保护小型企业数据的 3 个秘诀

如果您通过我们的链接购买东西，我们可能会从我们的附属合作伙伴那里赚钱。 学到更多。

德国 IT 服务提供商 Citycomp 最近发生的数据泄露事件导致大量数据在线发布，包括有关 Citycomp 所有客户的财务和私人信息。 您需要知道如何加强对数据泄露的防御。

数据泄露事件包括一份客户名单，其中包括甲骨文、空中客车和保时捷等主要公司。 不仅如此——七万个服务和存储系统现在是公开可用的。

网络犯罪分子认为，破坏像 Citycomp 这样的 IT 服务提供商是最终的胜利

通过破解单个企业的防御，犯罪分子获得了数十甚至数百个服务提供商客户业务网络的密钥。 但是，业余黑客更有可能追求更容易的目标，例如您的小型企业。

网络犯罪的犯罪成本持续下降

恶意软件即服务的兴起使业余黑客能够加入经验更丰富的网络犯罪分子的行列。 毫不奇怪，研究表明，小企业现在占商业网络攻击受害者的大多数。

虽然近 70% 的小企业报告说他们遭受过网络攻击，但只有 28% 的小企业表示他们的防御措施“非常有效”。

采取这三个步骤将加强您对数据泄露的防御：

1. 定期更改密码

如果您多年来一直使用相同的用户名和密码，那么几乎可以保证这些凭据在某处。 这些密码可以在暗网上以几美分的价格获得——或者，你知道的——免费。

定期更改密码可能很麻烦，但这是一项重要的安全措施。 它有助于防止黑客在暗网上购买旧的登录信息并使用它来侵入您组织的网络。

建立要求员工每隔几个月更改一次密码的系统是一种廉价的——通常是免费的——安全改进。

但是，如果您想避免叛乱并提高遵守规定的机会，请事先向您的团队解释。 当员工知道什么是利害关系时，他们更有可能接受否则可能会让人感到烦恼的事情。

几年前，我在一家公司工作，要求我们每三周将密码更改为 25 位新密码，并且密码的任何部分都不能在六个月内重复。

系统仍然被黑，我们不得不联系数百万客户来重置他们的密码（我们数百人夜以继日地工作来完成这项工作）。 这家公司不允许使用密码管理器。 如果你的员工不喜欢它——太糟糕了——那是你的公司——你有责任保护它。

如果您担心员工的回击，请考虑投资密码管理器以使事情尽可能简单。

根据一项研究，员工平均需要处理 191 个密码。 密码管理器通常不贵，而且它们提供的便利性使它们成为各种规模的公司的值得投资。

2.实施双重身份验证

如果黑客确实设法获得了登录凭据，那么双重身份验证就是另一个看门人。 双重身份验证（也称为 2FA）需要密码之外的其他形式的身份验证。 第二层可以是代码或 PIN 码。 这些请求通常通过 SMS 发送。

您还可以为硬件令牌设置第二个代码，例如只有用户可以访问的密钥卡。

没有解决方案是 100% 安全的。 一些拥有特别敏感数据的公司甚至依赖多因素身份验证，这需要在双因素身份验证之外进行额外的用户验证。 一些最新的验证方法包括虹膜或指纹扫描以及面部识别。

根据您的安全需求和预算，建议您从可以实施的任何形式的双因素身份验证开始。 虽然 SMS 文本验证是最简单且最不安全的，但您的员工可能已经熟悉它，而且它比传统凭据更安全。

3. 认真对待培训

无论您实施何种安全措施——双重身份验证、Web 应用程序防火墙、激进的密码管理策略等等，都值得付出努力。 请注意，人为错误仍然是您最大的弱点。

您的员工是您组织网络安全链中最薄弱的环节。

这就是为什么网络犯罪分子首先试图欺骗人们然后入侵网络的原因。 Verizon 的 2017 年数据泄露调查报告表明，90% 的网络安全事件都涉及网络钓鱼。

过去，网络钓鱼尝试以大量垃圾邮件为中心，发件人能够利用几次错误点击。 现在，网络犯罪分子正在利用基本的社会工程学来强化传统的网络钓鱼攻击。 被称为鱼叉式网络钓鱼的攻击将使用可在线获得的信息，使他们获得访问权限的尝试更加合法。

黑客可能会冒充 CEO 并向会计师发送财务请求。 他们可能会假装自己是一名高管，并请助理帮助记住密码。 如果您的员工没有接受过发现这些攻击的培训，他们就会错过表明诈骗的微小细节。