Câu hỏi thường gặp: Làm cách nào để bảo vệ doanh nghiệp nhỏ của tôi khỏi các cuộc tấn công trên mạng?

Sự thật: các doanh nghiệp nhỏ đánh giá thấp tính dễ bị tổn thương của họ

Tuần trước đã mang về các cuộc tấn công mạng nhắm vào một số ngân hàng Mỹ. Mặc dù tin tặc thường nhắm vào các công ty lớn, các doanh nghiệp nhỏ đang ngày càng trở nên dễ bị tổn thương.

Các doanh nghiệp nhỏ có xu hướng đánh giá thấp tính dễ bị tổn thương của họ đối với các cuộc tấn công trên mạng vì họ đánh giá thấp giá trị của họ đối với các kẻ tấn công mạng. Họ tin rằng họ không có giá trị nỗ lực để hack, nhưng chủ doanh nghiệp nhỏ thường không nhận ra ít nỗ lực hack một công ty với bảo mật tối thiểu là một cyberthief kinh nghiệm.

Symantec Threat Awareness Poll cho thấy các doanh nghiệp nhỏ có xu hướng làm quá ít để tự bảo vệ mình khỏi các cuộc tấn công:

• 50% chủ doanh nghiệp nhỏ nghĩ rằng họ quá nhỏ để trở thành mục tiêu cho các cuộc tấn công trên mạng
• 61% doanh nghiệp nhỏ không cài đặt phần mềm chống vi-rút trên tất cả máy tính để bàn
• 47% không sử dụng bảo mật trên máy chủ thư
• 67% không sử dụng bất kỳ bảo mật dựa trên web nào

Verizon Business đã tiến hành nghiên cứu sâu rộng về vi phạm an ninh mạng vào năm 2011, với một số kết quả đáng ngạc nhiên về xu hướng tin tặc nhắm mục tiêu đến các doanh nghiệp nhỏ:

• 72% tin tặc được báo cáo vi phạm doanh nghiệp được nhắm mục tiêu với 100 nhân viên trở xuống
• 79% nạn nhân tấn công mạng năm 2011 là mục tiêu của cơ hội

Mặc dù các doanh nghiệp nhỏ có thể nghĩ rằng mình đủ nhỏ để rơi vào rada của cyberthieves, các biện pháp an ninh thường lỏng lẻo được thực hiện bởi các doanh nghiệp nhỏ làm cho họ một mục tiêu dễ dàng cho tin tặc. Hầu hết nạn nhân không phải là doanh nghiệp có tài sản đáng kể hoặc bí mật thương mại, được xác định bởi kẻ trộm trước một cuộc tấn công được lên kế hoạch nặng nề; thay vào đó, hầu hết các nạn nhân chỉ đơn giản là có an ninh mạng yếu mà kẻ trộm khai thác.

Hacking thông qua nhân viên

81% vi phạm trong năm 2011 đã sử dụng một số hình thức hack và 69% sử dụng phần mềm độc hại.

Một cách phổ biến để bọn tội phạm mạng đột nhập vào cơ sở hạ tầng của công ty là thông qua việc xâm nhập nhân viên thay vì quản lý. Cyberthieves có thể gửi email lừa đảo cho nhân viên cá nhân và khi các email này được mở trên máy chủ của công ty, phần mềm độc hại có thể lấy cắp thông tin của công ty.

Các doanh nghiệp nên thiết lập chính sách rõ ràng về thông tin công ty có thể được tiết lộ thông qua mạng xã hội, nhân viên trang web không được truy cập tại nơi làm việc, cách xác định email lừa đảo và cách bảo vệ tính bảo mật của thiết bị di động, đặc biệt nếu họ có thể đăng nhập vào công ty máy chủ thông qua thiết bị cá nhân của họ.

Mẹo trang web của chúng tôi: bạn nên bảo vệ doanh nghiệp của mình như thế nào?

FCC có một công cụ lập kế hoạch bảo mật an ninh mạng cho phép các chủ doanh nghiệp nhỏ tạo ra một kế hoạch an ninh mạng tùy chỉnh có chứa lời khuyên từ các chuyên gia về mười hai chủ đề, bao gồm an ninh mạng, thiết bị di động, an ninh cơ sở và phát triển chính sách.

Investmentmatome khuyên các doanh nghiệp nên thực hiện bốn bước đầu tiên để tự bảo vệ mình:

1. Đánh giá tình trạng bảo mật của bạn. Đâu là tất cả các vi phạm dữ liệu có thể có của bạn và khoảng trống bảo mật?
2. Triển khai tường lửa và phần mềm chống vi-rút
3. Tổ chức một buổi đào tạo cho nhân viên và chuyển tiếp cho họ các chính sách của công ty về an ninh mạng
4. Tạo mật khẩu quản trị khó đoán, các mật khẩu lý tưởng bao gồm kết hợp số và chữ cái

Bằng cách thực hiện một kế hoạch an ninh mạng toàn diện và giáo dục nhân viên về kế hoạch này, các doanh nghiệp có thể bảo vệ tài sản của họ.

Ý kiến ​​chuyên gia khác

• Robert Siciliano, Chuyên gia bảo mật trực tuyến của McAfee, cung cấp năm mẹo để đảm bảo an ninh mạng của công ty bạn

“1. Không phải tất cả dữ liệu đều bị tấn công. Tập thể dục cơ bản cho tiền đề / vật lý tiên tiến bảo mật như kiểm soát truy cập, camera an ninh và báo thức.

2. Hạn chế lượng dữ liệu yêu cầu từ khách hàng. Nếu bạn không thực sự cần số An Sinh Xã Hội rồi không lưu trữ. Nếu thẻ tín dụng thông tin không cần phải được lưu trữ, sau đó không lưu trữ thông tin đó.

3. Nhận ra rằng các câu hỏi xác thực dựa trên tri thức là mật khẩu reset có thể mang xuống nhà. Nhiều câu trả lời có thể được tìm thấy trong xã hội các trang web truyền thông.

4. Máy tính xách tay là một trong những điểm vi phạm dữ liệu lớn nhất. Máy tính xách tay dữ liệu nên được được mã hóa. Máy tính xách tay không bao giờ được để trong xe hơi qua đêm hoặc để trong một phòng khách sạn hoặc văn phòng một mình hoặc trên một bàn cà phê trong một quán cà phê không cần giám sát. Phần mềm theo dõi máy tính xách tay nằm và xóa dữ liệu là điều cần thiết.

5. Đào tạo, đào tạo, đào tạo, đào tạo. Đào tạo về bảo mật dữ liệu và phải làm gì, và những gì không làm là ưu tiên số một. Nhấp vào liên kết trong email, tải xuống mọi thứ từ web hoặc email, mở tệp đính kèm trong email, tất cả đều là những cách thành công gần đây để lây nhiễm mạng. ”

• Nathan Corbier, người sáng lập Corbier và Associates, nói về thiết bị của nhân viên

“Chúng tôi không cho phép bất cứ ai cắm các thiết bị trái phép vào các máy trạm của chúng tôi hoặc máy tính xách tay của công ty. Bao gồm máy nghe nhạc MP3, điện thoại di động, phím USB, không có gì. Nếu ai đó làm như vậy, nó ngay lập tức khóa máy tính với một màu xanh màn hình của cái chết và gửi một báo động SMTP. Các thiết bị USB được ủy quyền duy nhất mà chúng tôi cho phép là Yubikeys và Iron Keys.

Chúng tôi yêu cầu tất cả điện thoại thông minh Android phải được đồng bộ hóa với Google Apps của chúng tôi Tài khoản, đã bật xác thực mật khẩu và được mã hóa ”.

• Michelle Schenker, chủ sở hữu của Cover Story Media, nói về tầm quan trọng của việc thay đổi mật khẩu thường xuyên

“Thay đổi mật khẩu thường xuyên và luôn sử dụng mật khẩu phức tạp và độc đáo cho bất kỳ điều gì bạn đang làm trực tuyến. Mật khẩu trở nên khó giải mã hơn khi chúng chứa nhiều ký tự, nói chung tốt nhất là kết hợp các số, chữ cái, chữ hoa và ký hiệu trong mật khẩu của bạn. Mật khẩu sẽ khó đoán và điều quan trọng là chúng được thay đổi thường xuyên. Bạn nên thay đổi mật khẩu trực tuyến của mình mỗi tháng một lần để giữ cho chúng năng động và giảm khả năng ai đó sẽ có quyền truy cập vào thông tin cá nhân của bạn. “

• Kyle Marks, người sáng lập Retire-IT, cho biết để vứt bỏ công nghệ cũ một cách an toàn

“Khi một tổ chức nghỉ hưu công nghệ không mong muốn, nó phải đối mặt với những rủi ro liên quan đến bảo mật dữ liệu và tuân thủ môi trường. Các mối đe dọa từ những người trong cuộc đáng tin cậy và các nhà cung cấp cẩu thả gia tăng thách thức. Các công ty nên nhận thức được các mối đe dọa bảo mật dữ liệu đi kèm với việc cập nhật CNTT. ”

• John S. Pitts, người sáng lập Tekcetera, Inc., khuyến khích việc sử dụng tường lửa và VPN

“Với số lượng ngày càng tăng của tin tặc máy tính và nạn nhân trộm cắp danh tính, điều bắt buộc là bạn cung cấp cho công ty của bạn với sự bảo vệ đáng tin cậy bằng cách sử dụng tường lửa. Đây có thể là dựa trên phần mềm hoặc dựa trên phần cứng và được sử dụng để giúp giữ an toàn cho mạng. Cuối cùng, tường lửa phân tích các gói dữ liệu và xác định thông tin nào được cho phép thông qua, dựa trên một bộ quy tắc định trước.

Mạng riêng ảo (VPN) cung cấp bảo mật thông qua giao thức đường hầm và các quy trình bảo mật như mã hóa. Ví dụ, một VPN có thể được sử dụng để kết nối an toàn các văn phòng chi nhánh của một tổ chức với mạng lưới văn phòng chính thông qua Internet công cộng. ”

• Alfea Principe, Giám đốc tiếp thị toàn cầu cho Dịch vụ tái chế điện tử, nhắc nhở các chủ doanh nghiệp nhỏ phải tái chế máy tính một cách an toàn

“Một vấn đề phổ biến mà các vấn đề tài chính và chính phủ không biết là nguy hiểm liên quan đến việc không tái chế máy tính, điện thoại di động, máy in, fax máy móc, v.v. Nếu các thiết bị điện tử này không được tháo dỡ một cách chính xác và đặt vào tay kẻ xấu, dữ liệu rất nhạy cảm và bí mật này (tín dụng thẻ, thông tin ngân hàng, số an sinh xã hội, v.v.) có thể được trích xuất. ”

• Michael Becce, MRB Public Relations, cảnh báo về keyloggers

“Mối đe dọa thực sự đối với các doanh nghiệp nhỏ là keyloggers. Keyloggers là một dạng phần mềm độc hại theo dõi mọi phím tắt bạn tạo trên bàn phím và làm cho nó có sẵn cho tin tặc. Hầu hết mọi người cho rằng sản phẩm chống virus sẽ ngăn chặn keyloggers nhận được trên hệ thống của họ, sau khi tất cả, nó nói như vậy cái hộp. Thực tế là các sản phẩm chống virus tốt nhất có thể phát hiện ít hơn 25% keyloggers đã biết. Nhiều hệ thống đã bị nhiễm. Keylogger theo dõi mọi thứ từ đăng nhập Windows của bạn, biểu mẫu ngân hàng, tài chính thông tin, email, phương tiện truyền thông xã hội, thậm chí nhắn tin tức thời. Mỗi nhỏ doanh nghiệp nên cho rằng ít nhất một người trong tổ chức đã nhấn hoặc sẽ. Nhiều doanh nghiệp nhỏ đã hoàn toàn tắt rồi. Để ngăn chặn nó ăn cắp tổ hợp phím của bạn (và dữ liệu của bạn, bí mật, tiền bạc, v.v.), sử dụng công cụ mã hóa bàn phím để mã hóa từng tổ hợp phím khi bạn tạo nó để các keylogger đọc dữ liệu giả mạo. ”

• Sid Haas, Phó Chủ tịch Phát triển Kinh doanh tại LKCS, nói chuyện với việc thuê một công ty bảo mật mạng của bên thứ ba và tổ chức các khóa đào tạo

“Chúng tôi thuê một công ty bảo mật mạng độc lập bên thứ ba để thực hiện các đánh giá tổn thương bên ngoài trên các máy chủ và trang web của chúng tôi sau mỗi 6 tháng. Những đánh giá này xác định các lỗ hổng bảo mật cụ thể dựa trên mức độ rủi ro. Chúng tôi sử dụng thông tin trong các báo cáo đánh giá này để giảm thiểu nhiều lỗ hổng nhất có thể - bắt đầu với bất kỳ rủi ro nào được xác định là rủi ro cao mà còn giải quyết các mục được xác định là rủi ro trung bình và thấp.

Chúng tôi nhận thấy rằng an ninh mạng là nhiều về giáo dục và đào tạo hơn tất cả các bước khác này. Chúng tôi tổ chức các buổi huấn luyện an ninh hàng năm với tất cả nhân viên và liên tục nhắc nhở tất cả nhân viên của chúng tôi về các vấn đề an ninh, lừa đảo và các mối đe dọa trong suốt cả năm qua e-mail và áp phích nhỏ được hiển thị trên toàn cơ sở của chúng tôi. ”

• Doug Landoll, Giám đốc chiến lược tại Lantego LLC, khuyến khích các doanh nghiệp xem xét bảo mật thường xuyên

“Chúng tôi xem xét các biện pháp kiểm soát hành chính, thể chất và kỹ thuật hiện tại, hỗ trợ việc điền các bản khảo sát bảo mật và giúp doanh nghiệp nhỏ trở lại tuân thủ. Điều này liên quan đến việc kiểm tra vật lý bảo vệ hệ thống và lưu trữ dữ liệu nhạy cảm, phát triển các chính sách bảo mật và khóa hệ thống của chúng tôi.

Các doanh nghiệp nhỏ thường bị tin tặc nhắm mục tiêu bởi vì họ dự đoán điều khiển yếu. Cơ hội thông tin nhạy cảm của bạn bị xâm nhập có thể rất có thể xảy ra. Đối với nỗ lực tối thiểu, các điều khiển cơ bản có thể được áp dụng để không chỉ đưa bạn vào sự tuân thủ mà còn để bảo vệ thông tin nhạy cảm của khách hàng và tăng sự hài lòng của họ với dịch vụ của bạn. ”

• Mark J. Sexton, chủ sở hữu của Nevada Medical Security Technologies, nói về tầm quan trọng của nhân viên đào tạo

“Khi nói về an ninh mạng cho các doanh nghiệp nhỏ, mục tiêu chính là tạo ra nhận thức về bảo mật với chủ doanh nghiệp và nhân viên. Bạn không thể bảo vệ những gì bạn không biết, vì vậy việc được thông báo về bản chất của tội phạm mạng, các phương pháp mà kẻ xấu sử dụng để lấy thông tin được bảo vệ hoặc tiền / tài sản là chìa khóa. Một khi mọi người có một sự hiểu biết cơ bản về cách kẻ trộm sử dụng công nghệ để ăn cắp, sau đó họ có thể xem xét các hệ thống và quy trình riêng của họ và xem có lỗ hổng hoặc miếng bị thiếu hay không.

Những điều cơ bản như sử dụng mật khẩu phức tạp và thay đổi chúng thường xuyên, cập nhật hệ thống và phần mềm chống vi-rút.Sử dụng ứng dụng quét phần mềm độc hại / phần mềm gián điệp trên hệ thống của họ thường xuyên. Giáo dục nhân viên về việc sử dụng công nghệ phù hợp và các cuộc tấn công kỹ thuật lừa đảo và xã hội hoạt động như thế nào, có chính sách về việc sử dụng máy tính doanh nghiệp và không cho phép người dùng quản trị viên đầy đủ hệ thống của họ tạo thành quả treo thấp ở đây. Quyền quản trị là một quyền lớn, nếu người dùng có thể cài đặt phần mềm, họ có thể trở thành một mối đe dọa cho một cuộc tấn công hoặc cho phép phần mềm logger chính và các phần mềm độc hại khác trên hệ thống của họ và có khả năng trên tất cả các hệ thống trong doanh nghiệp.

Cuối cùng, tất cả đều là về kiến ​​thức và được thông báo. Nó gần như không thể bù đắp các thực hành tính toán kém của nhân viên và kết quả là việc đào tạo trở nên quan trọng. ”