您的小型企业现在应该采取的10个网络安全步骤

全国小型企业周正在进行中，庆祝活动很快就解决了中小型企业（SMB）面临的最引人注目的且一直存在的问题之一：网络安全。 小型企业管理局（SBA）是美国政府机构，致力于提供具体帮助，培训和建议，使小型企业可以在日常运营中立即付诸实践。 为此，今天的SBA网络安全专家组不仅提供了天空中的安全趋势，还为中小企业提供了具体的技巧，资源和他们可以采取的缓解安全漏洞并采取全面安全策略的步骤。

SBA副局长Doug Kramer主持了安全专家小组的讨论，他们讨论了小型企业面临的最大安全风险，以及他们可以采取的最重要步骤来保护基于云或物理的基础架构和数据。 小组成员包括ADP全球信托保证副总裁Bill O'Connell； ESET北美高级安全研究员Stephen Cobb； 微软网络安全和Azure基础架构服务东部地区总监Matt Littleton； 和美国国家标准与技术研究院（NIST）计算机安全部门的主管计算机科学家Patricia（Pat）Toth。

小组成员讨论了网络安全问题，涉及网络钓鱼，勒索软件，如何处理违规行为，小型企业应如何进行多因素身份验证（MFA），员工安全培训和政策，在托管服务提供商（MSP）合同中应寻找的内容，以及何时致电IT安全顾问。

克莱默（Kramer）认为，这不仅关乎员工和客户的信用卡以及银行信息，而且知识产权数据业务无处不在，从电子邮件到云存储，攻击面可能使小型企业成为薄弱的环节，并且很容易成为目标。供应链。 据SBA称，克莱默表示，几乎所有小型企业中的一半都受到了网络犯罪的一定程度的损害，平均攻击​​成本约为21, 000美元。

SBA的克莱默（Kramer）表示：“创办一家小型企业的任何人都在尽力而为，没有多余的时间或金钱来应对网络安全挑战，这可能比预期的花费还多，并且意味着小型企业的生死攸关。”开始。 “网络入侵和盗窃的威胁是非常现实的。小型企业以不同的方式衡量资产和库存，但它们却坐拥信息宝库。”

1.云安全：要做与不做

出于成本效益和便利性的原因，所有中小型企业都需要考虑向云进行过渡，但是过渡需要谨慎进行。 小组成员讨论了一些最重要的考虑因素和障碍。

• 要做：增量云备份

  ESET的Cobb说：“云具有很多好处和风险，但是中小企业应该做的一件事就是备份。” “当前备份所有文件是抵御勒索软件的最佳保护，也是网络安全态势和防御的关键部分。您仍应备份到硬盘并将副本存储在单独位置的安全位置，但是云使您可以备份不断。”

• 要做：支付高级云安全性

  ADP的O'Connell说：“小型企业主对价格敏感，但是其他因素也需要获得适当的权重。” “为了提高服务水平，某些事情应该花费更多的钱，而安全性就是其中之一。不要仅仅根据价格做出决定。”

• 不要：只需签署MSP合同

  ESET的Cobb说：“检查合同。” “您可以外包存储或备份，但不能外包责任。如果SMB所有者说IT提供商拥有所有客户和员工数据（您的数据），您仍然有责任。”

  ADP的O'Connell补充说：“不仅涉及合同，还涉及数据，请进行研究以查看是否存在任何安全问题。” “对于中小型企业来说，合同是该防线的重要组成部分。请查看SLA和访问层数据策略。MSP保留数据多长时间？它们将如何处理？”

• 请勿：保留未使用的MSP基础结构功能

  微软的发言人说：“如果您进入云环境，您可以转移一些责任。我们不再处于平台舞台，您不必担心平台上的人员无法响应问题或打补丁服务器。”利特尔顿。 “这就是服务提供商可以代表您进行处理的地方。您需要从合同的角度了解您要了解的内容以及云提供商提供的服务。”

2.多因素身份验证：随便做吧

微软的利特尔顿说：“从个人和企业的角度来看，MFA都是您可以立即做的。企业没有借口不立即这样做。” “整个Microsoft产品堆栈都很简单；对于Google，Yahoo，您也可以指定电子邮件提供商。查看您的安全设置，并要求每个员工输入手机号码作为第二个因素。然后，即使我攻击者，我会窃取您的密码，除非我窃取您的手机并知道PIN，否则我将无法使用它。”

3.何时致电IT安全顾问

ADP的O'Connell说：“作为小企业主，有些事情您将无法独自完成。” “对于非常重要的合同，您会获得外部法律咨询。对于年度和季度财务，您将拥有一名会计师。安全专业知识也是如此。当您需要测试网站以确保网站安全或进行风险评估时，如果您不具备自己的专业知识，那么花钱就值得了。您自己不用在建筑物中进行电力或管道工程；这是要知道何时需要帮助。”

4.安全是每个人的工作

NIST的Toth说：“您不能仅仅依靠一个由10人组成的公司中的一个人；每个人都需要对网络安全以及对组织的风险有很好的了解。” “如果他们不这样做，那么一旦发生违规并且业务无法恢复，他们的工作可能会受到威胁。”

ADP的O'Connell补充说：“让安全成为每个人工作的一部分。” “经营财务的人-他们每天需要做什么？从物理方面来说，谁是晚上锁门的人？每个人都需要知道组件以及它们的角色如何适合企业的整体安全。”

5.不要成为薄弱的供应链环节

正如SBA的Kramer解释的那样，SMB与企业之间不再存在分歧。 小型企业要么想要发展壮大，要么正在插入软件和服务的企业供应链。 问题在于，SMB的安全策略可能无法与他们希望与其合作的供应链公司相提并论。

ESET的Cobb说：“当SMB与一家大公司签订第一份大合同时，他们要求查看您的安全策略和意识计划，您不应费力地检查清单中的所有内容。” “上下波动的供应链风险是一个很大的问题。如果中小型企业正在与供应商进行数字化互动，请检查他们。您需要适当的安全策略和培训，这样才不会成为障碍。”

微软的利特尔顿说：“没有任何业务规模太小，无法成为网络领域的目标业务，尤其是供应链管理方面的业务。” “许多违规行为并非始于高层；它们始于供应链中的某处，攻击者会努力达到最终目标。”

NIST的Toth表示，在未来两年中，您将看到政府机构开始发布访问供应链系统的规则。 同时，她说，中小企业需要制定计划。

NIST的Toth说：“进行计划非常重要，因为它知道真正重要的事情；您需要保护的一件事，以及在无法访问的情况下您的业务将如何运作。” “中小型企业需要制定计划，政策和程序。这不是政府的大方法；它可以像您员工手册中的政策那样简单，说出他们在互联网上可以做什么，不能做什么，如何发现网络钓鱼攻击。 ，以及何时打开和不打开链接和附件。”

6.将电子邮件视为明信片，而不是信封

ESET的Cobb说：“使用电子邮件作为小型企业，要做的第一件事就是考虑其中的内容。如果我要入侵某人的公司信息，那么他们的电子邮件通常就拥有一切。” “人们常常没有想到他们要留在那儿的东西。看看索尼的骇客；人们通过电子邮件本来应该说的本来不应该的话。电子邮件是明信片，而不是密封的信封。请记住这一点。 ”

微软的利特尔顿说：“控制数据的能力也越来越重要。” “使用具有入站筛选功能的加密电子邮件服务可以减少攻击面，这可能是值得的。如果您将信用卡号留在电子邮件中，该服务会询问您是否真的要发送该电子邮件，然后自动加密而不只是数量，而是整个电子邮件。随着行业的发展，这些服务正变得越来越合理和普遍。”

7.始终报告事件

SBA的Kramer解释说，当小型企业因网络钓鱼诈骗或勒索软件要求而遭到破坏或遭受打击时，他们需要知道与谁联系。 ESET的Cobb说，如果小企业由于担心执法机构没有调查资源而没有向警察报告这一情况，那么这种循环将持续下去。

ESET的Cobb说：“我们有一个不幸的循环，执法部门根据举报的犯罪获得资金，但人们没有举报犯罪，因为他们认为警察没有资源。” 如果没有人举报，警察将永远没有证据为自己配备解决这些网络犯罪问题的资源。”

NIST的Toth补充说：“大多数市镇都有网络犯罪部门，并且会做出回应。”

8.制定事故响应计划

微软的利特尔顿说：“您不要在发生事故时系好安全带。” “您需要制定计划，说明 在 发生违规 之前 如何应对。”

ESET的Cobb说：“您也不完全是一个人。” “现成的安全服务可以在云中或访问供应链时提供增强的保护。它们可能在基础级别提供检测和预防服务。在制定计划时，请确保您没有留下安全服务在您的MSP或安全服务提供的桌子上。”

9.不要松懈

ESET的Cobb说：“如果员工离开或被解雇，我们将看到一个问题区域，即他们的系统访问权限不会立即终止。” “小型企业与他们信任的人一起工作，并且有很多人来去去。有时他们不会在最快乐的情况下去。如果前任员工怀有怨恨仍然可以访问，甚至仍启用了多因素身份验证，那就是一个巨大的内部安全问题，很容易解决。”

10.政府资源和培训

政府正在采取重大步骤来解决网络安全问题。 白宫于今年早些时候发布了网络安全框架，奥巴马总统的2017年预算提案寻求将应对网络安全攻击的资金增加35％（至190亿美元）。 SBA的Kramer和NIST的Toth指出了免费的政府资源，例如SBA针对中小企业的整个网络安全资源页面，包括网络安全技巧和工具，课程，培训和网络研讨会的集合。

一些最有用的资源是：

• SBA的十大网络安全提示
• SBA在线课程：小型企业的网络安全
• 网络弹性评估（CRR）评估工具
• 小型企业网络规划师
• SBA，NIST和FBI的联合小型企业研讨会
• SBA的YouTube频道
• NIST的计算机安全资源中心
• COMPTIA的认证和教育计划，用于学习MSP安全协议