中小企业如何降低网络攻击和数据泄露的风险？

Bleeping Computer 网站消息， Arctic Wolf 表示 Akira 勒索软件组织的攻击目标瞄准了中小型企业，自2023 年 3 月以来，该团伙成功入侵了多家组织，索要的赎金从 20 万美元到 400 多万美元不等，如果受害者拒绝支付，就威胁曝光盗取的数据信息。

Akira 勒索软件组织将攻击目标“定位”在中小企业上是一个典型案例，随着网络安全问题日益严重，勒索软件愈发猖獗，虽然一旦成功攻入大的企业会让这些犯罪分子“声名鹊起”，但仍旧有很多勒索软件组织将目光转向了中小，2023 年有 56% 的中小企业遭受了网络攻击。

勒索软件集团为何瞄准中小企业？

中小企业对威胁犯罪分子来说极具吸引力，这些企业通常拥有较少的资源（如 IT 支持），缺乏强大的安全保障体系（如员工网络安全培训等）。此外，威胁攻击者还能够在成功入侵中小企业侯为，寻找进入大型企业的切入点。

根据 IBM 的《2023 年数据泄露成本报告》来看，全球范围内，实体组织从数据泄露中恢复的平均成本为 445 万美元，比过去三年增加了 15%。对于中小企业来说，数据泄露的平均成本接近 15 万美元，间接成本可能更高。

除了金钱损失外，数据泄露同样会破坏客户的信任并损害企业声誉。更为可怕的是。即使受害企业支付了赎金，仍旧近 40% 的公司无法如期恢复数据。

中小企业如何降低风险？

从目前行业内普遍采用的防御手段为例，企业应采用网络安全最佳实践，如采用美国国家标准与技术研究院（NIST）制定的中小企业网络安全框架。根据该框架，中小企业可以通过以下方式降低风险：

控制谁可以访问您的网络和数据；

制定正式的使用政策；

对静态和传输中的敏感数据进行加密；

使用集成安全功能的网络防火墙；

监控未经授权的访问；

定期备份数据；

制定应对攻击和从攻击中恢复的计划。

使用更为复杂的密码

98% 的网络攻击都是从某种形式的社交工程开始的，如果威胁攻击者掌握了终端用户的有效密码，就可以轻松绕过许多安全防御措施。因此，企业不仅要密切关注密码策略，还要阻止已知的密码泄露，执行密码政策，帮助终端用户创建更强的密码，阻止使用弱密码和常用短语，此举会让威胁攻击者更加难以下手。

Specops 的数据显示，83% 的被攻击密码在长度和复杂性方面都符合监管密码标准的要求，密码攻击之所以能够成功，往往是因为用户的密码可预测。用户往往倾向于重复使用密码，并在创建密码和试图满足复杂性要求时使用类似的模式。例如，以一个常用字开头，然后在其后面加上数字或特殊字符。强大的密码策略执行可以帮助用户创建易于记忆但难以破解的口令。

使用多因素身份验证

多因素身份验证通过增加额外的保护层来降低账户被接管的风险。这样即使密码泄露，未经授权的用户也无法在没有第二重授权的情况下访问网络，例如向移动设备或第三方身份验证提供商发送推送通知，有助于降低凭证被盗和密码被黑客暴力破解的风险。

培养用户安全意识

根据斯坦福大学研究人员和 Tessian 的一项联合研究，88% 的数据泄露可追溯到人为错误。世界经济论坛的《全球风险报告》则认为这一数字高达 95%。中小型企业应要求对最终用户进行培训，帮助他们更好地理解遵守网络安全政策的重要性，并识别网络钓鱼、网络诈骗和其他旨在窃取他们的凭据和沦为勒索软件受害者的攻击迹象。

参考文章：

https://www.bleepingcomputer.com/news/security/how-smbs-can-lower-their-risk-of-cyberattacks-and-data-breaches/