中小型企业在网络安全姿势方面有很难。这 网络安全差距 最难击中他们,因为大多数安全专家宁愿选择不同的工作环境。

年轻的安全性爱好者需求量很高。但是,他们通常希望为专门的安全业务和专注于手册,而不是SMBS,而不是SMBS。 渗透测试。另一个首选是企业,这种爱好者可以缩小他们的任务和/或拥有更有前途的职业道路,甚至一直到CISO。

SMB的另一个主要问题是预算。企业或专业团队通常可以提供安全专家更好的工资和额外费用。难怪年轻的爱好者是挑剔的 - 他们正在获胜的终端,他们是被争夺的人。

最终,许多SMBS最终有管理员或普通的IT团队承担安全角色。即使他们设法在船上设法获得安全专业人员,那么该专业人员也成为所有交易的杰克,经常燃烧和提前离开,寻求不同的职业道路。

与SMB的网络安全姿势相关的另一个主要问题是缺乏网络安全意识和相信神话,特别是在高级管理人员和高管的情况下。这通常会导致安全被推回并被视为一个小型问题,预算专注于开发和直接利润。即使SMB所有者和顶级管理人员意识到存在主要的安全风险,它们通常准备好接受这种风险,由于与在寻找人员的挑战相关的挑战,如上所述。

让我们试图揭发一些可能对组织的网络安全姿势产生严重影响的一些主要的网络安全神话。一旦思想赛车更清晰,SMB就可以更容易建立 安全最佳实践 有效地管理他们的网络弹力。

1.“我们不需要知道安全性,因为我们雇用了专家”

这是一个非常危险的神话,导致失去人员。网络安全不是你可以在一个人的肩膀上休息的东西。就像有物理安全一样,即使你有最好的锁和最佳警报系统,它只需要一个随机的员工忘记在离开工作时锁定,整个努力都没用。如果一个人被归咎于这种情况,你可以确定他们很快就会找到更好的工作地点。

如果您希望您的业务安全蓬勃发展,公司中的每个人都需要了解网络安全。它不仅仅是一个单一的船上培训或定期发送每个假的网络钓鱼电子邮件来检查他们的回复。这是为了确保每个人都真正关心。

对于员工真正关心网络安全,它是首先关心它的管理者。管理者应该通过举例而不是预期,并确保讯连科技被认为是重要的。并且它并不困难,这足以通过考虑的每种决定都足够,并且每一个重大讨论都涉及安全的主题,如果合适的话。

“我们安全,因为我们将我们的安全外包给专业的业务”

没有机会在管理安全性方面可以有效。专业的安全服务承包商对于一个无法承受专用网络安全资源的小型组织是一种简单的出路。承包商可以帮助您选择您的 网络安全框架 如NIST,设计您的网络安全策略,帮助您有风险管理和威胁情报,帮助您设置安全控制甚至参加 事件响应。然而,他们无法到处都是观察一切,并且他们可能会有一个响应时间,这将比自己的员工的优势不那么有利。

如果您外包安全,您仍然需要确保公司中的每个人都知道所有行动的安全影响。例如,外包安全到专业承包商不会阻止开发人员将SQL注入漏洞引入软件。如果您的承包商积极参与您的SDLC,那将是非常罕见的。

3.“我们是安全的,因为我们买了全面的安全解决方案”

没有能够保证安全性的软件。此外,没有单一的安全工具涵盖潜在网络威胁的一半。您可以获得一个办公解决方案,该解决方案将保护您免受恶意软件,包括Ransomware,防火墙保护您的外部和内部网络免受某些网络攻击,并且仍然容易受到单个SQL的完整系统妥协和丢失所有公司数据的影响注射,因为这些工具都不是在最轻微的位置中可以保护您免受此类漏洞。

不要受到空的供应商承诺的影响,并且不要害怕用于特定网络安全威胁的特定解决方案,例如专门的Web漏洞扫描仪,以保护自己与网络相关的威胁。寻找不怕告诉你事实而不是使用大型商业语言来覆盖你的眼睛的制造商。寻找专业制造商,因为他们有理由有效保护您。并且永远记住,软件只是一个工具,这是你使用真正重要的工具的方式。

许多中小企业的另一个相关错误是他们专注于办公室的安全。过去,这是一个感觉,因为大多数资产都保存在办公室,通常包括服务器。如今,SMB大多依赖于云解决方案,因此,网络安全控制应专注于云安全和网络存在,因为大多数商业资产都基于Web技术(包括 移动技术 and IOT.)。

也许回到2000年,防病毒解决方案和网络扫描仪比Web漏洞扫描仪更重要,但现在,在2020年,这不再是这种情况。虽然反恶意软件解决方案仍然是保护诸如勒索软件之类的威胁的关键,但保护网络至少与Web漏洞扫描仪一样重要,而且只有Web漏洞扫描仪就可以执行此操作。

4.“我们安全,因为我们不会将我们的应用程序或数据暴露给公众”

这是另一个非常危险的神话,导致重大问题。 SMB经理经常认为,如果公司在公共场所不起作用,则攻击是安全的。但是,这不可能远离真相。

例如,如果您设计了由有限数量的业务使用并需要进行身份验证的B2B应用程序,则它与公共网站的网络安全风险一样容易。可能不仅由客户业务的员工才能进行网络攻击。例如,如果您的登录表单具有SQL注入漏洞,则外部攻击者可能会访问旨在仅由特定客户使用的应用程序,而不是普通公众。

此外,请注意,由于内幕粗心或恶意意图,许多数据漏洞发生 - 例如,2019年最多的数据泄露是由未受保护的数据库引起的,这是员工的粗心性的结果(数据库从未意味着公共可用)。

虽然有公开的资产增加了网络安全挑战,但没有人不会自动让你安全。为了安全,您应该保护您的内部资产和身份验证的资产以及您的外部资产。

“我们是安全的,因为没有收获我们的收获”

网络犯罪并不总是有些东西要获得的东西。这就像机会的往常一样。一些网络犯罪分子专注于有价值的知识产权或敏感的数据(并且将近几乎任何东西来偷窃它),而有些人只是拍摄盲目并希望抓住某人的防守。你在警卫吗?

当您近年来检查最大的数据泄露时,其中很少有人实际上是目标攻击的结果。在某些情况下,例如Equifax,它确实是中国特种部队的有针对性的攻击。然而,2019年的大部分 - 首都一个违约,是由一名沮丧而情绪不稳定的黑客引起的,他正在寻找黑色帽子圈的普及。然而,大多数其他违规行为只是扫描公共地址并找到易受攻击资源的人的结果。

前进的方式

一旦你的组织摆脱了上述神话,你就会更容易维持网络安全,没有急躁,不满意的是“魔法安全人员,他们将解决一切”。随着安全性被认为是一家公司的问题,具有适当的重点和考虑,并具有正确的自动化解决方案,如Web漏洞评估和管理软件,与Acunetix这样的漏洞扫描仪引擎,您的未来看起来比仍然更亮的企业更明亮在过去。恭喜!

资源://www.acunetix.com/blog/web-security-zone/5-cybersecurity-posture-myths/