對於網路犯罪份子來說,沒有太小而無不去攻擊的目標。但小型企業仍然有著這樣的心態 – 只有跨國大公司才是網路犯罪分子的目標。他們堅信,因為他們很小所以很安全。正因為如此,這些企業老闆往往無視於網路犯罪威脅和安全問題,也讓小型企業成為被垂涎的對象。
不要成為他們的一份子。是時候面對現實了。
現實一
任何企業,無論大小、類型都可能是網路犯罪的受害者
大多數小型企業不相信網路犯罪份子會把目標放在他們身上。根據Visa公司和美國國家網路安全聯盟(NCSA)的調查,註1 一千個小型企業中,有85%認為大型企業是比他們更有可能的目標。超過一半(54%)對於自己比大型企業做好更多準備來保護公司和客戶資料具有信心。
這些小型企業認為自己不會出現在攻擊者的雷達上。他們的想法是,和他們這些小型企業比起來,網路犯罪分子會先針對大型企業或消費者。但在現實中,網路犯罪分子並不會有任何歧視。只要有利可圖,只要有可以攻擊的點,他們就會動手。並沒有所謂的優先順序,只要有安全漏洞就可以了,所以就算是小型企業,網路犯罪份子都會一視同仁。
2010年NCSA VISA 小型企業研究概覽
現實二
網路犯罪份子對於小型企業所掌握的資訊是有興趣的
雖然並沒有大型企業那種規模,但是中小企業(SMB)還是一樣面臨內容安全風險。銀行詐騙攻擊仍是個真實存在的威脅。註2 中小企業一直都是惡意軟體的目標,像是會竊取密碼的鍵盤側錄程式,讓網路犯罪分子可以去存取其財務帳戶。資料竊盜變得十分猖獗,在二〇一一年,中小企業的銀行帳戶被偷走了超過十億美元。註3 這表示你的員工和客戶的資料,以及財務帳戶資訊都是網路犯罪分子的首要目標。
- 資料遺失事件內的個人資訊(來源:https://datalossdb.org)
圖1. 資料遺失事件內的個人資訊(來源:https://datalossdb.org)
現實三
網路犯罪份子每一秒都會產生針對小型企業的新威脅
單單二〇一二年上半,我們就替中小企業防護了超過一億四千二百萬次威脅。我們的趨勢科技專家們指出,至少有兩個因素造成了這麼大的數量。首先是社交工程攻擊成為主流,讓中小企業成為容易攻擊的目標。
而第二個原因就是中小企業的數量龐大。光是在美國一地,二〇一一年就有約二千七百萬家中小企業。註5 讓中小企業成為一個值得攻擊的目標。但對網路犯罪份子來說,中小企業更具吸引力的是他們往往缺乏保持IT團隊的預算,更不用說是專責於資安的IT部門。
網路犯罪份子讓小型企業損失數十萬美元。殭屍網路是他們首選的武器。殭屍網路會悄悄滲透進網路內。讓網路犯罪份子可以在員工和客戶不知情下去取得小型企業電腦的控制權。
在二〇一二年三月,美國聯邦調查局提出關於有駭客攻擊美國中小企業的銀行詐騙攻擊報告。註6 這些網路犯罪分子使用惡名昭彰的惡意軟體 – ZeuS/ZBOT木馬程式來攻擊小型企業。這些惡意軟體攻擊竊取了超過三百萬美元。
趨勢科技專家們也看到了專門針對小型企業的網路釣魚活動和漏洞攻擊。這些騙局所用的訊息常常都和稅有關,利用政府機構的名義,透過假客戶投訴或採取法律行動等恐嚇威脅手法。同時也利用漏洞攻擊常見的應用程式。
現實四
法規遵循是很花錢,但不符法規會更加花錢,而且會為網路犯罪開啟一扇窗戶
並非所有小型企業都了解法規遵循(Compliance)問題。有些人甚至認為自己符合,並且有足夠的安全防護。除此之外,有15%的中小企業覺得他們可能在一年內遇到安全入侵問題。註7
不符法規最終可能會導致生產力損失、業務中斷和高額的法律費用。對於跨國企業來說,法規遵循費用大約是三百五十萬美元。註8 但和不符法規的高額代價相比,這是個很小的支出。你的小型企業也和許多大型企業一樣,會有流程、人員和技術,這一切都同樣的面對網路犯罪的威脅。
現實五
小型企業正轉移到雲端去,同時擁抱雲端安全,但網路犯罪份子也不會落後
雲端運算已經不再只是個口號,而成為了現實。今日的整體中小企業雲端運算市場價值估計約有八十六億美元 註9,而到了二〇一四年會來到一千億美元。此外,從二〇一一年起,有高達74%的中小企業計劃增加在雲端運算軟體上的支出。而在二〇一〇年下半年,採用雲端運算的中小企業只有14%,這是個顯著的進步。
儘管整體來說,這一切都在積極發展中,但小型企業仍然沒有花費足夠的經費在雲端安全上。IDC的報告指出,只有19%的小型企業和約36%的中型企業有將提高安全管理視為優先的關鍵IT支出。註10 中小企業的IT開支。每年是以5-6%的速度成長。
小型企業面對損失資料、生產力、銷售、聲譽跟最重要的金錢風險,因為網路犯罪份子所製造的威脅是以指數在增加。
- 中小企業所使用的雲端服務(來源:spiceworks.com)
你要如何保護企業?
在目前的威脅環境中,沒有企業是安全的。每個企業都是網路犯罪份子的首要目標。
利用以下提示和最佳作法來保護你的企業:
- 保持警覺。確保你自己和每個員工(不管是不是技術人員)都了解最新的網路犯罪。接受關於最新詐騙手法的訓練,並且實施最佳作法,像是不回應不明電子郵件,或點開裡面的附加檔案或可疑連結。
- 強制落實內部安全規範。加強網路安全性和銀行通訊協定也是明智的作法。
- 提早計劃。隨時注意是否有可疑的網路活動,準備好任何入侵攻擊的緊急應變措施。
@原文來源:
https://www.trendmicro.com/cloud-content/us/pdfs/business/tlp-small-business-is-big-business-nov2012.pdf
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
- https://info.guardiananalytics.com/rs/guardiananalytics/images/2012_Business_Banking_Trust_ Study_Exec_Summary.pdf
- https://www.trendmicro.com/cloud-content/us/pdfs/business/white-papers/the_cloud_advantage.pdf
- https://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt-its-big- business-and-its-getting-personal.pdf
- https://www.getbusymedia.com/small-business-stats/
- https://www.fbi.gov/newyork/press-releases/2012/another-cyber-fraud-defendant-charged-in-operation-aching-mules-sentenced-in-manhattan-federal-court
- https://www.trendmicro.com/cloud-content/us/pdfs/business/white-papers/the_cloud_advantage.pdf
- https://www.tripwire.com/tripwire/assets/File/ponemon/True_Cost_of_Compliance_Report.pdf
- https://www.informationweek.com/smb/services/smb-cloud-market-worth-86-billion/229219131
- https://www.idc.com/getdoc.jsp?containerId=prUS23507912
◎延伸閱讀
五個給小型企業關於雲端運算的迷思與事實
《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構
虛擬化的無代理防護也適用於雲端嗎?
會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut)
Cirsis/MORCUT 惡意軟體掛載虛擬機器
《趨勢專家談雲端運算》軟體定義網路重新洗牌:VMware收購Nicira,Oracle收購Xsigo
《趨勢專家談雲端運算》墮入虛擬化相關威脅的深淵
◎即刻加入趨勢科技社群網站,精彩不漏網
有最嚴格的防護和最先進的設備,公司的關鍵資料還是會有被竊取的風險,特別是當你的員工沒有警覺到(或更糟的,不在意)他們所造成的安全風險。透過預防措施可以防止資料外洩事件。可以保護好電腦設備跟系統以防禦來自外部的攻擊。
