商业

如何保护您的企业免受网络攻击

一些中小型企业低估了安全性,因为他们认为它们不是网络攻击的有趣目标,并且企业安全超出了预算。不幸的是,这就是为什么小企业经常成为攻击的受害者的原因。至少掌握基本安全性不是一项超人的任务。

 

最新的eWay博客文章之一的主题是 数据保护和当前的安全趋势。本文包含一些数据保护个人的提示。从公司的角度来看,每位员工的计算机素养和安全性至关重要。但是,除了用户级安全性之外,每个公司还应该或首先具有企业级安全性。

 

最常见的威胁

在公司开始研究如何保护自己之前,它应该知道存在哪些潜在威胁,以便可以应对各种攻击。网络攻击有很多种。最常见的是:

 

  • 恶意软件

恶意软件和其他类型的恶意软件(例如间谍软件,勒索软件或病毒)通常会通过不信任的链接或电子邮件附件在用户不知情的情况下安装在PC上。被感染的设备可用于发送垃圾邮件,数据可能会被损坏或擦除,甚至可能在用户不知情的情况下发送数据(包括密码)。或者可以将设备加密以要求赎金作为恢复访问的条件。

 

  • 网络钓鱼

网络钓鱼是一种在线通信中的欺诈性技术,用于获取敏感信息(例如密码和信用卡号)或安装恶意软件。例如,欺诈者使用的仿冒网站看起来像银行登录页面,或者使用电子邮件通信来询问似乎由IT管理员发送的密码更改。

假冒网络钓鱼电子邮件冒充MS Office电子邮件的示例。

 

  • 中间的人

在所谓的MitM攻击中,欺诈者窃听了两个系统之间的通信。这通常发生在公共Wi-Fi网络或带有欺诈证书(应始终为“ https”)的网站上。

 

  • 拒绝服务

在“分布式拒绝服务”的名称下,各种类型的攻击使服务器不堪重负,以至于中断了服务器的运行。例如,对于电子商店来说,服务器停电可能意味着大量收入损失。

 

  • SQL注入

这是对Web SQL数据库的攻击。在这种情况下,欺诈者会使用站点代码中的错误,并将恶意代码放置在服务器上。对于使用CMS系统(例如WordPress,Joomla等)的网站和电子商店,这是一个常见问题。

 

  • 零日攻击

该术语并不表示特定的技术,而是指在发布纠正漏洞的修补程序之前利用软件的某个漏洞所花费的时间。无法100%避免这种现象, 正如eWay系统的首席技术官RomanŠtefko所说: 骇客们总是领先一步。 您可以满足所有可能的安全性标准,但是如果系统中存在安全漏洞,并且攻击者发现了安全漏洞,那么基本上就无法避免攻击。” 罗曼·斯特夫科(RomanŠtefko)还提出了一些有关如何使系统中的一些错误在现实生活中无法使用的原则。

 

企业安全措施

现在您知道了对您业务的真正威胁。这意味着现在应该至少通过基本措施了。如果您在业务中不使用它们中的任何一个,则可能要考虑更改它。

 

  • 防火墙功能

防火墙是控制或可能阻止工作网络与Internet之间的数据通信的软件或设备。它是 公司安全的基石 如果设置正确,可以防止病毒,恶意软件和其他威胁的传播。

 

  • 安全软件

除防火墙外,根据需要使用其他工具(例如防病毒,反恶意软件和加密软件,密码管理应用程序和其他安全软件)也很重要。针对上述SQL注入和其他攻击,通过所谓的安全性插件来保护WordPress和其他Web应用程序是适当的。

 

  • 员工培训

在大多数公司中,就安全性而言,人员是最薄弱的环节。这是合乎逻辑的。不是每个
职位需要高级IT知识。例如,许多员工常常没有意识到他们不应该在工作网络中使用来历不明的USB闪存驱动器,因为它们可能包含恶意软件。他们不识别欺诈性网站或电子邮件,并成为网络钓鱼的受害者。否则他们没有设置 设置强密码 并使用不安全的通讯工具将凭据发送给同事。

 

  • 公司政策和文件

对员工进行数据安全培训是关键措施之一。但是,仅传递信息是不够的。尤其是中小型企业,通常将安全措施的后续应用留给员工自己解决。不幸的是,直观的方法并没有得到回报。有必要在公司中引入特定的程序,策略和文档,以便无例外地遵守安全措施。

每个企业应采用的重要原则之一是定期更新所有应用程序。如零日攻击提到的那样,没有绝对的保护,但是这种习惯将帮助您避免许多应用程序安全漏洞。

另一个重要元素是前面提到的密码管理应用程序。大多数用户在多个系统上使用相同的密码,如果攻击者成功获取密码,则在声称自己为他人的情况下很容易尝试。密码管理应用程序注册对单个程序的访问权限,只需单击几下鼠标,便可以预填正确的密码,然后该密码可以是任何各种字符集。

 

  • 后备

在生活中,做好应对最坏情况的准备有时对企业有益。这就是为什么定期备份业务数据(无论是在自己的服务器上还是在云上)非常重要。例如,对于电子商店,在这些DDoS攻击的情况下,定期备份是绝对必要的。

 

安全证书

网络攻击变得越来越普遍,并给许多公司或机构带来巨大破坏的风险。正如安全认证公司Bureau Veritas所指出的那样,损失一定不能总是以现金计算:直到最近还没有受到《网络安全法》覆盖的医院及其系统易受攻击的医院。 这可以通过最近在一家医院中发生的案例来证明,勒索密码病毒攻击了医疗机构的计算机系统,并阻止了其执行计划的操作。符合以下条件的公司和机构 ISO 27001 在满足《网络法案》的要求方面具有重要的领导作用。

大多数公司的法律都不要求对信息以及个人和公司数据的安全性进行认证。但是,完成安全审核可以激励公司改善其自身的安全措施。它不仅赢得了潜在客户和现有客户,一些跨国公司或
国有企业甚至需要安全证书才能赢得合同。

昂德里杰·斯沃博达
5. 3. 2020
分享