什么是网络安全?网络安全是保护系统、网络和程序免受数字攻击的做法。网络攻击通常旨在评估、更改或破坏敏感信息、向用户勒索金钱和/或中断正常的业务流程。由于每个用户的设备数量以及攻击者的复杂性,实施网络安全计划的复杂性随着时间的推移而增加。
网络安全需要跨计算机、网络、程序和数据使用多层保护。最有效的保护层包括人员、政策和技术的支柱。人员支柱确保员工接受有关网络安全威胁和最能减轻攻击的行为的教育。策略是关于组织如何保护自己免受攻击的组织框架和流程。技术包括组织和个人可以用来保护自己免受网络攻击的工具。要保护的主要实体包括端点设备,如计算机、智能设备、路由器网络和云。
为什么我的小型企业需要网络安全?
新闻中报道的许多网络事件都与大公司有关。一个例子是 Colonial Pipeline,它向攻击者支付了 440 万美元的比特币,以使其管道重新上线。另一个是 JBS Foods,它支付了 1100 万美元的赎金要求,这让世界上最大的肉类加工公司之一倒闭。
但是,大量网络攻击发生在中小型企业身上。2019 年发布的一项调查发现,约 20% 的中小企业成为一种或多种类型的勒索软件攻击的受害者,平均损失高达 141,000 美元以上的停机时间和索要赎金。
自大流行以来,这个数字呈指数增长。 2021 年,41% 的遭受网络攻击的小企业报告称其损失至少 100,000 美元,高于 2019 年的 37%。然而,不到一半的受访企业 (46%) 表示他们已针对可能的网络攻击实施了防御措施,只有四分之一 (24%) 的人表示他们计划在明年购买网络保险。
总之,针对中小型企业的网络攻击的频率和复杂程度都在增加,所需的勒索软件数量在增加,而企业并未充分保护其业务。阅读下文,了解保护您业务的九大网络安全提示。
面向中小企业的九大网络安全提示
1. 多重身份验证是您的朋友
密码是保护数据的第一道防线。但是,由于它们被黑客入侵的可能性更高,因此添加多因素身份验证 (MFA) 或双因素身份验证 (2FA) 将使保护加倍。MFA/2FA 是一种仅在成功提供两个或更多证据后才授予用户访问网站/应用程序的方法(通常在输入密码后)。这是一个知识、占有和内在的过程。MFA/2FA 方法的范围从面部识别到指纹识别以及带有身份验证器的单独设备。建议结合使用这些方法来确保您的信息受到保护。
2. 提供员工网络安全教育
人是任何网络安全战略中最薄弱的一道防线。为什么?因为黑客在如何瞄准和攻击公司员工方面继续变得更加聪明。以语音网络钓鱼为例,黑客获取个人(例如 CEO 或控制器)的语音记录,并使用软件操纵他们的声音来说出某些事情。例如,他们可能被指示将大笔资金汇入伪装成属于客户的账户。更简单的举措同样危险,例如指向恶意目的地的超链接,这些目的地看起来像是真实的、值得信赖的网站。教育员工注意什么对于企业网络安全防御来说非常重要。
3. 当心社会工程危险信号
社会工程是指对人们进行心理操纵以执行行动或泄露机密信息。通过“入侵”人员而不是硬件或软件来窃取公司的信息和资源要容易得多。因此,员工需要知道要注意什么。一些常见的危险信号包括:
- 电子邮件发件人:检查电子邮件发件人的电子邮件地址的有效性。例如,来自“Air Canada”的电子邮件地址来自@souq.com。
- 这个为什么发给你?您是否收到 UPS 的电子邮件,但途中没有包裹?小心打开此消息。
- 电子邮件主题:如果电子邮件主题与电子邮件消息的内容不匹配是对从未请求过的内容的回复,请在打开电子邮件之前三思而后行。
- 日期和时间:您是否收到一封在奇怪的时间发送的电子邮件?
- 超链接很奇怪:在打开超链接之前,将鼠标悬停在链接上以确定目的地。如果它看起来不合法,请不要点击它。
- 内容:发件人是否要求您单击链接或打开附件?小心里面的内容。
4. 实施密码策略
现代密码破解者可以在 30 秒或更短的时间内暴力破解一个标准的英语词典单词。用于解密和猜测密码的技术正变得越来越先进。密码应尽可能复杂并经常更改,以避免黑客攻击。您的组织实施的密码策略可确保员工了解强密码的重要性,并确保它们是按照所需的最佳实践创建的。一些最常见的密码在网络攻击期间最容易破解。其中包括“abc123”、“111111”和“密码”。强密码应遵循以下参数:
- 长度应至少为 10 到 12 个字符
- 至少应包括:一个大写字母、一个小写字母、一个数字和一个特殊字符
- 避免使用字典单词、生日和地址
- 使常用短语更复杂(添加数字或符号)
- 通过概述有关密码强度的公司政策,您的员工帐户和其中的重要数据将得到更好的保护。
5. 实施企业网络安全政策
企业网络安全政策应该是全面的,涵盖网络安全防御的三个最重要领域。其中包括人员、政策和技术。通过覆盖所有基础,您的组织受到尽可能高的保护。人员领域包括安全意识培训和安全报告形式的网络安全教育。政策包括员工行为方式的组织框架,例如密码政策。同时,技术包括防火墙、杀毒软件等方法。
6. 日常电脑习惯
养成安全的计算机习惯可以防止您的数据受到损害。例如,每当您离开计算机时,请务必锁定您的设备。检查您的周围环境以避免“肩部冲浪”。如果您经常处理机密信息,请使用隐私屏幕过滤器来阻止人们查看您的显示器。此外,频繁重启设备可确保应用安全和软件更新。如前所述,使用 MFA/2FA 将使您的登录名和数据的保护加倍。不与其他用户共享密码是关键,如果将它们存储在安全的密码管理器中会更好。切勿将公司数据存储在本地笔记本电脑或 PC 上;选择基于云的存储以确保数据受到保护。最后,请记住在一天结束时注销并关闭计算机,即使您将设备带回家也是如此。
7. 互联网安全习惯
您不仅应该练习安全的计算机习惯,而且调整您的互联网使用以进行安全浏览同样重要。以下是要遵循的五个互联网安全习惯:
注意您在网上分享的信息;一旦它在那里,即使你删除它,它也会永远存在。您应该假设您的数据将以某种形式存在于某处。如果您不希望每个人都知道某事,请不要在网上发布。完成测验和调查(尤其是在社交媒体上)时要小心,因为它们是黑客从您那里检索个人信息的一种方式。
请注意您下载或浏览的内容,仅使用安全的浏览器(Google Chrome、Microsoft Edge、Safari 和 Mozilla Firefox),并确保您访问的网站可以安全下载。
避免为所有在线帐户使用相同的密码;如果一个人被黑了,那么其余的人也很有可能会被黑,尤其是如果他们共享相同的凭据的话。最重要的是,不要在社交媒体上添加您不认识或从未见过面的任何人。一旦您同意好友请求,他们就可以访问您的信息。
8. 移动设备最佳实践
移动设备也容易受到黑客攻击。实施密码保护、指纹和/或面部识别以访问您的设备非常重要。他们至少应该有一个密码。在设备上设置无效的锁定和数据擦除策略以防丢失或被盗是最佳做法。为防止肩冲浪,请在您的设备上添加隐私屏幕以确保您的信息受到保护。
就像计算机一样,您可能会通过移动设备遇到安全漏洞。例如,不要让您的设备加入不熟悉的网络,尤其是公共网络。例如,当您使用星巴克的公共 Wi-Fi 时,不要检查您的银行应用程序。公共网络的安全性最低,它是黑客的已知目标。不使用时关闭 Wi-Fi 是一个好习惯。当涉及到您的应用程序时,请始终从您的应用商店(Google Play、Apple Store 等)而不是浏览器下载它们。警惕不知名的开发者或那些有很多差评的应用程序!
使用您的移动浏览器时,请密切注意 URL,除非您的浏览器是安全的,否则切勿保存您的登录信息。提防好得令人难以置信的广告和竞赛;尽量避免在它们弹出时点击它们。除浏览器外,设备中的蓝牙在不使用时应关闭,以进一步阻止黑客攻击。建议禁用自动蓝牙配对,以免它们连接到附近的随机设备。
网络钓鱼尝试也可能发生在移动设备上!不要相信试图获取您的个人信息的消息。以与电子邮件相同的方式处理这些内容是一个好习惯:点击之前请三思!接听电话时,不要回复要求提供财务信息(例如您的信用卡号码)的电话。发生这种情况时,请结束通话并直接与您的金融机构联系。避免接听来自未知号码的电话,除非您期待他们。阻止诈骗号码有时也会有所帮助。
9. 使用垃圾邮件过滤器(不要仅仅依赖它们)
垃圾邮件过滤器是有效的,但它们不会 100% 阻止垃圾邮件。这些使用算法来确定哪些电子邮件是垃圾邮件。黑客一直在努力破解算法,以确保他们的电子邮件能够通过过滤器。因此,您和您的员工是点击垃圾邮件中的链接或打开附件的最后一道防线。
