中小企业量大面广,是我国经济发展中的毛细血管和神经末梢,同时也是数字化浪潮中,对市场变化反应最为敏感的群体。然而,中小企业在数字化转型过程中面临着“不会转”、“没钱转”和“不敢转”等难题,其中就包括各种各样的网络攻击问题。近日,思科发布了对亚太区 14 个市场 3700多家中小企业的网络安全业务调查报告,反映出中小企业所面对的网络安全困境。
本期产业安全TALK,聚焦中小企业面临的主要网络威胁,从攻防的角度分析日益猖獗的网络攻击,同时和大家一同探讨中小企业如何从战略战术上有效应对网络攻击。
中小企业是国民经济和社会发展的生力军。据Sixlens数据显示,截至2020年底,我国存续在营的中小企业数量突破4200万家,占全国企业总量的98.5%。数字化浪潮奔腾而来,中小企业也应顺势而为,加速数字化转型成为其生存必选项。然而,由于中小企业在网络安全建设上技术、人才、资金、经验的缺乏,导致其数字化转型航程并非一帆风顺。
思科基于亚太14个国家和地区的调查报告显示,在过去12个月中,56%的亚太区中小企业和42%的中国中小企业用户遭到过网络攻击,按照网络安全威胁的严重程度排列,依次为恶意软件(75%)、网络钓鱼(60%)和服务阻断(54%)。
(中小企业网络威胁严重度排列)
有别于大中型企业所遭受的攻击类型,中小企业面临的网络威胁主要体现在以下方面:
恶意软件
恶意软件伴随着计算机的出现而出现,包含病毒、蠕虫、特洛伊木马和其他有害计算机程序。在所有恶意软件中,勒索软件是增长最快的网络攻击之一,而中小企业则是勒索软件频发的重灾区。FinCEN发布的报告显示, 2021 年前六个月与勒索软件相关的可疑活动报告 (SAR) 中索要的赎金总额达到了 5.9 亿美元,超过了其他类安全事件的总和。
网络钓鱼
互联网高速发展的今天,企业及其系统与外部网络的联系逐渐增多,这不仅扩大了系统被攻击的可能,也给企业带来更多的网络安全威胁。根据自动化平台Ivanti对全球1000多名企业IT专业人员的一项新研究,80%的受访者表示网络钓鱼攻击数量正在增加,85%的受访者表示这些攻击类型变得越来越复杂。
服务阻断
传统的安全防护能力正在不断减弱,高级威胁攻击就像一把高悬在头顶的“达摩克利斯之剑”,让很多企业在数字化转型中感到不安。另外,大规模DDoS攻击也被不少公司用来攻击竞争对手,以及被黑客组织用来勒索敲诈。
(弈剑行服务暂停公告)
以游戏行业为例,黑客组织ACCN专门瞄准TapTap上的热门小工作室,以及小厂家的游戏下手,国产独立手游《弈剑行》在开服第一天便被该组织攻击,被迫将一款主打联机对战的游戏改为单机版,三年的心血由此付之一炬。
数据泄露
全球平均每分钟就有2家公司因为信息安全问题而倒闭,而被攻击的亚太区中小企业75%的客户信息落入到黑客手中。
Arctic Wolf的一项调查显示,有四分之三的中小企业无法真正抵御网络攻击,甚至因遭遇勒索攻击,支付不起赎金而关门歇业的案例也不在少数。位于美国阿肯色州的电话销售公司The Heritage Company,在被勒索软件攻击后,由于IT恢复工作未能按计划进行,300多名员工不得不在圣诞节前重新找工作。
网络攻击正给中小企业造成无法挽回的损失。调查显示,假如宕机1小时,将给16%的中国中小企业的营收造成重大影响;假如宕机时间长达一天,那么10%的中国中小企业的业务将无法开展;而最为显性的后果则是,3%的中国中小企业在过去的12个月中因遭受网络攻击造成的损失高达100万美元。
中小企业之所以不断被黑客攻陷并蒙受重大损失,从攻防的角度来看,主要有两方面的原因:一是网络攻击手段不断进化导致传统防护手段不再适用;二是中小企业由于自身网络安全防护工作不够深入到位,导致无法应对愈演愈烈的网络攻击。
从攻方的角度来看,网络攻击和信息科技的发展处于同一个“生态圈”中。网络攻击技术走到今天,呈现出两个主要特征:一是网络攻击技术已经由简单走向复杂,二是网络攻击逐步从个人走向组织。
(外媒报道乌克兰电网系统事件)
2016年的乌克兰电网系统事件已经表明,攻击者面对防御体系时采用了更为先进的APT技术与工具来实现入侵网络与系统的目的。在网络攻击中使用人工智能技术进行运用分析,并向武器化、自动化蔓延已成为趋势。网络攻击走向组织化使得攻击更具隐蔽性,也令攻击监测和追踪溯源变得更加困难。
从防守方的角度来看,中小企业网络安全问题无法独立解决,是该群体普遍存在的问题。大多数中小企业的负责人对网络安全重视程度不够,即使有安全意识但囿于预算、人力有限,缺乏防范和处理能力,致使中小企业更容易遭受网络攻击。
加之异地办公、远程办公、企业办公地点分散等问题,常常导致IT人员疲于奔命,愈发加重了中小企业应对网络攻击的负担。安全意识薄弱加上技术能力不足、修复能力不佳、网络安全预算不够,一旦企业的网络安全防线被攻破,对大型企业而言是灾难现场,对中小企业而言则是最后的丧钟。
中小企业的安全症结在于网络安全建设滞后导致的一系列连锁反应,网络攻击者往往能以更快的速度将新技术应用到他们的武器库中,并迅速发起攻击,这使得双方攻防的天平朝着攻击方倾斜。面对网络攻击侵害频率高、损失重的难题,中小企业亟需从意识、策略和技术手段上寻求合适的解决之道。
思科大中华区副总裁卜宪录表示:“由于中小企业 SaaS 应用程序使用量的快速增长以及远程工作使用案例的增加,网络边界正在向云转移,这些都在迫使着人们重新思考安全架构。新的安全架构要覆盖网络、用户和端点、云边缘和应用程序的所有关键控制点。要为跨用户、设备、网络、应用程序和数据提供‘零信任’和‘端到端’的安全解决方案。”
网络安全问题无时无刻都在发生,网络安全问题的解决也不是一蹴而就的。具体而言,中小企业可从三方面着手,提升应对网络安全风险的能力:
首先,需自上到下培养网络安全意识,公司管理层需提高对网络安全建设的重视度,进而进一步加强专业安全人员和业务人员在网络安全方面的培训,即从企业的顶层设计开始就融入安全的思维,为企业的整个业务流程打造好一道以“人”为核心的安全防线。当每个员工成为企业安全的一部分时,企业便拥有了一种安全文化,这在应对来势汹汹的网络安全挑战时是至关重要的。
其次,要在梳理好业务的基础上重点守护核心数据资产。数字化时代数据安全重于泰山,数据的价值正在不断被挖掘并展现出来。后疫情时代,企业远程办公成为常态,远程办公安全随即也成为标配。用户的权限管理认证、数据的分级分类、全生命周期的流转控制等都需要高级别的安全保护,基于零信任理念的安全架构则正好契合了这样的需求。腾讯安全吕一平认为,云原生安全十分有利于中小企业提高数字化生存能力,企业应构建“零信任”机制应对新的安全形势。
(腾讯 iOA 零信任安全解决方案拓扑图)
最后,中小企业应遵循简单至上的原则,选择可信的云服务商。面对无所不在的网络安全威胁,中小企业仅凭自身技术、人才和资金实力,很难有效应对不断进化的网络安全问题。通过借助外力,整合经过实践检验的、有说服力的网络安全方案,与拥有强大技术能力的安全厂商深化合作,做到内外协同,充分发挥“技术、产品、人”的合力,持续不断地优化和提升安全保护水平。
“长风破浪会有时,直挂云帆济沧海”。数字化转型航程中的大风大浪对中小企业而言是一次艰难的考验,行路虽难,中小企业还应持之以恒,不断优化和完善自身网络安全建设,采他山之石以攻玉,纳百家之长以厚己。