小企业的有效网络安全战略[我们询问了45位专家]

在这篇综述文章中，我们将揭示小型企业最有效的网络安全策略。

小企业主会遇到一系列网络威胁，这些威胁可能是致命的，具体取决于它们的影响。

我们询问了高层管理人员、小企业主和网络安全专家以下问题：小企业最有效的网络安全战略是什么？

因此，在几次电子邮件请求、Skype采访和电话之后，我们能够得到一些有价值的回复。

多方面的网络安全方法是最好的网络安全战略。小企业更容易受到网络攻击，因为这些公司通常没有大企业同行受到很好的保护。

小企业必须制定一个连贯的网络安全计划，其中包括并传达安全软件的标准，以便在每一台已完成工作的设备上运行。

目前有几家保险公司向小企业提供网络保险。尽管如此，对于小企业来说，招聘网络防御专家来改善其商业环境中的整体网络安全是有帮助的。

最终，当网络保险被普遍接受时，它肯定会成为小企业主提供对公司防御流程的审计的先决条件。

我在网络入侵方面与多家公司合作。最大的趋势是，无论是针对小公司还是大公司的外部攻击都在增加。

对于外部攻击，这些网络威胁的目标是公司网站，以提供恶意有效负载，这可能会造成严重的破坏。

通过严格的网络安全实施和政策，小企业主可以显著减少外部攻击。

实施培训和教育：随着向远程工作的突然转变，小企业应该在网上工作时对员工进行安全最佳实践方面的教育。从发现钓鱼电子邮件到使用双因素身份验证(2FA)和强密码，企业可以帮助确保其员工在内部采取所有必要步骤来保护自己。通过教导员工始终将安全放在首位，企业还可以建立一个标准操作程序，即“SOP”，说明在远程工作时应该如何处理文档以及如何报告潜在的漏洞。

利用VPN&；网站安全工具：中小企业在依赖外部网络时应该使用虚拟专用网络(VPN)，即使是员工的家庭网络，因为安全控制的管理不在公司的范围之内。VPN通过对通过共享或公共网络传输的数据进行加密来保护数据，防止敏感信息(如SSN、密码和信用卡号码)被暴露。此外，小型企业应该定期扫描其网站是否存在恶意软件和漏洞。通过主动维护网络安全卫生，组织可以帮助确保其客户及其数据的安全。

注意你正在共享的数据：从将客户信息输入到在线表格到简单地发送电子邮件，企业需要意识到他们在网络上共享的私人信息。通过小心处理敏感信息，如果企业成为黑客或入侵的受害者，就可以限制灾难性数据泄露的风险。

小型企业的完美网络安全策略是定期备份。备份是最重要的，尤其是在小型企业环境中。同样，依靠人工干预，如插入闪存驱动器，肯定会导致网络安全故障。

小企业的有效网络安全战略需要识别网络风险，并确定适当的方法来缓解这些风险和应对网络事件。NIST网络安全框架为小型企业提供了这一战略，其最佳实践基于政府、学术界和私营部门专业人员的意见。

框架被故意设计成灵活的，因此它可以用于不同大小和类型的实体。因为它是免费资源，所以有几个部门已经创建了定制资源，例如面向餐厅经营者的全国餐厅协会工具包。对于小企业主来说，使用框架来定义和降低风险是一个很好的策略。

我建议小型企业首先应该使用防病毒软件和防火墙来保护自己。即使听起来很简单，你也会惊讶有多少公司没有使用最新的反恶意软件解决方案。这应该是你的一级防御。

访问控制策略和网络安全都将人为错误降至最低。确定公司结构中的哪些人可以访问不同类型的数据至关重要。每次访问都应记录在日志文件中。

许多攻击或信息泄露都依赖于员工。黑客经常使用社会工程来达到这个目的。在可能的情况下，实施多因素身份验证，并通过定期备份减少勒索软件攻击的机会。

公司应该寻求一种解决方案，以缓解当前的网络安全挑战，提供持续的支持，并帮助抵消未来不断变化的威胁带来的风险。

小企业可以真诚地利用其资源，并为员工提供培训，但挑战和威胁极其多样，可能需要广泛的专业知识。

因此，最好的做法是继续专注于业务的核心功能，让经过审查的第三方提供商来处理剩下的事情。他们拥有训练有素的专业人员，他们不仅帮助部署最好的解决方案，还提供持续的支持，随时为您的业务提供支持。

这一切都始于正确的技术-一致的更新、正确的防火墙、正确的垃圾邮件过滤和防病毒，以及使用多因素身份验证。

然后，你每月给你的员工上一次容易消化的课程，定期对他们进行培训。这有助于创建一种合规文化。你与忽视培训或考试表现不佳的人密切合作，因为这是你最大的弱点。与您的IT供应商和保险代理合作，挑选一份准确反映您的公司和需求的保单。

最后，记录与您的行业和合规性法规相关的所有政策和程序。

必须承认，今天拥有防火墙、服务器密码/权限和防病毒软件不足以构成足够的保护。

摆脱传统系统(如依赖基于密码和用户权限的安全性的内部部署服务器)，转向包含身份管理、威胁分析、文档保护和多因素身份验证的现代系统，必须是任何公司安全规划的一部分。

对于有效的网络安全战略，总是需要解决任何组织中最薄弱的环节：员工。

员工需要接受培训，了解如何正确使用公司的系统，如何识别潜在的威胁，并掌握正确的安全程序的工作知识。

集中和控制多个安全系统，以提供企业内正在发生的事情的“单一管理平台”概览，将帮助技术人员关联相关数据并做出适当的决策。

每个小企业都需要实施两件简单的事情。一旦这些措施到位，他们就可以开始制定有效的战略。

如果你没有其他东西，你应该有备份。网络中的任何东西，甚至整个网络都可以更换。然而，数据不能。您的客户列表、他们的文件、应收账款分录或企业运营所需的任何东西都应该备份。

备份之后是MFA。使用MFA，您不必太依赖您或您的员工检测网络钓鱼邮件的能力。NIT还可以在用户名和密码因服务提供商的错误而在线泄露的情况下提供帮助。

作为一家小企业主，我们非常清楚我们是网络罪犯的首要目标，因为我们被视为容易受到攻击的对象。统计数字是残酷的，这是那种可以让你全军覆没的事情。

对于远程工作，我非常强调员工安全-全面的网络安全培训，我们提供的安全软件，公司设备具有完整的面部识别等。网站也被完全锁定，从我们的域名到反间谍软件，安全补丁，无所不包。我们有保安专业人员定期检查一切可疑活动。我想说，我们的战略是“为每一种可能的情况做好过度准备”。

备份-任何优秀的安全人员都应该说，如果攻击者有足够的动机，那么最严密的网络仍然容易受到攻击，备份(特别是使用离线和异地拷贝)可以帮助您解决许多问题。

文档-尽可能多地说明在发生漏洞或网络安全事件时应采取的措施的文档，可以减少停机时间，加快问题隔离速度，并帮助公司了解他们在安全方面的哪些不足之处。文档应包括网络事件响应计划、信息安全策略、灾难恢复/业务连续性计划，或许更类似于安全框架策略(它将概述公司实施的各种安全计划)。

分层-添加尽可能多的不同服务和设备，以帮助防止攻击。例如，防火墙应该有订阅安全服务，因此网关不仅仅是一个交警。

安全意识培训-归根结底，大多数网络中最薄弱的环节是用户本身。许多攻击利用了这样一个事实，即技术很复杂，人类很容易被欺骗。培训应该让用户意识到存在的危险。

我向小型企业推荐的最好的网络安全策略是使用云安全。即使云有一点风险，您也不太可能通过将数据存储到云中而丢失关键数据。

对于中小型组织来说，利用云存储数据是一种经济的选择。每当小型企业因销售额扩大而发展时，云存储和安全工具都可以与公司一起扩展。由于云安全在不断提升，所以您的业务一定要去选择云存储安全。

为小企业制定网络安全战略是一个轻而易举的过程。网站管理员可以使用Google开发工具在他们的表单上免费设置reCAPTCHA。对于较大的组织来说，这是必须的，因为您的公司拥有的员工越多，攻击载体就越大。

reCAPTCHA是最好的免费工具，可以确保表单由人工完成，而不是由机器人完成。这并不完美，当然仍然有一些人可以手动提交垃圾邮件或网络钓鱼消息，但这是显著降低风险的一种快速方法，这使其成为网络安全的最佳实践。

使用网络分段，这是一个基本上将计算机网络拆分成多个不同网段的过程。通过使用网络分段，如果黑客能够访问您的某个网络，它可以帮助防止您的整个系统受到危害。它还让您有时间在其他网络也有被黑客攻击危险的最坏情况下做出反应。

使用网络分段，您还可以指定您的用户也可以访问哪些网络资源。在恶意内部用户至少占数据泄露的30%的情况下，这可能是网络分段的最大好处。

网络保险是保护小企业资产的关键。小企业和大组织一样容易受到网络攻击，而且由于其有限的IT预算和资源，它们很容易成为网络罪犯的目标。

小企业现在可以受益于量身定做的独立网络保险，以帮助支付安全违规费用、安全违规责任、网络勒索和勒索软件付款、社会工程事件造成的损失等。网络攻击不再是一个“如果”的情景，而是一个“当”的情景，而网络保险是减轻入侵后可怕的经济损失的重要一步。

作为一名小企业主，同时也在家庭办公室从事网络安全工作，我强烈建议在办公室使用Li-Fi互联网连接功能，而不是很容易被黑客入侵的经典Wi-Fi连接。但使用Li-Fi时，情况正好相反，不能从办公室外的人那里入侵。除此之外，小企业的网络安全战略也应该把重点放在分层的网络安全系统上。

今天最大的威胁是未知的，所以当谈到网络安全时，小企业能做的最好的事情就是自我教育。他们可能有一支精干的IT团队，他们了解IT，但不知道网络安全适合哪里。

小企业可以提供一些免费的工具，这些工具可以非常有效地对抗许多常见的网络威胁，所以重要的是，他们要了解这些是什么，以及如何实施这些工具。

勒索软件是一种典型的网络钓鱼攻击，它是一种加密恶意软件，它对重要的公司文件进行加密，并将其扣留以换取赎金。赎金通常从数百美元到数千美元不等。去年，网络罪犯从被勒索软件攻击的企业中赚取了超过10亿美元。

切勿打开您不希望收到或无法识别发件人的电子邮件中的附件。如果您在看到不知道的URL或来自未知发件人的URL时使用相同的注意事项，那将是最好的。

有了今天先进的勒索软件技术，你只需访问一个网站就会感染勒索软件。您无需单击网站上的任何内容即可使用数据加密勒索软件感染公司。

请遵循上面概述的最佳实践，以确保您尽到自己的职责，使勒索软件远离公司网络。如果做不到这一点，可能会给业务带来巨大的停机时间和金钱成本，我们都需要保持警惕来阻止这些攻击。

我们在法律、执法、医疗、金融和学术行业工作，必须遵守一些非常严格的保密协议。这就是为什么我会告诉你，要把所有东西都托管到一家同时拥有HIPAA和CJIS合规认证的公司，并对所有可以访问你的敏感数据的员工进行犯罪背景调查。我们还有一般责任和单独的网络责任政策，以防发生糟糕的事情。

小企业的网络安全战略需要关注三件事：保护专有数据、保护员工数据和保护客户数据。在当今世界，这意味着您必须利用外部提供商来帮助管理保护整个组织范围所需的所有系统。

为数据存储、电子邮件服务、视频会议和协作工具投资合适的外部提供商只是第一步。第二是应用正确的安全策略来使用这些工具：实施双因素身份验证，要求员工使用VPN，实施移动设备管理。最后一步是培训您的员工了解网络对手给业务带来的风险，并确保他们了解您的工具和策略及其重要性。

对于小企业主来说，保护自己免受网络攻击的最有效的网络安全战略是追求容易摘到的果实，也就是众所周知的80-20规则。一个极其简单但有效的示例是在电子邮件帐户上启用多因素身份验证。

另一种适用于小型企业的有效网络安全策略是确保所有密码长度超过14个字符，并提供一定的复杂性。这些让中小企业在网络安全方面领先一大步，几乎不用花费任何费用，而且只需很短的时间就可以建立起来。

尼尔·克谢特里(Nir Kshetri)-北卡罗来纳大学格林斯伯勒分校(University of North Carolina-Greensboro)教授、神户大学研究员。

这对于开发有效的政策和网络安全就绪的人力资本至关重要，其中包括提高网络防御能力和最大限度地减少劳动力的越轨行为。这是因为人的因素是网络安全中最薄弱的一环。

根据Dell Secureworks的数据，90%的恶意软件感染涉及人为因素，如打开电子邮件附件或单击网站上的链接，然后才能渗透到目标中。CybSafe对英国ICO数据的分析表明，2019年英国90%的数据泄露是人为错误造成的。

中小企业可以利用公司提供的网络安全培训，有效地识别和筛选钓鱼电子邮件。此外，制定与访问组织数据和网络相关的明确政策也很重要，特别是在新冠肺炎和远程工作等情况下。

恶意攻击您的网站的一个常见途径是通过允许您的访问者与您的业务动态交互的表单和Web应用程序。对你网站的大多数访问都是良性的，但只需要一个恶意用户或自动机器人在互联网上爬行寻找易受攻击的网站，就可以让你的整个系统瘫痪。

当恶意代码和脚本通过您的联系人表单、订单或其他类型的用户输入(如评论等)注入您的站点时，这些攻击就会发生。

这些脚本可以执行恶意代码，从而劫持和关闭您的服务器或数据库，或者它们可以接管您的网站并将代码插入到您的网页中，从而影响您站点的其他用户(这称为跨站点脚本攻击)。

通过这种跨站点脚本攻击，您站点的用户可能会将您站点的所有通信重定向到其他站点，在那里可以执行网络钓鱼或其他诈骗活动，或者他们的计算机可能会感染恶意软件，这些恶意软件会将他们的计算机变成由恶意用户控制的垃圾邮件机器人。

这类攻击的解决方案是通过任何暴露的入口点安全地验证您网站的所有输入，无论这些入口点是Web表单、注释框等。

永远不要相信你系统中的任何输入，并彻底验证你收到的任何提交，以确保你期望的内容类型就是你实际获得的内容，并且没有恶意脚本从你的网站入口点引入到你的系统中。

最便宜、最有效的小型企业安全策略是使用具有专用IP地址(虚拟专用网络)的VPN。它可以为业务添加很多安全功能，包括恶意软件防护、数据加密、Wi-Fi网络保护、与网站管理系统、银行、CRM系统的安全连接等。

布拉德·斯诺(Brad Snow)-Bridgepointe Technologies的云计算专家&Tech Exec Roundtable的联合创始人

培训，所有员工都必须接受安全方面的培训，我建议培训不仅要在入职时进行，而且要在整个工作过程中定期进行，比如每月一次的进修，包括及格/不及格要求。此外，网络钓鱼测试电子邮件作为培训组件也不失为一个好主意。

防火墙，不要便宜，但你也不需要破产。

一般情况下，限制暴露，如果他们不需要访问，就不要授予它。

采访当地的MSP，如果他们想吓唬你的话，…。这是个危险信号！您需要一个了解您的工作环境/流程并能帮助优化其安全性的人。如果他们至少没有提到上面的所有事情，那就继续前进。

..