摘 要:为了能让有限的资源应付无穷的安全保护需求,中小企业往往不得不忽略掉各类潜在的威胁。
为了能让有限的资源应付无穷的安全保护需求,中小企业往往不得不忽略掉各类潜在的威胁。最理想的保护措施在于防患于未然,制定策略将问题消灭在萌芽状态。但是在这之前,我们必须了解中小企业的网络安全威胁到底是什么?以下列举的是最近的调查显示的中小企业常常忽视的十大网络安全威胁。
1.银行账户劫持
网络犯罪分子每年都会利用银行服务类木马袭击上百家小型企业,他们能够借木马之力控制被害者的计算机,让银行服务器端误以为是真正的客户在操作。臭名昭著的Zeus正是木马家族中最“杰出”的代表;它能够在数分钟时间里从企业的银行账户中提取出成百上千美元,活脱脱现实世界中的吸血鬼。
早在2009年,网络窃贼们就曾经对缅因州一家名为Patco的建设公司痛下杀手,通过感染该企业的计算机在不到一周的时间里从银行账户中豪夺58万9千美元赃款。尽管Patco公司及时向银行方面递交了事故报告,但最终仍然只追回了不到半数的损失。
Patco公司虽然逃过了灭顶之灾,但大多数中小企业仍然面临着网络犯罪分子们的致命威胁。一般来说,只要是由客户计算机遭到入侵所导致的财务损失,大多数银行都不会给予赔偿或者追讨。“如果您是小型企业的负责人,请务必小心——那些恶意人士会把银行账户彻底掏空,而我们一点办法都没有。”赛门铁克公司安全响应部门主管Kevin Haley建议道。
截至目前,法庭仍然倾向于银行方:就在去年,Patco公司的财务管理方Ocean银行就在判决中赢得主动,获得了不必为资金意外转移负责的有利裁定。
在这样严峻的事态下,最好的防御方案就是确保企业使用单独一台专用计算机处理网上财务事宜——这台设备没有邮件系统、不装网络浏览器,连操作系统也严禁随意登录,Haley告诉我们。“有能力访问这些财务账户的人越多,就会有更多设备进行在线查询及操作,同时也将带来更高的安全风险,”他解释道。
2.网站劫持
许多小型企业的官方网站并不会用于出售产品,而完全是为了吸引客户。但也有不少公司跟Endless Wardrobe一样,需要在网站上直接进行产品及服务销售。无论是哪一种情况,拒绝服务攻击这种致命的侵袭都极为可怕——攻击者利用这种方式占据大量带宽,使得网站无暇处理正常客户的合法交易。
过去,以拒绝服务攻击为手段的敲诈勒索者们大多将注意力放在那些名声不好的公司身上,例如在线博彩公司或者色情网站。但现在犯罪分子的胃口越来越大,他们已经开始对所有安全技术薄弱、无力抵御网络攻击的小企业们展开侵袭。
包括CloudFlare、Incapsula以及Prolexic在内的许多服务商都能帮助企业用户对抗拒绝服务攻击。他们的方法是创建一套“安全”网络——即经过严格控制的业务社区,任何恶意流量在访问企业客户之前都会被过滤机制拦截下来,这一方面阻绝了不良请求、另一方面也保障了正常交易的进行。
3.由员工造成的数据泄露
虽然说员工是小型企业的最大财富,但他们同时也是最可能引发灾难的潜在风险。他们很可能在不经意之间点击了高危链接、打开了不知附件或是犯下最基本的安全失误,总之这些“不明真相”的群众常常扮演着攻击者们“内应”的角色。
只要能够获得一组密码,犯罪分子就能够顺藤摸瓜、窃取企业整套系统中的全部密码,接下来“针对企业展开的攻击步骤将势如破竹、铺天盖地,”管理技术供应商Thrive网络公司总裁Jim Lippie如是说。
除此之外,对公司心怀不满的员工还可能搞出蓄意破坏等大麻烦来,这甚至比恶意人士的攻击更难应对。
首先要对公司员工进行安全实践教育,从选择高强度密码开始贯彻良好的保护机制。在许多中小企业中,员工都喜欢用同一套密码或者有限的几组密码来访问公司资源及在线服务,更有甚者还将业务密码与个人密码混为一谈。此外,过分简单的密码内容也是常见的安全失误之一。
其次,应该对员工进行背景调查,掌握哪些员工曾经造成过安全问题或者工作失误。严格控制员工对企业敏感资源的访问权限,例如客户清单以及财务信息等。利用安全及员工活动监控系统收集来自网络的信息,并划拨50美元每人的开支对所有可疑活动及日志内容进行分析——这对于小型企业而言也许价格不菲,但中型企业绝对值得尝试这套方案。
4.通过服务供应商开展的隐藏攻击
大多数小型企业会借助第三方服务供应商来管理某些技术或业务难题。托管网站啦、创建内部邮件系统啦、使用云存储服务啦或者管理销售点系统啦,这些看似平常的工作都不是小企业自己能够处理的,必须由第三方帮助解决。但到这儿问题就来了——只要合作关系确立,双方就成了一条绳上的蚂蚱,供应商的安全漏洞也会对我们自己产生影响。
CloudFlare公司所遭受的攻击就是典型的例子,恶意人士从一开始就将目标设定为夺取CloudFlare的客户访问权上。比起直接对企业本身展开攻击,很多犯罪分子更喜欢对网络安全供应商下手——这样可谓一箭多雕,只要攻击得手,全部客户都会成为任人宰割的板上鱼肉。
根据安全服务供应商Trustwave公司(这家企业主要为零售及医疗机构提供服务)的调查分析,去年,76%的数据外泄事故与第三方系统管理有关。无独有偶,Verizon公司发布的年度数据泄露调查报告同样指出,在遭受数据泄露困扰的企业用户中,有46%采用了第三方合作伙伴的管理方案,且这一比例在过去三年中持续走高。
现在我们需要跟自己的服务供应商好好聊聊,寻求规避风险的最佳途径。电子邮件服务供应商必须正视安全问题的重要性,因为邮件系统往往是抵御攻击时最薄弱的环节。
“对于小型企业而言,员工的邮件账户就像一把万能钥匙,能够打开所有相关业务账户的大门,”Prince指出。“只要黑客成功取得邮件账户的控制权,那么其它所有账户的安保机制都将形同虚设。”许多攻击者都会利用由云服务供应商提供的邮件账户恢复机制来夺取企业托管服务的控制权。举例来说,遭遇侵袭的CloudFlare公司就选择将的私人邮箱地址作为企业在谷歌应用的官方账户,这样一来密码重置确认邮件就落入了恶意人士手中,后果自然不言而喻。
“花一整天时间为官方网站被攻击而向客户道歉当然很不好受,但如果黑客一下子划走数十万美元,那么企业将立刻面临倒闭。”——Internet Identity公司CEO Lars Harvey
许多新兴企业及小公司都采取了与CloudFlare同样的处理方式,这就给将来的事故埋下祸根。
各类财务事务也是值得关注的安全重点。第一,别利用自动票据交换交易进行企业间的转账活动,或者说应该尽可能禁用这项功能。其次,问问公司选择的银行能否提供额外的安全措施,例如双重身份验证、资金转移电话确认等机制,这些都能有效阻断恶意人士的阴谋诡计。
“要想安全地跟银行打交道,大家必须先确保自己拥有强大的控制权,否则赶紧换家合作银行,”Internet Identity公司CEO Lars Harvey告诉我们,这是一家专门处理客户互联网事务安全的企业。
讨论安全性话题应该成为选择第三方服务商的标准流程,Prince表示。由于经受到严重的恶意攻击,CloudFlare公司如今要求每一家供应商都必须提供严格的安全保障。
“‘贵公司能为我们的账户提供哪些额外安全保护?’如今在考虑与供应商开展合作之前,我们都会首先提出这个问题,”他告诉我们。
每一家供应商都应该有能力提供双重身份验证机制,例如便携型实时密码生成装置或者通过短信发送确认信息等。除此之外,我们还应该选择安全机制健全的移动手机品牌及管理企业,这样才能保证手机遗失后不会发生账户失窃等一系列后续问题。
5.针对性攻击
相信大家都听说过针对性攻击的故事,高度机密的政府部门、安全防御代理商以及大型技术企业相继成为恶意人士的侵袭对象——但事实证明,很多小企业也会遭遇相似的针对性攻击。
针对性攻击的目标往往是某一家单独企业或者行业中的特定环节,攻击者往往通过伪装成熟人的方式在邮件中设置“鱼饵”并发送给受害者。邮件中所包含的恶意链接或附件会促使受害者在不知情的状态下做出有悖系统安全、危害服务登录协议、泄露密码等可能破坏敏感信息的行为。通常这类邮件会以商务通信的姿态出现,例如法律记录或者虚假转账通知。举个实例,几位中型企业的财务主管就收到过来自美国专业会计师认证协会的邮件,要求他们立即填写附件中的回执表格,否则其认证资格就会被注销。然而,就在各位主管打开文件的同时,潜伏于其中的恶意程序就瞬间感染了系统,信息窃取木马就此扎根于企业设备之中。
尽管以杀毒软件为代表的众多先进安全系统一直在为企业提供保护,但这类软件依然无法始终实时跟踪并识别攻击者所使用的木马程序。为了对现有防御机制做出适当补充,企业管理者必须利用监控软件对异常流量、来自其它国家的通信请求以及大规模数据传输等情况,这样也确实能够有效提高业务安全性。一旦发现此类状况出现,我们几乎可以断定企业已然遭受恶意侵袭,并需要马上开展进一步调查。
“如果大家发现某些流量在自己的业务环境中肆意进出,那么必须马上做出反应,抢在恶意程序有所行动之前加以防范,”Zscaler公司产品营销部门主管Kapil Raina指出。
6.缺乏补丁更新的软件
供应商一般都会针对自己的软件产品频繁发布补丁,但大多数小型企业都没有及时进行安装。在众多可能引发问题的因素当中,由于浏览器插件缺乏更新所带来的安全威胁可以说最为臭名昭著,攻击者自然也不会放过这一好机会。多年以来,Adobe公司的Flash及Acrobat再加上甲骨文公司的Java都是攻击者下手的不二选择。只需花个千八百美元,网络犯罪分子就能在网上淘换到不错的攻击工具包。根据赛门铁克公司的调查,这类工具能够借助下载攻击检测浏览器中的插件,可资利用的安全漏洞往往高达数十种之多。
“大家需要制定严格的补丁安装政策,”TeamLogic IT公司的IT部门副总裁Vincent Plaza指出,这是一家专为小企业提供服务的IT供应商。“许多公司为了图省事会直接开启Windows更新检测器,以为这样就万事大吉了。”恰恰相反,真正危险的并不是操作系统本身,而是日常工作中经常用到的各类软件。所以我们必须通过专门的监控工具了解系统中的哪些软件需要更新,并确保所有程序都在30天之内得到适当的升级。
明令禁止员工们使用第三方插件也是个不错的办法,但在执行起来可能既不顺利也不愉快。“如果大家强迫公司员工避免使用Flash或者Java,那么他们的工作体验真的会非常糟糕,同时也会对企业抱有怨言,”Raina表示。
资源有限是中小企业无法回避的客观情况,但插件安全绝对不是小事,值得管理者拿出相应的资源认真打理——相信我。
7.网站成为恶意软件集散地
小型企业常常会在创建官方网站就扔在那里不管,这种状况在不涉及电子商务的公司群体中尤其多见。这里我要提醒大家,别以为只作宣传的网站就不会造成危害,事实上任何疏于管理的企业内部网站都可能受到攻击者的侵袭。
“也许这些网站并不会影响到企业本身,但它们却与内部服务器紧密相连,”CloudFlare公司的Prince解释道。“而服务器很可能成为各种恶意软件的温床。”
单单在美国本土,McAfee公司每天就会检测出超过九千个新增恶意网站。而根据赛门铁克公司的诺顿网络安全服务调查,在这些运行着恶意代码的网站中,有60%以上都是遭到感染、破坏的合法站点。这些网站并不完全属于企业,博客及技术社区等其它一些普通站点也是恶意软件的高发区域。
这种状况会带来哪些恶果?哈,客户在访问您的网站之后惨遭感染,他们还会跟您的企业打交道吗?
“如果大家的网站受到恶意感染,那么所影响到的绝不仅仅是内部员工——而是所有访问过企业站点并受到感染的客户。相信我,他们在发现事情的严重性后绝不会再与您的企业有任何往来了,”赛门铁克公司的Haley表示。
紧张了?别怕,解决方案在此:定期为网站安装补丁,或者更进一步,让托管服务商或者托管应用程序来处理这些工作。McAfee安全公司的产品及赛门铁克公司的诺顿安全软件都会定期检测网站中的安全漏洞,并分析站点是否已经受到恶意感染。CLoudFlare公司及Incapsula公司则会帮助大家把攻击活动彻底阻挡在自己的网站之外。
8.被忽视的陈旧系统
很多IT系统都会接入企业内部网络,但有时候技术团队会由于人员更替或者年代久远而忘记了它们的存在。另外,员工也常常会悄悄把自己的计算机、路由器以及移动设备接入内部网络。这些被忽视的系统很可能没有及时打上补丁,甚至已经被恶意软件所占据。
在众多容易被忽视的系统中,有两种最容易引发安全问题——IP语音系统与视频会议系统。很多人没有把这二者视为传统软件,因此漏洞检测及后期维护自然也谈不上了,这就等于是为攻击者提供了一道随意出入的大门,安全服务供应商Dimension Data公司首席顾问Nick Arvanitis告诉我们。
出于“通力协作、坦诚布公”的想法,很多公司会放开这些系统的访问权,而且根本没意识到该严格将其锁定,他指出。
安全企业Rapid7公司在过去的一年中一直在对互联网进行扫描,他们最终发现了约五千次针对视频会议系统安全漏洞的攻击活动。根据Rapid7公司的评估,以上数据说明互联网上约有十五万套系统存在此类漏洞。
从自己做起,确保这些系统处于锁定状态,同时像其它企业软件一样拥有定期更新政策。
苹果Mac设备所使用的OS X系列则是另一类经常被忽视的系统。许多小型企业之所以采用OS X是相信这款小众系统在安全性方面更加强劲。然而就在去年,针对Mac设备开展的首次大规模攻击感染了超过60万台苹果电脑。事后经过苹果公司与杀毒软件企业的联合调查,才将这款名为Flashback恶意软件控制住,阻止了情况的进一步恶化。
总而言之,Mac设备并非绝对安全,用户同样需要定期安装补丁,同时运行杀毒软件。
9.移动及无线设备
对于大多数中小企业而言,自带设备办公趋势根本就不是啥新鲜事儿。不过正是由于这种轻信的态度,小企业没有为严格控制并管理员工自有设备制定出切实有效的政策,这一点在无线网络构建方面同样非常明显。
“几乎很少有中小企业会将移动设备当成需要严肃对待的终端来考虑安全问题,”TeamLogic IT公司的Plaza表示。现在的智能手机与PC机、笔记本电脑与服务器一样,都会使用独立的操作系统,自然需要管理者制定有针对性的终端安全管理策略,他解释称。
目前移动设备中的安全漏洞到底处于何种状态还没有定论。谷歌公司最近刚刚发布了一份调查数据,结果显示在过去一年中,通过在谷歌Play软件商店(前身为Android Market)遭遇恶意感染的用户比例已经下降了40%,这要归功于谷歌公司推出的Bouncer应用程序评估系统。
企业Wi-Fi网络作为移动设备办公不可或缺的组成部分,过去也一直受到安全风险的威胁。根据安全企业Sophos公司的调查,只有五分之一的企业能够自信地表示自己的无线网络安全机制非常完善。
许多在设计上能够有效控制并管理无线网络及移动设备的软件方案售价都相当高昂,一般的中小型企业根本无法承受;然而我们仍然能够想办法牢牢把握住无线网络与移动设备的主控权。首先,大家在实际应用中应该选择那些安全性好的无线方案(例如WPA2、801.11或者VPN)、为网络访问设置高强度密码,同时经常扫描各类接入终端、揪出恶意设备。除此之外,我们还需要制定政策,要求员工为自己的移动设备设置解锁密码,并在设备丢失时能够及时锁死或清除所保存的内容。
10.声誉损害
企业的品牌与声誉是我们最为珍视的宝贵财富,但黑客的攻击与轻率鲁莽的员工都可能会对这笔财富造成难以估量的破坏。
首先,一旦安全体系薄弱的网站受到侵袭、数据遭遇失窃,企业在客户心目中的形象自然会大打折扣。轻率鲁莽的员工随便登录社交网站并大放厥词同样可能带来潜在危害。建议大家制定一套社交网络管理条例,规定哪些员工有资格以官方代表的身份在社交媒体上发表意见并面对公众。
一旦企业的声誉遭到破坏,我们必须立即组织公共关系团队进行紧急应对、修复与客户之间的信任裂痕。万一遇上声誉、钱财双输的状况,那可真是赔了夫人又折兵。“花一整天时间为官方网站被攻击而向客户道歉当然很不好受,但如果黑客一下子划走数十万美元,那么企业将立刻面临倒闭。”Internet Identity公司CEO Lars Harvey如是说。