导语:本文介绍了小企业保护自己免受网络攻击的几个方法。
许多小企业认为,由于自己普遍缺少有价值的信息(比如客户数据或计算资源),不会受到网络攻击,但事实远非如此。小企业对网络犯罪分子的吸引力在于,它们有宝贵的资产可以窃取,而且保护措施薄弱。许多小企业担心自己没有足够的资金或人力来加强安全。
尽管针对小企业的网络攻击在增加,但并非所有企业主都有相应的回应。据PurpleSec的数据显示,新冠疫情期间的网络犯罪猛增了600%,预计到2025年会以同样的幅度增加。以为小企业很少考虑网络安全有失公允,但许多人确实这么认为。尽管网上充斥着令人担忧的数据和故事,但许多小企业经常会淡化网络攻击的风险。
下面列出了小企业保护自己免受网络攻击的几个方法。
1. 使用更安全的密码
即使像多因素身份验证(MFA)这样的身份验证系统越来越流行,密码在网络安全界依然至关重要。可以使用结合大小写字母、数字和符号的长通行短语或长密码,以此提升密码强度。每次使用的密码都应该不一样。
长而难记的密码使用起来可能很麻烦,这可能会助长不良行为(比如针对多个帐户重复使用稍加改动的密码)。由于网上有数十亿个被盗密码,网络犯罪分子只需基于现有或过时的密码就能猜中密码。应该使用密码管理器来生成和记住强密码。
2. 使用几个安全因素来验证身份
大大小小企业的安全管理人员都应该为所有企业和基于Web的登录和系统协议实施MFA。即使攻击者使用一种技术(比如电子邮件网络钓鱼)获得了密码,他们仍需要使用第二个(有时是第三个)身份验证因素,比如人脸扫描或生物特征识别指纹、手机或硬件密钥。
虽然MFA最初是为大型组织和政府设计的,但现在它也可用于较小的帐户、移动设备和企业。MFA是当今最广泛采用、最重要的身份验证标准之一。实际上,现代基于云的MFA解决方案允许通过员工智能手机进行身份验证,很少需要专门硬件。
3.定期更新你的设备
由于这个原因,使用最新的安全更新和补丁频繁升级软硬件至关重要,因为恶意分子总是在不断寻找新方法,以便通过网络和设备中的漏洞渗入网络和设备。最新的软件更新可能是恶意软件与应对恶意软件的人之间的唯一一道屏障。这些补丁通过防止勒索软件及其他恶意软件进入系统来加强防御。确保补丁是当前版本。
员工是抵御网络攻击的第一道防线;因此,他们需要接受教育和培训,了解黑客可能使用的潜在威胁和入口点。最佳实践、适当的规程、禁止的行为以及解决恶意或可疑网络活动导致的问题,都应该成为员工培训和指导的核心。
4. 考虑使用托管服务提供商(MSP)来满足安全要求
人们普遍认为,只有大企业才雇得起网络安全专业人员来保护自己免受网络漏洞和攻击。因此,在过去小企业将稀缺的IT资源投入到加强网络防御之外的工作上。而现在,小企业比以往任何时候更需要与大企业同等水平的互联网安全。许多企业可以通过与MSP合作来获得企业级保护,而不是聘请全职的内部网络安全专业人员。
5. 制定移动设备使用策略
当移动设备可以访问敏感的企业数据或用于远程工作时,它们可能难以监控和保护。应要求用户在使用公共网络时对设备进行密码保护、加密数据和使用安全软件,从而保护敏感信息。确保用来制定报告丢失或被盗设备的规程。
6. 为重要的企业记录和文件创建副本,以防万一
确保所有的PC都有定期备份。必要数据包含各种类型的文档,包括在文字处理软件、数据库、电子电子表格、财务文件、人力资源文件和帐户记录中创建的文档。为了确保这些关键信息的安全性和可用性,建议每周创建一次异地备份或基于云的备份,如果可行,甚至可以更频繁地创建备份。
7. 保护Wi-Fi网络
确保小企业和Wi-Fi设置的安全至关重要。避免使用过时和不太安全的加密方法。配置企业的无线接入点或路由器以停止广播网络名称(又叫服务集标识符,SSID)。这使企业的网络不容易被潜在的攻击者看到。为访问路由器设置创建一个独特的强密码。这有助于防止未经授权的个人修改网络配置。
8. 采用小企业支付卡的最佳实践
与信誉良好的银行或支付处理商密切合作,它们常提供可信赖、经过验证的工具和反欺诈服务。与它们协商,实施用于处理支付卡的强有力的安全措施。视企业与银行或处理商的协议而定,贵企业可能需要履行额外的安全义务。
确保贵企业满足这些要求,以维护安全的支付卡环境。将企业的支付系统与其他安全措施较弱的计算机程序隔离开来。避免使用同一台计算机用于处理支付和浏览网页。通过将一台单独的计算机专门用于支付处理,企业可以尽量减小恶意软件感染和未经授权访问支付信息的可能性。
9. 完成安全审计
你觉得安全远离在线攻击吗?你是否在一些情况下觉得安全,但在另一些情况下觉得不安全?评估当前的安全级别,看看如何提高安全级别。花一个小时对当前的网络安全保障进行简短的审计可能是值得的,即使小企业可能采取的大多数步骤会花费比这更长的时间。
如果还没有,那么为设备、数据和网络起草一项可接受的使用策略是个好主意。如果连这都看起来太难了,那就利用这段时间去找一位当地的IT专家来帮助你。不要不情愿寻求专业网络安全顾问的帮助。通过参加相关课题的研讨会或课程,你可以更好地让员工了解最紧迫的网络安全问题。
10. 使用密码管理器
要记住多个复杂的密码并非易事,毕竟每个设备或帐户都有一个密码。员工每次都要记住并输入复杂的密码,这降低了工作效率。出于这个原因,许多企业现在使用密码管理软件。
这些密码管理器可以跟踪企业的所有登录信息,包括用户名、密码和安全问题的答案。这允许用户将所有凭据保存在一个集中的位置,从而减少了用户需要记住的密码或PIN的数量。许多密码管理器还会在用户使用以前用过的密码时发出警告,并提示用户定期更改密码。
11. 连接到VPN
使用VPN可以提高贵企业数据传输的安全性。使用虚拟专用网(VPN),企业员工可以从世界上任何地方安全地连接到企业网络。VPN通过将自己插入到互联网连接和员工试图访问的网站或服务之间来实现这一点,从而掩盖你的真实位置和IP地址。在任何共享互联网连接的地方(比如咖啡店、机场或爱彼迎民宿),VPN都派得上用场,但在用户有可能被黑客攻击的地方(比如咖啡店、机场或爱彼迎民宿)尤其有用。通过在设备和网络之间创建一条经过加密的隧道,VPN可以防止黑客获取敏感信息。
12. 保护企业免受实际的物理盗窃
请记住,对企业网络构成威胁的不仅仅是黑客,硬件也可能被盗取。应确保笔记本电脑、计算机、扫描仪及其他办公设备避免未经授权使用。你可以采取预防措施,锁住或安装物理跟踪器,以防设备丢失或被盗。确保每个员工都意识到保护移动设备上企业信息的重要性。
如果许多员工访问同一个设备,建议他们每个人都有自己的用户帐户和配置文件。启用远程擦除功能也是一个好主意,这将从远程位置删除丢失或被盗设备中的所有数据。
结论
小企业和大企业一样容易受到网络攻击。威胁分子之所以攻击中小企业,是由于它们不太可能拥有安全可靠的IT基础设施或精通安全最佳实践和当前威胁的员工队伍。一家企业容易受到勒索软件等恶意软件、数据盗窃、网络钓鱼攻击及其他形式的网络犯罪的脆弱性与企业规模没有直接关系。上述这些简易的措施将大大有助于加强小企业的安全。
本文翻译自:https://informationsecuritybuzz.com/12-ways-to-protect-small-businesses-from-cyberattacks/如若转载,请注明原文地址