中小企业如何降低网络攻击和数据泄露的风险?

安全侠2024-02-01 11:30:59

Bleeping Computer 网站消息, Arctic Wolf 表示 Akira 勒索软件组织的攻击目标瞄准了中小型企业,自2023 年 3 月以来,该团伙成功入侵了多家组织,索要的赎金从 20 万美元到 400 多万美元不等,如果受害者拒绝支付,就威胁曝光盗取的数据信息。



Akira 勒索软件组织将攻击目标“定位”在中小企业上是一个典型案例,随着网络安全问题日益严重,勒索软件愈发猖獗,虽然一旦成功攻入大的企业会让这些犯罪分子“声名鹊起”,但仍旧有很多勒索软件组织将目光转向了中小,2023 年有 56% 的中小企业遭受了网络攻击。


勒索软件集团为何瞄准中小企业?


中小企业对威胁犯罪分子来说极具吸引力,这些企业通常拥有较少的资源(如 IT 支持),缺乏强大的安全保障体系(如员工网络安全培训等)。此外,威胁攻击者还能够在成功入侵中小企业侯为,寻找进入大型企业的切入点。


根据 IBM 的《2023 年数据泄露成本报告》来看,全球范围内,实体组织从数据泄露中恢复的平均成本为 445 万美元,比过去三年增加了 15%。对于中小企业来说,数据泄露的平均成本接近 15 万美元,间接成本可能更高。


除了金钱损失外,数据泄露同样会破坏客户的信任并损害企业声誉。更为可怕的是。即使受害企业支付了赎金,仍旧近 40% 的公司无法如期恢复数据。


中小企业如何降低风险?


从目前行业内普遍采用的防御手段为例,企业应采用网络安全最佳实践,如采用美国国家标准与技术研究院(NIST)制定的中小企业网络安全框架。根据该框架,中小企业可以通过以下方式降低风险:


控制谁可以访问您的网络和数据;
制定正式的使用政策;
对静态和传输中的敏感数据进行加密;
使用集成安全功能的网络防火墙;
监控未经授权的访问;
定期备份数据;
制定应对攻击和从攻击中恢复的计划。


使用更为复杂的密码


98% 的网络攻击都是从某种形式的社交工程开始的,如果威胁攻击者掌握了终端用户的有效密码,就可以轻松绕过许多安全防御措施。因此,企业不仅要密切关注密码策略,还要阻止已知的密码泄露,执行密码政策,帮助终端用户创建更强的密码,阻止使用弱密码和常用短语,此举会让威胁攻击者更加难以下手。


Specops 的数据显示,83% 的被攻击密码在长度和复杂性方面都符合监管密码标准的要求,密码攻击之所以能够成功,往往是因为用户的密码可预测。用户往往倾向于重复使用密码,并在创建密码和试图满足复杂性要求时使用类似的模式。例如,以一个常用字开头,然后在其后面加上数字或特殊字符。强大的密码策略执行可以帮助用户创建易于记忆但难以破解的口令。


使用多因素身份验证


多因素身份验证通过增加额外的保护层来降低账户被接管的风险。这样即使密码泄露,未经授权的用户也无法在没有第二重授权的情况下访问网络,例如向移动设备或第三方身份验证提供商发送推送通知,有助于降低凭证被盗和密码被黑客暴力破解的风险。


培养用户安全意识


根据斯坦福大学研究人员和 Tessian 的一项联合研究,88% 的数据泄露可追溯到人为错误。世界经济论坛的《全球风险报告》则认为这一数字高达 95%。中小型企业应要求对最终用户进行培训,帮助他们更好地理解遵守网络安全政策的重要性,并识别网络钓鱼、网络诈骗和其他旨在窃取他们的凭据和沦为勒索软件受害者的攻击迹象。


参考文章:


https://www.bleepingcomputer.com/news/security/how-smbs-can-lower-their-risk-of-cyberattacks-and-data-breaches/


网络安全网络攻击
本作品采用《CC 协议》,转载必须注明作者和本文链接
尽管汽车制造商越来越重视网络安全,但随着汽车向“轮子上的软件平台”迈进,随着各种新功能的快速采用,联网汽车也逐渐成为了恶意黑客的攻击目标。
如今,零信任甚至已经达到美国联邦政策的水平。2021年5月,美国总统乔·拜登签署了一项加强美国网络安全的行政命令,承认联邦政府现行网络安全模式的固有弊端,明确指出部署零信任架构的迫切性。不过,目前许多企业领导者仍对零信任的含义及实践存在误解。Juniper Networks的Spanbauer表示,确保个人移动设备不会将网络暴露于不必要的威胁的最佳方法是制定并执行移动设备和数据管理计划。
根据 Huntsman Security 的数据,到 2023 年,无法负担网络安全保险、被拒绝承保或面临重大承保限制的企业数量将翻一番。为了弥合这种可及性的差距,保险公司正在寻求提高风险信息的质量,以便保费更好地反映该风险的真实成本。基于以上,不断变化的市场买卖双方对网络安全的需求无疑将推动保险市场不断进行调整。
在新加坡推出网络安全战略五年后,新加坡公布了一项修订后的国家计划,旨在采取更积极主动的立场应对威胁,并推动其网络安全态势,包括新的运营技术能力框架。
2020年7月,奇安信成功登陆科创板。据统计,近五年来国家、地方省市和各行业监管部门关于数据安全、网络安全已经至少颁布了50部相关法律法规。保护数据资产成为网络安全的难点问题,主要面临三个挑战。数据显示,超过85%的网络安全威胁来自于内部,供应链、外包商、员工等都可能成为“内鬼”,导致数据泄露。目前,
美国防部武器系统的网络安全问题一直以来是美军关注的重点。美国政府问责署(GAO)近期审查发现,与过去的国防部采购项目相比,目前的采购项目在开发过程中进行了或计划进行更多的网络安全测试。然而,GAO 发现,多个采办项目合同中未明确网络安全要求,也未制定采用或拒绝以及验证的标准。
美国防部武器系统的网络安全问题一直以来是美军关注的重点。美国政府问责署(GAO)近期审查发现,与过去的国防部采购项目相比,目前的采购项目在开发过程中进行了或计划进行更多的网络安全测试。然而,GAO 发现,多个采办项目合同中未明确网络安全要求,也未制定采用或拒绝以及验证的标准。
公安部门决定对该公司直接负责人罚款五千元,对公司不履行网络安全等级保护义务的违法行为,罚款一万元,并责令限期整改。
近日,一位匿名黑客成功入侵瑞士网络安全公司 Acronis 并窃取大量敏感数据的消息引爆了安全圈。更讽刺的是,在其官网上 ,Acronis 一直高调宣称能够“通过第一时间阻止网络攻击发生,主动保护数据、系统和应用程序。”从网络上公开披露的信息获悉,网络安全公司 Acronis 主要提供集成了备份、恢复以及下一代基于人工智能的防恶意软件和保护管理整体解决方案,覆盖预防、检测、响应、恢复和取证的五个网络安全关键阶段。
技术标准规范 左晓栋:对重要数据识别问题应更多强调国家安全属性 拜登政府网信政策走向分析 行业发展动态 美FDA医疗设备网络安全指南的实施将最大限度地降低医疗机构的网络安全风险 网络攻击致使汽车租赁巨头全球系统中断,业务陷入混乱 黑客利用恶意软件攻击记者 实锤!可口可乐证实受到网络攻击并开展调查 美军网络部队在立陶宛防御俄罗斯网络攻击 安全威胁分析 为保护关键基础设施,美国悬赏1000
安全侠
暂无描述