中小企业面临的十大网络安全难题

    为了能让有限的资源应付无穷的安全保护需求，中小企业往往不得不忽略掉各类潜在的威胁。最理想的保护措施在于防患于未然，制定策略将问题消灭在萌芽状态。但是在这之前，我们必须了解中小企业的网络安全威胁到底是什么？以下列举的是最近的调查显示的中小企业常常忽视的十大网络安全威胁。

    1.银行账户劫持

    网络犯罪分子每年都会利用银行服务类木马袭击上百家小型企业，他们能够借木马之力控制被害者的计算机，让银行服务器端误以为是真正的客户在操作。臭名昭著的Zeus正是木马家族中最“杰出”的代表；它能够在数分钟时间里从企业的银行账户中提取出成百上千美元，活脱脱现实世界中的吸血鬼。

    早在2009年，网络窃贼们就曾经对缅因州一家名为Patco的建设公司痛下杀手，通过感染该企业的计算机在不到一周的时间里从银行账户中豪夺58万9千美元赃款。尽管Patco公司及时向银行方面递交了事故报告，但最终仍然只追回了不到半数的损失。

    Patco公司虽然逃过了灭顶之灾，但大多数中小企业仍然面临着网络犯罪分子们的致命威胁。一般来说，只要是由客户计算机遭到入侵所导致的财务损失，大多数银行都不会给予赔偿或者追讨。“如果您是小型企业的负责人，请务必小心——那些恶意人士会把银行账户彻底掏空，而我们一点办法都没有。”赛门铁克公司安全响应部门主管Kevin Haley建议道。

    截至目前，法庭仍然倾向于银行方：就在去年，Patco公司的财务管理方Ocean银行就在判决中赢得主动，获得了不必为资金意外转移负责的有利裁定。

    在这样严峻的事态下，最好的防御方案就是确保企业使用单独一台专用计算机处理网上财务事宜——这台设备没有邮件系统、不装网络浏览器，连操作系统也严禁随意登录，Haley告诉我们。“有能力访问这些财务账户的人越多，就会有更多设备进行在线查询及操作，同时也将带来更高的安全风险，”他解释道。

    2.网站劫持

    许多小型企业的官方网站并不会用于出售产品，而完全是为了吸引客户。但也有不少公司跟Endless Wardrobe一样，需要在网站上直接进行产品及服务销售。无论是哪一种情况，拒绝服务攻击这种致命的侵袭都极为可怕——攻击者利用这种方式占据大量带宽，使得网站无暇处理正常客户的合法交易。

    过去，以拒绝服务攻击为手段的敲诈勒索者们大多将注意力放在那些名声不好的公司身上，例如在线博彩公司或者色情网站。但现在犯罪分子的胃口越来越大，他们已经开始对所有安全技术薄弱、无力抵御网络攻击的小企业们展开侵袭。

    包括CloudFlare、Incapsula以及Prolexic在内的许多服务商都能帮助企业用户对抗拒绝服务攻击。他们的方法是创建一套“安全”网络——即经过严格控制的业务社区，任何恶意流量在访问企业客户之前都会被过滤机制拦截下来，这一方面阻绝了不良请求、另一方面也保障了正常交易的进行。

[page]    3.由员工造成的数据泄露

    虽然说员工是小型企业的最大财富，但他们同时也是最可能引发灾难的潜在风险。他们很可能在不经意之间点击了高危链接、打开了不知附件或是犯下最基本的安全失误，总之这些“不明真相”的群众常常扮演着攻击者们“内应”的角色。

    只要能够获得一组密码，犯罪分子就能够顺藤摸瓜、窃取企业整套系统中的全部密码，接下来“针对企业展开的攻击步骤将势如破竹、铺天盖地，”管理技术供应商Thrive网络公司总裁Jim Lippie如是说。

    除此之外，对公司心怀不满的员工还可能搞出蓄意破坏等大麻烦来，这甚至比恶意人士的攻击更难应对。

    首先要对公司员工进行安全实践教育，从选择高强度密码开始贯彻良好的保护机制。在许多中小企业中，员工都喜欢用同一套密码或者有限的几组密码来访问公司资源及在线服务，更有甚者还将业务密码与个人密码混为一谈。此外，过分简单的密码内容也是常见的安全失误之一。

    其次，应该对员工进行背景调查，掌握哪些员工曾经造成过安全问题或者工作失误。严格控制员工对企业敏感资源的访问权限，例如客户清单以及财务信息等。利用安全及员工活动监控系统收集来自网络的信息，并划拨50美元每人的开支对所有可疑活动及日志内容进行分析——这对于小型企业而言也许价格不菲，但中型企业绝对值得尝试这套方案。

    4.通过服务供应商开展的隐藏攻击

    大多数小型企业会借助第三方服务供应商来管理某些技术或业务难题。托管网站啦、创建内部邮件系统啦、使用云存储服务啦或者管理销售点系统啦，这些看似平常的工作都不是小企业自己能够处理的，必须由第三方帮助解决。但到这儿问题就来了——只要合作关系确立，双方就成了一条绳上的蚂蚱，供应商的安全漏洞也会对我们自己产生影响。

    CloudFlare公司所遭受的攻击就是典型的例子，恶意人士从一开始就将目标设定为夺取CloudFlare的客户访问权上。比起直接对企业本身展开攻击，很多犯罪分子更喜欢对网络安全供应商下手——这样可谓一箭多雕，只要攻击得手，全部客户都会成为任人宰割的板上鱼肉。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!