章使每个读到它的中小企业至少采取了其中一项行动,那么它就是有意义的。