大約43％的網(wǎng)絡(luò)攻擊針對(duì)小型企業(yè)。

專家估計(jì)，到2021年，全球的網(wǎng)絡(luò)犯罪將耗資6萬億美元。

根據(jù)馬里蘭大學(xué)的一項(xiàng)研究，針對(duì)具有互聯(lián)網(wǎng)接入的計(jì)算機(jī)的網(wǎng)絡(luò)攻擊每39秒發(fā)生一次。

當(dāng)今高度互聯(lián)的世界中的數(shù)據(jù)泄露已經(jīng)司空見慣。頭條新聞定期告訴主要零售連鎖店，消費(fèi)者信用報(bào)告機(jī)構(gòu)甚至政府實(shí)體都成為外部攻擊者入侵的犧牲品。

作為一家小型企業(yè)，讓糟糕的演員遠(yuǎn)離您的數(shù)據(jù)以及擴(kuò)展您的客戶數(shù)據(jù)似乎是一項(xiàng)艱巨的任務(wù)。然而，通過執(zhí)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，您將邁出第一步，更好地了解網(wǎng)絡(luò)的安全漏洞以及修補(bǔ)漏洞所需的操作。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估用于識(shí)別您最重要的數(shù)據(jù)和設(shè)備，黑客如何獲取訪問權(quán)限，如果您的數(shù)據(jù)落入壞人手中可能會(huì)出現(xiàn)什么樣的風(fēng)險(xiǎn)以及您作為目標(biāo)的脆弱程度。雖然您可以進(jìn)行自己的綜合分析，但是有很多公司愿意指導(dǎo)您完成整個(gè)過程并提供收費(fèi)的監(jiān)控服務(wù)。

應(yīng)該注意的是，根據(jù)您的行業(yè)，您可能已經(jīng)接受了經(jīng)過認(rèn)證的實(shí)體的強(qiáng)制性網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。在這種情況下，您可能需要使用第三方系統(tǒng)來遵守法規(guī)。

根據(jù)Verizon 2019 數(shù)據(jù)違規(guī)調(diào)查報(bào)告，43％的入侵針對(duì)小型企業(yè)。這應(yīng)該不足為奇，因?yàn)橛薪?000萬美國(guó)小企業(yè)，其中大部分是黑客的軟目標(biāo)。由于信息系統(tǒng)審計(jì)和控制協(xié)會(huì)建議至少每?jī)赡赀M(jìn)行一次網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，以下是您今天可以使用的一些操作和提示。

1.收集信息

執(zhí)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的最重要原因是收集有關(guān)您的網(wǎng)絡(luò)的網(wǎng)絡(luò)安全框架，其安全控制及其漏洞的信息。如果您不知道自己在做什么或者在尋找什么，那么進(jìn)行評(píng)估不當(dāng)可能會(huì)讓您容易受到攻擊。

“如果企業(yè)沒有經(jīng)驗(yàn)，工具或團(tuán)隊(duì)進(jìn)行徹底和準(zhǔn)確的風(fēng)險(xiǎn)評(píng)估，并且只是試圖通過自己動(dòng)手來節(jié)省成本，那么當(dāng)黑客或數(shù)據(jù)泄露時(shí)，他們將來可能會(huì)遇到成本增加的問題。Kyle David Group營(yíng)銷經(jīng)理Keri Lindenmuth表示，否則可能會(huì)出現(xiàn)這種情況?！坝捎谪?cái)務(wù)影響，許多小型企業(yè)無法從數(shù)據(jù)泄露中恢復(fù)，并最終永遠(yuǎn)關(guān)閉?！?

為此，如果您的小型企業(yè)擁有對(duì)您的系統(tǒng)有深入了解的IT專業(yè)人員，您應(yīng)該與他們合作制定風(fēng)險(xiǎn)評(píng)估計(jì)劃。

如果您不聘請(qǐng)IT專家或與IT專家簽約，但您熟悉您的系統(tǒng)及其運(yùn)作方式，那么如果您在整個(gè)過程中保持客觀，您仍然可以進(jìn)行自己的評(píng)估。

通常，公司會(huì)忽略安全性的某些方面，因?yàn)楦倪@些內(nèi)容會(huì)導(dǎo)致太多的中斷，或者修復(fù)成本太高。如果您的結(jié)果指向網(wǎng)絡(luò)中的主要漏洞，您需要愿意做出重大更改。

2.繪制出你的系統(tǒng)

一旦您考慮了如何收集信息，就該開始實(shí)際評(píng)估了。首先，您需要確定系統(tǒng)的工作方式，服務(wù)功能以及使用系統(tǒng)的人員等等。

您的目標(biāo)是確定網(wǎng)絡(luò)中存在的任何風(fēng)險(xiǎn)和漏洞。一旦確定，您將需要評(píng)估這些問題區(qū)域的風(fēng)險(xiǎn)大小，您目前正在采取哪些措施來緩解這些問題并計(jì)算您的整體風(fēng)險(xiǎn)。

考慮連接到網(wǎng)絡(luò)的所有內(nèi)容。打印機(jī)，筆記本電腦，手機(jī)和智能設(shè)備都是惡意代碼進(jìn)入您網(wǎng)絡(luò)的入口點(diǎn)。您可以在某些自動(dòng)程序的幫助下找到漏洞，例如付費(fèi)應(yīng)用程序Nessus Professional和免費(fèi)工具OpenVAS，它們?cè)诰W(wǎng)絡(luò)的多個(gè)方面運(yùn)行漏洞掃描以檢測(cè)風(fēng)險(xiǎn)。

在辦公室，確保您的物理設(shè)備也是安全的很重要。攻擊者經(jīng)常通過支持互聯(lián)網(wǎng)的設(shè)備訪問，并通過未修補(bǔ)的漏洞訪問您的網(wǎng)絡(luò)。諸如無線打印機(jī)，Wi-Fi路由器和移動(dòng)設(shè)備之類的設(shè)備可被利用來讓黑客訪問您的網(wǎng)絡(luò)的其余部分。

避免出現(xiàn)問題的一種簡(jiǎn)單方法是確保設(shè)備的固件都是最新的。Microsoft提供了一個(gè)免費(fèi)工具，可幫助您檢測(cè)網(wǎng)絡(luò)上的Microsoft產(chǎn)品是否都是最新的。

3.抵制人為因素

人為錯(cuò)誤也可能導(dǎo)致網(wǎng)絡(luò)漏洞。數(shù)據(jù)泄露的最大原因之一是無意中造成員工隨意點(diǎn)擊可疑鏈接或從網(wǎng)絡(luò)釣魚電子郵件下載附件。在開始專門的網(wǎng)絡(luò)安全培訓(xùn)之前，對(duì)員工的響應(yīng)和在線實(shí)踐進(jìn)行漏洞測(cè)試非常有用。

您可以使用在線網(wǎng)絡(luò)釣魚模擬器運(yùn)行網(wǎng)絡(luò)釣魚漏洞測(cè)試。它允許您設(shè)置偽裝成來自工作同事的電子郵件，目的是說服員工下載附件或提交憑據(jù)。否定結(jié)果不應(yīng)導(dǎo)致任何懲罰性行動(dòng)。相反，您可以使用該信息設(shè)置有關(guān)網(wǎng)絡(luò)安全最佳實(shí)踐的其他培訓(xùn)，并為您的員工提供避免網(wǎng)絡(luò)釣魚攻擊的提示。結(jié)果還可以幫助您確定是否應(yīng)在網(wǎng)絡(luò)訪問上實(shí)施雙因素身份驗(yàn)證。

除了意外的訪問點(diǎn)之外，通過使用未加密的USB閃存驅(qū)動(dòng)器，不良的文檔保留和破壞做法，使用不安全的通道傳輸個(gè)人信息以及無意中將敏感數(shù)據(jù)發(fā)送給錯(cuò)誤的人，您的網(wǎng)絡(luò)安全可能會(huì)受到威脅。

雖然可能發(fā)生事故，但惡意攻擊是最常見的網(wǎng)絡(luò)攻擊。在這些情況下，惡意軟件（惡意軟件），內(nèi)部黑客威脅或分布式拒絕服務(wù)（DDoS）攻擊等策略可能會(huì)嚴(yán)重影響您的網(wǎng)絡(luò)。

網(wǎng)上有很多工具可以幫助您確定攻擊者是否可以通過您的網(wǎng)站輕松地強(qiáng)行進(jìn)入您的網(wǎng)絡(luò)。例如，Pentest Tools是一種付費(fèi)服務(wù)，可掃描您的網(wǎng)站，Web應(yīng)用程序和網(wǎng)絡(luò)，以確定是否存在漏洞。滲透測(cè)試軟件可幫助您了解黑客可以通過網(wǎng)絡(luò)獲取數(shù)據(jù)的位置。網(wǎng)站的常見問題是缺少SSL / TLS證書和HTTPS，這是保護(hù)域的因素。

4.考慮潛在風(fēng)險(xiǎn)，可能性和影響

在考慮網(wǎng)絡(luò)安全的技術(shù)和人力方面，考慮哪些威脅可能會(huì)影響您的網(wǎng)絡(luò)以及發(fā)生這種威脅的可能性。在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估期間，您將要列出黑客可以利用來訪問您的網(wǎng)絡(luò)和數(shù)據(jù)的每個(gè)可能的攻擊點(diǎn)，無論它們是惡意的還是良性的。

一種準(zhǔn)備方法是遵循美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院進(jìn)行風(fēng)險(xiǎn)評(píng)估指南。本文檔包含可用于評(píng)估每種潛在安全風(fēng)險(xiǎn)的樣本表。

一旦識(shí)別出潛在威脅，您就需要確定它們將如何影響實(shí)際網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)和防御。

您還需要確定這些威脅實(shí)際發(fā)生的可能性。根據(jù)Sage Data Security，您可以將其分為“可能性評(píng)級(jí)”，例如：

威脅源具有高度的積極性和足夠的能力，并且防止漏洞被執(zhí)行的控制是無效的。

威脅源具有動(dòng)力和能力，但是可能會(huì)阻礙成功運(yùn)行漏洞的控制措施。

威脅源缺乏動(dòng)力或能力，或者已采取控制措施來防止或至少顯著阻礙漏洞的執(zhí)行。

在確定潛在威脅，它們將如何影響您的網(wǎng)絡(luò)以及它們發(fā)生的可能性之后，您將需要想象如果這些攻擊對(duì)您的業(yè)務(wù)成功將會(huì)發(fā)生什么。我知道這可能是可怕的，但如果確實(shí)發(fā)生了這些事情，重要的是要知道事情會(huì)有多糟糕，并制定一個(gè)行動(dòng)方針來應(yīng)對(duì)后果。畢竟，大多數(shù)中小型企業(yè)一旦受到數(shù)據(jù)泄露的影響就會(huì)受到影響。

在一天結(jié)束時(shí)，您的小企業(yè)的網(wǎng)絡(luò)安全是至關(guān)重要的。您的數(shù)據(jù)以及客戶的數(shù)據(jù)非常有價(jià)值且非常重要 - 當(dāng)然，這也是黑客想要獲取數(shù)據(jù)的原因。

如果您決定進(jìn)行自己的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估，您可能會(huì)在熟悉網(wǎng)絡(luò)及其工作原理的同時(shí)發(fā)現(xiàn)明顯的安全問題。雖然這總是一件好事，但專業(yè)的網(wǎng)絡(luò)安全顧問或公司可以進(jìn)行更加量化的風(fēng)險(xiǎn)評(píng)估，可以幫助您避免由一些最新和最微妙的漏洞造成的大規(guī)模數(shù)據(jù)泄露。

上一篇：什么是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

下一篇：網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估知識(shí)