常见问题：如何保护我的小企业免受网络攻击？

事实：小企业低估了他们的脆弱性

上周针对几家美国银行发起了网络攻击。虽然黑客经常以大公司为目标，但小企业也越来越容易受到攻击。

小企业往往低估了他们对网络攻击的脆弱性，因为他们低估了自己对网络攻击的价值。他们认为他们不值得努力破解，但小企业主往往没有意识到，对经验最少的公司来说，以最小的安全性攻击公司的努力是多么少。

赛门铁克威胁意识调查显示，小型企业往往做得太少，无法保护自己免受攻击：

• 50％的小企业主认为他们太小而无法成为网络攻击的目标
• 61％的小型企业不在所有台式机上安装防病毒软件
• 47％的人不使用邮件服务器上的安全性
• 67％的人不使用任何基于网络的安全性

Verizon Business在2011年对网络安全漏洞进行了广泛的研究，对黑客攻击小型企业的趋势有一些令人惊讶的结果：

• 72％的黑客违规行为针对的是100名或更少员工的业务
• 2011年，79％的网络攻击受害者是机会的目标

虽然小型企业可能认为自己的规模小到可以被网络窃听者所忽视，但小型企业通常采取的宽松安全措施使其成为黑客攻击的目标。大多数受害者不是拥有大量资产或商业机密的企业，在严重计划的攻击之前被盗贼识别;相反，大多数受害者的网络安全都很弱，盗贼被剥削了。

通过员工进行黑客攻击

2011年有81％的违规行为使用某种形式的黑客行为，69％的人使用恶意软件。

网络窃贼打入公司基础设施的一种常见方式是通过黑客攻击员工而不是管理层。 Cyber​​thieves可以向个别员工发送网络钓鱼电子邮件，当这些电子邮件在公司服务器上打开时，恶意软件可以窃取公司信息。

企业应制定明确的公司政策，规定可通过社交媒体披露哪些公司信息，员工不应访问的网站，如何识别网络钓鱼电子邮件，以及如何保护移动设备的安全性，特别是如果他们可以登录公司服务器通过他们的个人设备

我们的网站提示：您应该如何保护您的业务？

美国联邦通信委员会拥有一个便利的小型企业网络安全规划工具，允许小企业主创建一个定制的网络安全计划，其中包含来自12个主题的专家的建议，包括网络安全，移动设备，设施安全和政策制定。

Investmentmatome建议企业采取四个初始步骤来保护自己：

1. 评估您的安全状态。您所有可能的数据泄露和安全漏洞在哪里？
2. 实施防火墙和防病毒软件
3. 为员工举办培训课程，并向他们介绍公司的网络安全政策
4. 创建难以猜测的管理密码，理想情况下由数字和字母组合而成

通过实施全面的网络安全计划并教育员工了解该计划，企业可以保护其资产。

其他专家意见

• McAfee在线安全专家Robert Siciliano提供了五个确保贵公司网络安全的技巧

“1。并非所有数据都被黑客入侵。锻炼基础到高级前提/物理 安全性，如访问控制，安全摄像头和警报。

2.限制客户所需的数据量。如果你不是真的 需要一个社会安全号码然后不存储它。如果是信用卡 信息不需要存储，然后不存储。

3.认识到基于知识的认证问题是密码 重置可以打倒房子。许多答案都可以在社交中找到 媒体网站。

笔记本电脑是最大的数据泄露点之一。笔记本电脑应该是 加密。笔记本电脑不应该被放在车里过夜或者留在车内 单独的酒店房间或办公室或咖啡馆的咖啡桌无人看管。 定位和擦除数据的笔记本电脑跟踪软件至关重要。

5.火车，火车，火车，火车。关于数据安全和如何做的培训， 什么不该做的是优先考虑的问题。单击电子邮件中的链接， 从网络或电子邮件下载任何内容，打开电子邮件中的附件， 这些都是最近成功感染网络的方法。“

• Corbier and Associates的创始人Nathan Corbier谈论员工设备

“我们不允许任何人将未经授权的设备插入我们的工作站 或公司笔记本电脑。这包括MP3播放器，手机，USB钥匙， 没有。如果有人这样做，它立即用蓝色锁定PC 死亡屏幕并发送SMTP警报。我们允许的唯一授权USB设备是Yubikeys和Iron Keys。

我们要求所有Android智能手机与我们的Google Apps同步 帐户，启用密码身份验证并加密。“

• Cover Story Media的所有者Michelle Schenker谈到了经常更改密码的重要性

“经常更改密码，并始终使用复杂和唯一的密码来处理您在线执行的任何操作。 密码在包含各种字符时变得难以解码，通常最好在密码中加入数字，字母，大写字母和符号。密码应该难以猜测，并且定期更改密码非常重要。建议您每月更改一次在线密码，以保持其动态，并降低某人访问您的个人信息的可能性。 “

• 创始人Retire-IT的Kyle Marks表示要安全地处理旧技术

“当一个组织退出不需要的技术时，它会面临与数据安全和环境合规相关的风险。来自可信赖的内部人员和疏忽的供应商的威胁增加了挑战。公司应该了解更新IT带来的数据安全威胁。“

• Tekcetera公司的创始人John S. Pitts鼓励使用防火墙和VPN

“随着越来越多的计算机黑客和身份盗窃受害者，您必须通过使用防火墙为您的公司提供可靠的保护。这些可以是基于软件的，也可以是基于硬件的，用于帮助保持网络安全。最终，防火墙根据预定的规则集分析数据包并确定应允许哪些信息通过。

虚拟专用网络（VPN）通过隧道协议和加密等安全程序提供安全性。例如，VPN可用于通过公共互联网将组织的分支机构安全地连接到总部网络。“

• 电子回收服务全球营销总监Alfea Principe提醒小企业主安全回收电脑

“金融和政府问题没有意识到的一个共同问题是 与不回收电脑，手机，打印机，传真有关的危险 机器等正确。如果没有正确拆卸这些电子设备 并且放错了手，这是非常敏感和机密的数据（信用卡 可以提取卡片，银行信息，社会安全号码等。“

• MRB Public Relations的Michael Becce警告键盘记录器

“对小企业的真正威胁是键盘记录。键盘记录是一种形式 跟踪您在键盘上进行的每次击键并制作它的恶意软件 可供黑客使用。大多数人都认为反病毒产品会 毕竟，它可以防止键盘记录器进入他们的系统 盒子。现实情况是，最好的防病毒产品可以检测到 不到25％的已知键盘记录器。许多系统已经被感染。 键盘记录程序可以跟踪Windows登录，银行表单，财务中的所有内容 信息，电子邮件，社交媒体，甚至即时消息。每一个小 企业应该假设组织中至少有一个人 打或将会。许多小企业已完全关闭 已经。为了防止它窃取你的击键（和你的数据， 秘密，金钱等），使用击键加密工具加密每个 你做的按键，以便键盘记录器读取假数据。“

• LKCS业务发展副总裁Sid Haas谈到聘请第三方网络安全公司并举办培训

“我们聘请了第三方独立网络安全公司，每6个月对我们的服务器和网站进行一次外部漏洞评估。这些评估根据风险级别确定特定的安全漏洞。我们利用这些评估报告中的信息来减少尽可能多的漏洞 - 从任何已识别为高风险的漏洞开始，同时解决被识别为中低风险的项目。

我们发现，网络安全与其他所有步骤一样，都与教育和培训密切相关。我们与所有员工举行年度安全培训课程，并通过电子邮件和我们工厂内展示的小海报不断提醒所有员工全年的安全问题，诈骗和威胁。“

• Lantego LLC的首席策略师Doug Landoll鼓励企业定期审查其安全性

“我们审查当前的行政，物理和技术控制，协助填写安全调查，并使小企业恢复合规。这涉及物理检查系统和敏感数据存储的保护，制定安全策略，以及 锁定我们的系统。

小企业往往是黑客的目标，因为他们预计控制力较弱。很可能是您的敏感信息受到损害的可能性。只需极少的努力，就可以实施基本控制，不仅可以使您达到合规性，还可以保护客户的敏感信息并提高他们对您服务的满意度。“

• 内华达州医疗安全技术公司的所有者Mark J. Sexton谈到培训员工的重要性

“在讨论小企业的网络安全时，主要目标是与企业主和员工建立安全意识。你不能保护你不知道的东西，因此要了解网络犯罪的性质，坏人用来获取受保护信息或金钱/资产的方法是关键。一旦人们对窃贼如何使用技术窃取有了基本的了解，那么他们就可以查看自己的系统和流程，看看是否存在漏洞或漏洞。

基本的事情，比如使用复杂的密码并定期更改密码，使系统和防病毒软件保持最新。定期在其系统上使用恶意软件/间谍软件扫描应用程序。教育员工适当使用技术以及网络钓鱼和社会工程攻击是如何工作的，制定关于适当使用商用计算机的政策而不允许用户成为其系统的完全管理员构成了这里的低调成果。管理权是一个很大的问题，如果用户可以安装软件，他们可以成为攻击的纽带，或者允许关键记录器软件和其他此类恶意软件进入他们的系统，并可能存在于业务的所有系统中。

最后，尽管知识和知识都是关于知识的。几乎不可能抵消员工的不良计算行为，因此培训成为关键。“