SME:未必安全就需要高成本的投入
作者: 日期:2017年12月07日 阅:4,941

网络安全面前人人平等,中小企业(SME)和跨国公司都需重视网络安全,但很多小企业觉得自己缺乏防护预算,沦为了攻击者唾手可得的猎物。然而,强有力的防护未必需要大笔投资,全在于对威胁入侵渠道的理解。

网络犯罪的常见形式,就是对公司资产的非授权使用。这些资产被控制后可用在僵尸网络中,或者用于加密货币挖矿,但对公司本身更危险的是,黑客掌握了公司资产权限,就可以进一步巡游公司网络,执行勒索(勒索软件、DDoS)、诈骗(虚假服务、转账欺诈)和盗窃活动(盗窃登录凭证、数据等等)。

具体到网络防御方面有6个领域需要关注:

  • 杀毒软件
  • 补丁管理
  • 电子邮件过滤
  • 网页过滤
  • 管理员权限
  • 访问控制

通往网络防护的第一步,就是要回答一个问题:网络罪犯们是怎么捞钱的?

没有哪款解决方案可以覆盖这全部6个方面,真正有效的安全需要了解最大的威胁来自何方。于是,还有3个领域是需要关注的:备份、取证和监视。要知道,弄清楚发生了什么,与做好防护同样重要。

对一款安全产品投入太多依赖,是很多公司踩过的“坑”。打个比例:在需要四驱功能时买下一辆法拉利,然后……就没有然后了。

有些追逐最新技术的用户,在一些厂商的花哨产品上花费太多,就会落入无力购买其他产品的窘境。

一定要高投入才安全吗?

未必。

国外有一种细分的安全服务模式值得借鉴。Ratcliffe Groves Partnerships是一家专为连锁超市设计系统的小公司,总共才40名员工和50台终端。它的网络安全投入是以月计费的,每个用户每月22英镑,有时候还会更细化,细分到每周甚至每天。这样做的好处是,IT主管在向董事会解释安全开支时,可以避免抛出吓人的数字。

这种细分的方法还用于对网络犯罪不同元素的封堵上。比如定期培训员工应对社会工程,启用双因子身份验证保护账户,应用ZScaler之类的软件解决资产的非授权使用问题等等。

小公司并非任人宰割的羔羊,其拥有的灵活性,有可能改变网络攻防对抗中的游戏规则。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章