中小型企业增加了他们的数字足迹，拥抱远程工作，使用更多联网设备，并采用新的工具和技术。他们现在发现自己对网络犯罪分子更具吸引力，在针对大型企业的头条新闻攻击背后，中小企业正越来越频繁地受到攻击。

确切的数字可能很难衡量，但根据DEVELIONS的2023-2024年中小企业IT安全状况报告，69%的中小企业报告在去年至少经历了一次网络攻击，比前一年有所增加。

网络安全事件对小企业的损害尤其严重，因为没有财政和组织资源来应对影响。在某些情况下，这可能会导致它们破产。

然而，根据迪沃斯的报告，尽管风险增加，但只有不到三分之二的公司通过密码管理器、双因素身份验证和网络安全培训等措施完全保护自己的业务。为了限制成为受害者的风险，专家们分享了他们对中小企业的建议，帮助他们将坏习惯转变为更好的防御措施。

1.认为自己太小而不能成为目标

中小企业可能会落入这样的陷阱，认为网络犯罪分子只是在追捕大鱼，但事实远非如此。中小企业不仅不是太小而不能成为攻击目标，而且这也是它们经常受到攻击的原因。

这种信念可能导致一大堆糟糕的做法，使企业暴露在一系列漏洞之下。Check Point Software Technologies的网络安全顾问萨迪克·伊克巴尔(Sadiq Iqbal)表示：“统计数据显示，大多数网络攻击都是针对中小企业的，因为他们被视为更容易攻击的目标，没有大型组织所具备的安全姿态。”伊克巴尔负责管理大量中小企业客户。

建议是，不要因为你认为这项业务不在威胁参与者的雷达上而忽视预防措施。“你有一个银行账户，而且你使用互联网。为小型企业提供网络安全建议的Pocket CISO的创始人卡洛塔·塞奇表示：“你是一个目标，即使这不是故意的。”

根据Sage的经验，中小企业希望做正确的事情，但他们需要来自行业和政府的更多支持。与英国和澳大利亚不同，美国缺乏政府监管，需要更多专门的资源。“作为安全从业者和中小企业供应商的安全团队，我们有责任更好地支持中小企业。我们，作为一个国家和那些为中小企业服务的人，需要加快步伐，”他们说。

2.低估了对中小企业的勒索软件威胁

OpenText网络安全和长期威胁分析师格雷森·米尔本表示，中小企业低估了勒索软件的威胁。他援引OpenText的全球中小企业勒索软件调查发现，超过三分之二(67%)的受访者不相信或不确定自己是勒索软件的目标。

太多的中小企业认为，网络罪犯是高度技术性和老练的，对较小的企业不感兴趣。然而，情况并非如此，近一半(46%)的受访者报告称受到了勒索软件攻击。

这是一种低成本、相对容易的攻击工具，可以很容易地部署到针对中小企业的攻击中。“勒索软件即服务(RaaS)可以简单地购买或部署，几乎没有技术诀窍，”米尔本告诉记者。因此，中小企业没有预留足够的资源，导致它们受到的保护很差。“改变中小企业对勒索软件的看法，并制定政策和技术，以更好地保护自己，对于避免成为受害者至关重要。”

如果企业真的遭受了攻击，他们需要寻求专家支持来帮助管理这种情况，特别是考虑到赔付绝不是恢复数据的保证。

关于袭击的影响，有一些发人深省的统计数据。根据Hiscox网络准备2023年的报告，美国小企业去年支付了超过1.6万美元的赎金。Hiscox保险公司技术和网络业务副总裁兼产品主管克里斯托弗·霍伊诺夫斯基表示：“勒索软件正在让小企业付出巨大代价。”霍伊诺夫斯基与美国60多万家小企业有业务往来。

在支付了赎金的受访企业中，只有一半最终取回了数据，而一半的企业不得不重建系统。此外，调查发现，令人震惊的27%的人再次受到攻击，另有27%的人被要求更多的钱。霍伊诺夫斯基说：“我们当然不建议支付赎金。”

3.将网络安全仅仅视为技术问题

根据Sage的说法，网络安全不能仅靠技术来解决，在许多方面这是一个人类问题。“技术使攻击成为可能，技术有助于防止攻击，技术有助于在攻击后进行清理，但这种技术需要知识渊博的人才能有效，至少目前是这样，”他们说。

这也加剧了其他问题，即缺乏预算和没有专门的网络安全责任。伊克巴尔说：“这些都是中小企业面临的重大挑战，使他们没有关于合规框架的指导和明确的方向，并且依赖供应商的支持。”

伊克巴尔建议中小企业始终从政府资源中寻找指导方针和最佳做法，至少从建议的基本保护开始。例如，在美国，小企业管理局(SBA)和联邦通信委员会(Federal Communications Commission)都有信息和资源，英国国家网络安全中心(National Cyber Security Centre)有指导，全球网络联盟(GCA)也有小企业工具包。澳大利亚信号局也有一份针对小企业的指南。

Sage补充说，由于大多数企业都在使用Google Workspace或Microsoft Office 365，各自的知识库是丰富的信息。在这些平台之外，寻求当地的指导来源。Sage告诉记者：“还有当地的社区学院、城镇和县小企业中心或经济发展部门，州商务部门也应该能够将你连接到网络安全资源。”

4.没有养成良好的网络安全习惯

养成良好的网络安全习惯应该是不费吹灰之力的，尽管它可能会时好时坏。例如，根据Iqbal的说法，允许使用弱密码太常见了。他还发现，登录的默认密码没有更改，或者安全服务器的所有密码都更改为一个密码，并且没有单独的管理密码。“管理员账户是黑客寻求妥协的最有利可图的账户威胁。这只需要一个妥协，然后通往王国的钥匙就会向你所有潜在的威胁参与者敞开。”

备份被广泛部署，但中小型企业经常忽视备份测试的重要性。如果业务受到攻击，备份失败，可能会是灾难性的。“你希望能够恢复和减轻威胁攻击造成的损害，这意味着要有一个经过检查的可靠备份，以确保它没有损坏或没有任何其他问题，”伊克巴尔说。

拥有足够的网络保险也很重要，但Hiscox发现，只有53%的美国小企业拥有包括网络保险在内的保险单。

而且，他们冒的风险不仅仅是自己业务的成本。Hojnowski说：“没有足够网络覆盖的小企业可能要为攻击的结果承担经济责任。”网络保险提供针对新出现的威胁和应对入侵的成本的保护，以及帮助遏制损害的点-人。

5.不把网络安全放在首位

Rapid7的首席科学家拉杰·萨马尼表示，当中小企业利用新技术时，对风险的考虑与企业不同，但他们面临着许多相同的风险。

企业往往拥有更多的风险管理视角，而规模较小的机构往往将效率置于安全之上。Samani已经看到了一些案例，较小的企业获得了远程访问协议等新的数字系统，这可能会使它们容易受到攻击，因为这是勒索软件集团用来侵入公司的常见进入媒介。

对于中小企业来说，采用新的数字工具需要不同的方法，但他们没有奢侈的机会请一家大型咨询公司来给他们提供建议。萨马尼说：“需要有一种更简单的方法来阐明为了他们的安全需要做些什么。”

根据Hojnowski的说法，小企业犯的另一个常见错误是没有实施多因素身份验证。“这应该是帮助更好地保护您的业务的第一步。”

为了设置正确的优先事项，Hojnowski的建议是从分析当前的网络安全态势开始，但不要忽视潜在的漏洞。评估预算是否充足，以及企业可能有哪些特殊需求。“你是在一个被认为是高风险目标的行业中运营，还是在该行业运营，如果出现漏洞，你的需求是什么?”霍伊诺斯基说。

一旦确定了这一基准，就应采取系统的方法来改进防御措施，并采用最佳做法原则，例如：

• 所有系统和软件都需要启用自动更新，并安装适当的补丁。
• 员工培训计划，帮助发现钓鱼电子邮件、商业电子邮件泄露、非法资金转移、如何创建强密码，以及在需要的时候进行其他教育。
• 采用一系列安全工具，包括防火墙、防病毒、终端检测和响应以及收件箱保护机制。
• 将数据备份到云中并维护现场备份，并确保所有数据都经过加密并检查备份。
• 公司的政策和程序旨在防止攻击，保护数据，并在数据无法访问的情况下处理事情。

6.预算与不断增长的风险状况不匹配

中小企业需要一个与其风险状况相称的预算，并考虑他们的需求、重要的业务信息以及他们是否持有敏感的个人数据。霍伊诺夫斯基说：“每家公司都需要评估自己的运营情况，以及他们愿意花多少钱来帮助防止潜在的业务中断。”

安全成本需要与支持企业运营的营销、销售和其他成本并驾齐驱。Sage说：“一家企业知道每个员工为企业运营购买工具和许可证的成本，以及为了获得或留住客户而在销售和营销上花费了多少。”它需要花费一定比例的金额来确保员工的工作，并保护客户、潜在客户及其产品。“它需要根据企业的市场及其复杂性进行计算，”塞奇说。