保護小型企業數據的 3 個秘訣

如果您通過我們的鏈接購買東西，我們可能會從我們的附屬合作夥伴那裡賺錢。 學到更多。

德國 IT 服務提供商 Citycomp 最近發生的數據洩露事件導致大量數據在線發布，包括有關 Citycomp 所有客戶的財務和私人信息。 您需要知道如何加強對數據洩露的防禦。

數據洩露事件包括一份客戶名單，其中包括甲骨文、空中客車和保時捷等主要公司。 不僅如此——七萬個服務和存儲系統現在是公開可用的。

網絡犯罪分子認為，破壞像 Citycomp 這樣的 IT 服務提供商是最終的勝利

通過破解單個企業的防禦，犯罪分子獲得了數十甚至數百個服務提供商客戶業務網絡的密鑰。 但是，業餘黑客更有可能追求更容易的目標，例如您的小型企業。

網絡犯罪的犯罪成本持續下降

惡意軟件即服務的興起使業餘黑客能夠加入經驗更豐富的網絡犯罪分子的行列。 毫不奇怪，研究表明，小企業現在佔商業網絡攻擊受害者的大多數。

雖然近 70% 的小企業報告說他們遭受過網絡攻擊，但只有 28% 的小企業表示他們的防禦措施“非常有效”。

採取這三個步驟將加強您對數據洩露的防禦：

1. 定期更改密碼

如果您多年來一直使用相同的用戶名和密碼，那麼幾乎可以保證這些憑據在某處。 這些密碼可以在暗網上以幾美分的價格獲得——或者，你知道的——免費。

定期更改密碼可能很麻煩，但這是一項重要的安全措施。 它有助於防止黑客在暗網上購買舊的登錄信息並使用它來侵入您組織的網絡。

建立要求員工每隔幾個月更改一次密碼的系統是一種廉價的——通常是免費的——安全改進。

但是，如果您想避免叛亂並提高遵守規定的機會，請事先向您的團隊解釋。 當員工知道什麼是利害關係時，他們更有可能接受否則可能會讓人感到煩惱的事情。

幾年前，我在一家公司工作，要求我們每三週將密碼更改為 25 位新密碼，並且密碼的任何部分都不能在六個月內重複。

系統仍然被黑，我們不得不聯繫數百萬客戶來重置他們的密碼（我們數百人夜以繼日地工作來完成這項工作）。 這家公司不允許使用密碼管理器。 如果你的員工不喜歡它——太糟糕了——那是你的公司——你有責任保護它。

如果您擔心員工的回擊，請考慮投資密碼管理器以使事情盡可能簡單。

根據一項研究，員工平均需要處理 191 個密碼。 密碼管理器通常不貴，而且它們提供的便利性使它們成為各種規模的公司的值得投資。

2.實施雙重身份驗證

如果黑客確實設法獲得了登錄憑據，那麼雙重身份驗證就是另一個看門人。 雙重身份驗證（也稱為 2FA）需要密碼之外的其他形式的身份驗證。 第二層可以是代碼或 PIN 碼。 這些請求通常通過 SMS 發送。

您還可以為硬件令牌設置第二個代碼，例如只有用戶可以訪問的密鑰卡。

沒有解決方案是 100% 安全的。 一些擁有特別敏感數據的公司甚至依賴多因素身份驗證，這需要在雙因素身份驗證之外進行額外的用戶驗證。 一些最新的驗證方法包括虹膜或指紋掃描以及面部識別。

根據您的安全需求和預算，建議您從可以實施的任何形式的雙因素身份驗證開始。 雖然 SMS 文本驗證是最簡單且最不安全的，但您的員工可能已經熟悉它，而且它比傳統憑據更安全。

3. 認真對待培訓

無論您實施何種安全措施——雙重身份驗證、Web 應用程序防火牆、激進的密碼管理策略等等，都值得付出努力。 請注意，人為錯誤仍然是您最大的弱點。

您的員工是您組織網絡安全鏈中最薄弱的環節。

這就是為什麼網絡犯罪分子首先試圖欺騙人們然後入侵網絡的原因。 Verizon 的 2017 年數據洩露調查報告表明，90% 的網絡安全事件都涉及網絡釣魚。

過去，網絡釣魚嘗試以大量垃圾郵件為中心，發件人能夠利用幾次錯誤點擊。 現在，網絡犯罪分子正在利用基本的社會工程學來強化傳統的網絡釣魚攻擊。 被稱為魚叉式網絡釣魚的攻擊將使用可在線獲得的信息，使他們獲得訪問權限的嘗試更加合法。

黑客可能會冒充 CEO 並向會計師發送財務請求。 他們可能會假裝自己是一名高管，並請助理幫助記住密碼。 如果您的員工沒有接受過發現這些攻擊的培訓，他們就會錯過表明詐騙的微小細節。