中小企业常见漏洞-2020年报告

根据最新的US-CERT漏洞数据,网络攻击者针对中小企业的攻击甚至超过了大公司。这是最常用的方法.


中小型企业(SME)可能会认为大型公司是网络犯罪分子最有目的的目标。新闻报道的数量之多,似乎似乎只有庞然大物的公司才违反了其隐私权并暴露了秘密信息.

事实是,中小企业与大型中小企业一样面临同样的安全威胁。不幸的是,这些中小型企业没有大型组织采用的先进网络安全设备.

这是一个惊人的数字。在美国,员工少于20人的企业占所有拥有员工的组织的89%。而且我们刚刚指出,他们最不愿拒绝黑客。换句话说,小企业有很大的问题。让我们来看看这些威胁的确切来源.

网络安全统计中小企业

  1. 统计研究图标恶意软件: 在一项独立研究中,参与研究的61%的中小型企业在2017年遭受了网络攻击.
  2. 鱼叉式网络钓鱼: 网络钓鱼攻击导致中小企业每年损失数十亿美元。鱼叉式网络钓鱼是IT部门当今面临的最大挑战之一,并且是许多入侵的切入点,包括身份盗窃,勒索软件和黑客攻击。.
  3. 卡不存在欺诈: 在过去的几年中,美国和英国的CNC欺诈(又称``RFID撇读'')发生率都在增加。例如,英国的举报案件从2012年的750,200起增加到2016年的1,437,832起.
  4. 缺乏网络安全知识: 网络保险提供商CFC UNDERWRITING表示,如果中小型企业实施更好的教育和培训,2016年可以避免约38%的索赔.
  5. DDoS攻击: 分布式拒绝服务攻击可能会使中小企业瘫痪。 2016年10月,由于DDoS攻击,美国和欧洲的80个网站被禁止访问.
  6. SQL注入 在一项独立研究中,有65%的组织表示他们经历了SQL注入攻击。这些攻击绕过了外围防御,使企业面临风险。根据最近的WP Scan报告,SQL注入是WordPress网站上第二大最常见的网络攻击形式-拥有近25%的互联网-根据最近的WP Scan报告,这种攻击最常见于过时的主题和插件.
  7. 内部攻击: Verizon调查了四年中发生的500次入侵。他们的结论是,内部攻击造成了18%的违规事件。尽管对中小型企业的内部攻击数量少于大型公司,但其影响更大,因为在小型公司中,个人可以访问许多系统.
  8. 知道失败的网络攻击: 金沙研究所(Sands Institute)发布的报告显示,有64%的受访者不知道自己已经成功/未成功地受到网络攻击.
  9. 云服务证券故障: 2017年,中国黑客组织“红色阿波罗”发起了规模无与伦比的全球网络间谍活动。它没有直接攻击公司,而是攻击了云服务提供商和云网络,将间谍工具传播给了许多公司。.

中小型企业很容易受到网络攻击,因为它们中的许多人都认为自己的规模使其成为黑客的目标。但是,正如我们所见,它们的规模和缺乏深入的网络安全性使其成为骗子的主要目标。大型公司能够承担因网络安全漏洞而造成的财务损失.

对于中小型企业,这些违规行为可能意味着他们被迫关门。让我们仔细看看我们提到的七个漏洞.

恶意软件/勒索软件

勒索软件统计2017由于恶意软件和勒索软件的增加,许多中小型企业正在重新考虑其业务连续性和灾难恢复策略.

勒索软件先对文件进行加密,然后将其保存以进行勒索,直到恶意软件背后的来源收取费用为止.

勒索软件通过网络钓鱼攻击,外部网络共享和漏洞利用工具包进行传播。新的恶意软件和勒索软件病毒在线出现的频率使得防病毒程序无法保护中小企业.

勒索软件的运行速度如此之快,以至于它可以在个人单击模拟电子邮件链接后的几分钟内对整个计算机进行加密。估计有23%的中小企业表示,他们没有恢复计划来恢复遭受恶意软件/勒索软件攻击的数据。单击此处以了解有关恶意软件/勒索软件以及如何保护您的SME的更多信息.

鱼叉式网络钓鱼

与广义的网络钓鱼诈骗不同,矛状网络钓鱼是针对性的。网络罪犯将使用单独设计的方法,他们将依靠社会工程技术使电子邮件看起来合法并定向到目标。传统的安全措施无法阻止这些攻击,因为它们的定制程度很高.

矛式网络钓鱼的工作原理

所有网络犯罪分子只需部署一个恶意软件即可部署恶意软件,实施拒绝服务攻击并窃取重要数据。即使是高管和高层管理人员,也可能发现自己打开了他们认为是安全的电子邮件,只是公开了公司的数据。详细了解鱼叉式网络钓鱼以及如何保护自己免受钓鱼攻击.

缺乏网络安全知识

报告显示,员工之间的安全意识低下是网络不安全的主要原因。这是连续四年出现网络安全漏洞的主要原因。调查显示,三分之二的美国员工从未听说过勒索软件或密码保护.

按国家/地区图表划分的勒索软件数量

如果员工甚至不知道存在勒索软件或其他网络攻击源,他们就不太可能采取措施来阻止勒索软件或其他网络攻击源。阅读本文以了解有关网络安全知识如何保护您的中小型企业的更多信息.

DDoS攻击

ddos攻击架构DDoS攻击是罪犯用来破坏他们所针对的服务器流量的一种邪恶工具。目的是使服务或网络被大量互联网流量淹没,以致无法使用.

DDoS攻击之所以有效,是因为同时使用多个受损的计算机系统来攻击流量。网络罪犯可以利用您的计算机,连接到网络的计算机以及物联网设备。在攻击过程中,Internet流量被高级别阻塞,从而阻止了正常的期望流量到达目的地.

您的计算机或其他设备将感染恶意软件。每台计算机将变成僵尸或机器人。僵尸网络是攻击者控制许多网络设备的地方。攻击者将攻击受害者的IP地址作为目标,并导致服务器或网络容量过大。由于每个漫游器都是合法的Internet设备,因此即使不是不可能,也很难将攻击中使用的流量与正常流量分开.

这是了解更多有关DDoS攻击以及如何保护中小企业免受DDoS攻击的宝贵资源。.

对于希望保护其网站免受DDoS攻击的企业主,请参阅我关于澳大利亚最佳Web主机的指南以及有关廉价主机的更全面的指南.

SQL注入攻击

sql注入图标SQL注入攻击有很多种。这是一种攻击类型,可以使网络罪犯完全控制Web应用程序数据库。这是通过将任意SQL插入数据库查询中来完成的.

SQL注入攻击的历史可以追溯到1990年代后期。尽管如此,在2019年,它们仍会影响Internet上的Web应用程序。对于中小企业来说,好消息是SQL注入很容易防御。它们不是最先进的CIA牢不可破的攻击形式。修复您的Web应用程序很简单,以最大程度地减少此类攻击的风险.

但是,有些小型企业主设计了自己的网站或基于Web的应用程序却没有做到这一点。这种类型的失败是边缘性的重大过失。下载此PDF,以了解SQL注入攻击的影响以及如何保护SME免受攻击.

内部攻击

内部威胁(来自供应商,员工或其他有权访问您数据的个人的威胁)是网络罪犯的一种潜在方法。违规行为可能是由疏忽大意的人或出于恶意意图攻击您的数据的人造成的.

内部攻击统计2017研究表明,越来越多的员工希望通过出售雇主的敏感数据来增加收入。同一项研究表明,多达三分之一的员工在被解雇时或选择开始新职业时窃取了雇主的敏感数据或信息。他们利用这些信息来开展自己的事业或破坏雇主的一种方式.

过失导致许多人以内部人员访问其公司文件的方式,从内部破坏了公司,甚至不知情。他们点击了网络钓鱼电子邮件,使罪犯可以访问公司的数据.

随着内部人员威胁的增加,企业正在采取更多行动来保护自己。这些动作包括:

  • 员工培训
  • 事件响应计划
  • 系统监控器

中小企业所有者通常会忽略或忽略潜在的内部威胁。这就是为什么中小企业比以往任何时候都更重要的是,他们积极主动地采取安全措施以及寻找内部威胁的方式。了解如何保护中小企业免受内部攻击.

认识失败的网络攻击

报告显示,美国近65%的小型企业在发生网络安全事件后没有做出回应。报告显示,全球70%的企业没有为网络攻击做好准备。对于中小型企业,此漏洞的比例特别高。这些企业没有适当的策略来防止攻击,更不用说防御攻击或在发生时及早发现它们.

2017年第二季度网络攻击统计

尽管许多中小型企业说,网络威胁是他们的主要关注点,但有一半的人说,预算不足是他们不采取更多措施来防御网络攻击的原因。.

提高网络攻击检测能力要求中小型企业对基本网络进行持续监控。入侵检测也是必须的。跟踪违规行为(无论成功与否),并结合监控和手动日志记录,可以帮助减轻未来的风险。当涉及网络攻击时,无知不是幸福.

云服务证券故障

中小企业因其提供的灵活性和可扩展性而吸引了云服务提供商。尽管云计算为中小企业带来了巨大的利益和机遇,但它也带来了许多安全和隐私挑战。正确应对云环境中存在的安全挑战需要法律,组织和技术方法的混合。不幸的是,这很多超出了中小企业的控制范围或财务限制.

云计算采用率调查

云架构中存在许多缺陷,这些缺陷使网络罪犯有可能利用安全漏洞,获得对应保密的信息的访问权。其中一些挑战包括缺乏对数据生命周期的控制,数据泄露和服务黑客攻击.

云技术和云计算是中小企业可以使用的相对较新的技术。中小企业对业务有很好的了解,并且了解确保云技术安全的适当步骤,可以从中受益。单击此处了解有关云技术和潜在安全风险如何影响未来实施的更多信息.

结论

在网络犯罪方面,中小企业面临着大型企业所面临的相同风险。与大型企业不同,中小型企业通常没有承受网络攻击所需的资金支持。当中小型企业遇到数据泄露事件时,他们可能会迅速失去客户的信任。这是一旦失去就很难恢复的东西.

您可以通过首先制定攻击计划来保护您的中小型企业。确保将网络安全放在您企业的各个层面上。指派负责的个人来检查和维护企业的网络安全需求。对于希望保护自己的个人,选择使用最佳VPN是您的第一选择,也是最佳选择.

员工可以成为抵御网络犯罪的最佳选择,也可以成为您最薄弱的环节。对员工进行网络犯罪培训。使用网络钓鱼实验来查看您的员工对潜在风险的了解程度。培训新员工时要牢记网络安全意识.

sme网络攻击统计

小型企业必须为所有事件制定计划,无论它们是否成功。该计划从检测开始。它包括遏制和通知。然后,一旦处理了这种情况,就需要评估公司对攻击的响应方式。在该计划内,没有歧义的余地。团队中的每个成员必须具有明确定义的特定角色和职责.

对于较小的企业,将网络安全外包可能是提高防范能力的有效方法。这并不能减轻员工的责任感。雇主和雇员必须了解并参与。这是识别和保护中小型企业免受网络安全漏洞影响的唯一方法.

David Gewirtz
David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me