小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事

每個小型企業都應知道的五件關於網頁威脅和網路犯罪的事

對於網路犯罪者來說,沒有任何企業會太小而不值得花費力氣。小型企業雖然不像一般大企業那麼受人矚目,但小型企業也無力承擔輕忽網路犯罪威脅的代價。儘管外界流傳著小型企業對這類安全威脅免疫的說法,但現在該是正視問題的時候了。

1. 任何企業組織,不論規模大小,都可能成為網路犯罪的受害者。

大多數的小型企業都不相信自己會成為網路犯罪的目標。根據 Visa Inc. 與 National Cyber Security Alliance 一項針對 1,000 位小型企業老闆的調查,有 85% 的老闆相信大型企業比他們更容易成為目標。超過一半 (54%) 的受訪者有自信他們的準備比大型企業更充份,更有能力保護公司與客戶資料。小型企業或許會認為:網路犯罪通常不是鎖定很大的企業,就是鎖定一般消費者,因此自己不可能成為歹徒的目標。然而,事實上,只要是有利可圖而且利潤豐厚,網路犯罪者才不管是超大型企業、小型企業或一般消費者。他們對任何目標都一視同仁。只要是系統存在著安全漏洞,任何目標對網路犯罪來說都是一樣的。

2. 小型企業同樣也擁有網路犯罪者所感興趣的資訊。

小型企業或許會認為他們的內容安全威脅並不像大型企業那麼嚴重。但事實上,根據 Council of Better Business Bureaus 在 2010 年 5 月所發表的研究,7.4% 的小型企業老闆都曾經遇到網路詐騙。

小型企業同樣也擁有員工和客戶資訊,因此就各方面來說,同樣也是網路犯罪的重要目標。從身分證號碼到網路銀行帳號密碼都是歹徒所覬覦的資料 (完整的失竊資料排名請參考下圖)。

小型企業同樣也擁有網路犯罪者所感興趣的資訊

小型企業同樣也擁有網路犯罪者所感興趣的資訊

3.網路犯罪者平均每一秒釋出 3.5 個專門攻擊小型企業的新威脅。

根據報告指出,專門針對小型企業的網路攻擊數量在 2010 年初竄升了 600%。趨勢科技的專家表示,此現象的背後至少有兩項因素。首先,規模較大的企業皆已投入更多資金來加強網際網路安全,迫使網路犯罪者將目標轉向同樣有利可圖的小型企業。其次,小型企業數量龐大,光是美國境內就有超過 2 千 5 百萬家小型企業。除此之外,小型企業還有一項吸引網路犯罪者的原因,那就是小型企業沒有足夠的預算可以聘請專門的 IT 團隊,更不用說成立專責部門,來維持資訊安全。

曾經有小型企業因為遇到網路犯罪而損失數十萬美元,而歹徒所用的工具就是 t僵屍網路/傀儡網路 Botne 程式。Bot 程式是一種會暗中潛入個人電腦的惡意程式,一旦潛入,歹徒就能從遠端遙控電腦並竊取重要資料而不被員工或客戶發覺。

2011 年 1 月,美國聯邦調查局 (FBI) 在一份報告中指出,有一家美國企業因為觸發了電子郵件所挾帶的惡意程式而自動從銀行帳戶轉出了 15 萬美元給歹徒。該惡意程式就是 ZeuS/ZBOT 家族的木馬程式之一,此惡名昭彰的惡意程式家族專門詐騙小型企業。

趨勢科技TrendLabs 的專家也曾見過專門針對小型企業而設計的網路釣魚Phishing攻擊和漏洞攻擊。這類詐騙經常利用一些稅務相關的電子郵件,並且假冒政府機關的名義,其手法通常是利用客戶投訴或威脅採取法律行動來引起被害人恐慌。而漏洞攻擊則是專門攻擊常見合法應用程式的漏洞。

只要小型企業能確保每一位員工 (不論技術程度如何) 都能隨時掌握網路犯罪的最新動態,就更能防範上述攻擊。企業應該教育員工有關最新的詐騙手法,鼓勵員工養成良好習慣,例如:只要是來路不明的可疑郵件,千萬不要回覆,也不要開啟附件檔案,更不要點選其中的連結。此外,小型企業最好能貫徹一套內部安全政策來強化其網路安全與銀行交易作業原則。最後,小型企業也必須時時提高警覺,小心防範可疑的網路活動,並且做好應變的準備,以防萬一真的遭到歹徒入侵。

 

4. 儘管遵規需要高昂的成本,但未遵守法規的可能代價更高,而且讓網路犯罪有機可乘。

並非所有的小型企業都已意識到遵規的問題。有些甚至認為自己的企業已經符合法規要求,並且已做好安全措施。然而,根據 2011 年發表的一份中小企業 (SMB) 資料安全與詐騙預防策略調查顯示,美國有將近一百萬家小型企業皆曾經是資料安全詐騙的受害者。

不遵循法規的結果,最終可能導致生產力損失、業務中斷以及高昂的法律成本。對於跨國性的企業來說,遵規的成本大約在 350 萬美元之譜5,相對於不遵循法規的潛在損失,這只不過是小小的代價。小型企業如果以為自己不必遵守資料保護法規,那就大錯特錯。如同大型企業,小型企業也需處理人員、流程與技術的問題,而這些層面的網路犯罪威脅與大型企業沒什麼不同。

5. 小型企業正逐漸邁向雲端,也開始擁抱雲端安全,但網路犯罪者也不是省油的燈。

雲端運算已經不再是一種口號,而是既成的事實。今日中小企業整體雲端市場價值大約在 86 億美元左右6 ,而且在 2014 年將達到1,000美元之譜。此外,高達 74% 的中小企業打算在 2011 年提高他們的雲端式軟體支出,這一點比 2010 年底的情況明顯大幅增加,而當時中小企業採用雲端運算的比例大約只有 14%。

小型企業正逐漸邁向雲端,也開始擁抱雲端安全
小型企業正逐漸邁向雲端,也開始擁抱雲端安全

儘管整體上有所進展,但小型企業在雲端安全上的支出仍不算充裕。根據 Forrester 在 2010 年發表的一篇報告,雖然 84% 的小型企業都認為資料安全很重要,但卻只有大約三分之一 (36%) 的受訪者打算增加他們的網路安全支出,而且也僅增加 5% 左右。

隨著網路犯罪威脅的數量不斷呈倍數成長,小型企業正面臨著損失資料、生產力、業績、甚至商譽的風險,但最重要的將是財務上的損失。

當小型企業在強化公司資料與客戶資訊的保護能力時,應該將上面五點謹記在心。

趨勢科技如何保護您

在當前的威脅情勢下,沒有任何一家企業可以倖免。每家企業都是網路犯罪的重要目標。這就是為何趨勢科技不斷努力,開發出趨勢科技 主動式雲端截毒服務 SPN( Smart Protection Network) 來保護客戶免於任何可能的威脅。

小型企業可利用下列產品來妥善保護公司和客戶的資料:

• 趨勢科技Worry-Free SMB 防護包進階版能保護 Windows 個人電腦、Mac、檔案伺服器與電子郵件伺服器免受病毒、惡意程式與危險網站的威脅。最新的版本還能保護企業機密資訊,鎖定 USB 磁碟與其他儲存裝置,防止資料透過電子郵件外洩。也可以在垃圾郵件進入Exchange 伺服器之前預先加以攔截。

• 趨勢科技Worry-Free SMB 防護包標準版能保護 Windows 個人電腦與檔案伺服器免受病毒、惡意程式與危險網站的威脅。其安全掃瞄功能會在背後快速默默執行,而且,還可以鎖定 USB 磁碟與其他儲存裝置來保護企業機密資訊。

•趨勢科技Worry-Free SMB 雲端防毒服務免去防毒主機安裝的時間,省去伺服器成本,輕鬆管理,即裝即用,用戶端不論在世界任一角落,隨時保持最新狀態

除了提供業界領先的資訊安全解決方案之外,我們也提供了最新的威脅資訊與趨勢分析,讓使用者了解如何在今日的數位世界當中隨時保護自己。如需進一步了解本文所提到的威脅,請參考下列網站上的資訊:

• 威脅百科 (Threat Encyclopedia):專門提供有關惡意程式、垃圾郵件、惡意網址 (URL) 及網頁攻擊的詳細資訊,讓使用者深入了解歹徒用來感染使用者系統與企業網路的管道,例如:“Another LinkedIn Spam Leads to ZeuS-Related Site”(再度出現指向 ZeuS 相關網站的 LinkedIn 垃圾訊息) 一文。

• TrendLabs 惡意程式部落格 (Malware Blog):專門提供威脅最新消息與專家第一手資訊,例如:「Malicious .RTF Files Exploit Microsoft Office Vulnerability」(專門攻擊 Microsoft Office 漏洞的惡意 .RTF 檔案) 一文。

 

@原文來源:

https://us.trendmicro.com/imperia/md/content/us/pdf/products/smallbusiness/small_business_is_big_business__march_2011_.pdf

@延伸閱讀
小型企業的雲端之路,到頭來還是回到原點



想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚