中小企业网络安全迎头赶上企业，但人为因素仍然是一个主要问题

针对中小型企业（SMB）的网络攻击仍在持续，绝大多数数据泄露来自组织外部。

一些人认为，黑客攻击这些小公司是因为他们认为中小企业缺乏足够的资源和企业级安全工具，这使得它们比大企业更容易成为猎物。

然而，思科的一份新报告挑战了这一假设。中小企业在增强其安全协议方面取得了重大进展，并正在缩小与规模更大的同行之间的差距。该报告指出，87%的中小企业主将安全视为头等大事，超过99%的中小企业拥有专注于安全的专用资源。

中小企业也越来越勤勉地定义评估其安全有效性的指标，并以类似于大型企业的速度实施安全控制和工具。

毫无疑问，专门为中小企业开发的安全解决方案的出现支持了这一趋势。安全技术提供商现在提供了涵盖多种攻击载体的价格合理的工具，使中小企业更容易、更具成本效益地提高防御能力。

例如，Reason Cybersecurity包括实时保护功能以及反病毒、反勒索软件和反恶意软件功能。它还可以防止未经授权的应用程序访问网络摄像头和麦克风等通信外围设备，黑客经常使用这些设备监视团队成员并远程窃取敏感信息。


中小企业对安全的日益关注和网络安全解决方案的更好实施无疑是积极的发展。现在，任何规模的组织都可以使用企业式的保护，任何规模的组织都可以极大地减少威胁。

然而，即使通过改进技术来减少威胁，人为因素仍然是一个重大问题；员工的一个失误就可能导致违规，导致重大安全事件。为了实现真正有效的安全态势，中小型企业必须建立系统，以最大限度地减少可能将无意错误转化为安全灾难的人为错误。

人的错误心理学

现实是这样的：人类会犯错。Tessian的一项研究发现，88%的数据泄露可能与人为错误有关。这并不一定意味着人是组织安全中的“薄弱环节”，但重要的是要理解他们如何以及为什么会犯这些人为错误。正如Tessian指出的，员工对刺激和判断有心理反应，这使他们很可能犯错误，并容易受到操纵。

黑客利用网络钓鱼等社会工程攻击来利用这些人类倾向，巧妙地操纵用户放弃敏感信息，或在其工作设备上下载并运行恶意软件。

黑客小心翼翼地伪装这些网络钓鱼电子邮件，以规避垃圾邮件过滤器等安全措施，对敏感数据或访问的请求往往似乎来自一位值得信任的同事。因为我们几乎不反对听从同事的请求，所以一个通常具有安全意识的团队成员很可能会点击恶意链接或发送敏感信息。

这些看似无辜的点击也让勒索软件成为一个日益增长的威胁；以最近的网络攻击为例，它成功地中断了Garmin Connect、flyGarmin和Garmin Pilot，导致数天的停机。据报道，Garmin支付了数百万美元的赎金，以恢复其用户网络的功能。

像这样的大规模攻击会让媒体受益，但中小企业也无法幸免。近一半（46%）的中小企业已成为勒索软件的目标，近四分之三的受害者已支付了赎金以恢复对其系统的控制。

解决这个问题

显然，迫切需要采用技术解决方案，保护人类可能面临风险的脆弱地区。

例如，在每个工作站上安装安全解决方案–；尤其是现在，世界上的许多业务都是远程进行的–；可以防止在一个典型工作日内发生的攻击。

此外，在评估任何安全战略时，必须考虑人的因素。员工教育和培训至关重要。团队成员必须知道如何安全、正确地使用组织的技术资源。

同时，他们必须能够识别社会工程攻击或可疑的网络和设备。持续的实时培训有助于培养这种安全第一的心态。

正如中小企业现在可以访问企业级安全解决方案一样，它们也可以利用安全应用和服务，最大限度地减少对某些任务的人工输入。例如，许多企业仍然手工处理信用卡支付，并不安全地存储信息，使它们面临数据泄露的风险。

一个简单的解决方案是使用可信的第三方支付处理器，该处理器允许客户安全地支付订单和发票，而无需人工访问和处理客户财务数据。

企业还应该寻找最大化现有安全解决方案功能的方法。例如，Reason for Business提供了开发人员工具，允许用户在组织的其他应用程序中集成他们的安全解决方案。


通过其SDK和云API，企业可以将保护功能集成到自己的应用程序中，从而全面过滤垃圾邮件、可疑URL和潜在攻击。他们的实时警报和通知使it团队在出现安全问题时能够轻松地随时了解情况并快速沟通。

致力于改进

网络攻击是当今商业格局的一部分；这是一种与火灾、盗窃或任何其他可能的损失一样真实的威胁。无论规模大小，企业都比以往任何时候都更加注重将网络安全作为其组织的优先事项。这种心态的改善–；尤其是在中小企业中，这一点值得注意。价格合理的技术解决方案的可用性应能让更多中小企业保护其基础设施。

除了这些措施之外，中小企业还必须更加警惕安全的人为因素。简单的人为错误仍然是一个非常现实的风险。

培训、自动化和使用覆盖以前安全盲点的解决方案将有助于培养关键的安全第一心态。