十大網絡安全威脅介紹

　　為了能讓有限的資源應付無窮的安全保護需求，中小企業往往不得不忽略掉各類潛在的威脅。最理想的保護措施在於防患於未然，制定策略將問題消滅在萌芽狀態。但是在這之前，我們必須了解中小企業的網絡安全威脅到底是什麼？以下列舉的是最近的調查顯示的中小企業常常忽視的十大網絡安全威脅。

　　1.銀行賬戶劫持

　　網絡犯罪分子每年都會利用銀行服務類木馬襲擊上百家小型企業，他們能夠借木馬之力控制被害者的計算機，讓銀行服務器端誤以為是真正的客戶在操作。臭名昭著的Zeus正是木馬家族中最“傑出”的代表；它能夠在數分鐘時間裡從企業的銀行賬戶中提取出成百上千美元，活脫脫現實世界中的吸血鬼。

　　早在2009年，網絡竊賊們就曾經對緬因州一家名為Patco的建設公司痛下殺手，通過感染該企業的計算機在不到一周的時間裡從銀行賬戶中豪奪58萬9千美元贓款。盡管Patco公司及時向銀行方面遞交了事故報告，但最終仍然只追回了不到半數的損失。

　　Patco公司雖然逃過了滅頂之災，但大多數中小企業仍然面臨著網絡犯罪分子們的致命威脅。一般來說，只要是由客戶計算機遭到入侵所導致的財務損失，大多數銀行都不會給予賠償或者追討。“如果您是小型企業的負責人，請務必小心——那些惡意人士會把銀行賬戶徹底掏空，而我們一點辦法都沒有。”賽門鐵克公司安全響應部門主管Kevin Haley建議道。

　　截至目前，法庭仍然傾向於銀行方：就在去年，Patco公司的財務管理方Ocean銀行就在判決中贏得主動，獲得了不必為資金意外轉移負責的有利裁定。

　　在這樣嚴峻的事態下，最好的防御方案就是確保企業使用單獨一台專用計算機處理網上財務事宜——這台設備沒有郵件系統、不裝網絡浏覽器，連操作系統也嚴禁隨意登錄，Haley告訴我們。“有能力訪問這些財務賬戶的人越多，就會有更多設備進行在線查詢及操作，同時也將帶來更高的安全風險，”他解釋道。

　　2.網站劫持

　　許多小型企業的官方網站並不會用於出售產品，而完全是為了吸引客戶。但也有不少公司跟Endless Wardrobe一樣，需要在網站上直接進行產品及服務銷售。無論是哪一種情況，拒絕服務攻擊這種致命的侵襲都極為可怕——攻擊者利用這種方式占據大量帶寬，使得網站無暇處理正常客戶的合法交易。

　　過去，以拒絕服務攻擊為手段的敲詐勒索者們大多將注意力放在那些名聲不好的公司身上，例如在線博彩公司或者色情網站。但現在犯罪分子的胃口越來越大，他們已經開始對所有安全技術薄弱、無力抵御網絡攻擊的小企業們展開侵襲。

　　包括CloudFlare、Incapsula以及Prolexic在內的許多服務商都能幫助企業用戶對抗拒絕服務攻擊。他們的方法是創建一套“安全”網絡——即經過嚴格控制的業務社區，任何惡意流量在訪問企業客戶之前都會被過濾機制攔截下來，這一方面阻絕了不良請求、另一方面也保障了正常交易的進行。

　　3.由員工造成的數據洩露

　　雖然說員工是小型企業的最大財富，但他們同時也是最可能引發災難的潛在風險。他們很可能在不經意之間點擊了高危鏈接、打開了不知附件或是犯下最基本的安全失誤，總之這些“不明真相”的群眾常常扮演著攻擊者們“內應”的角色。

　　只要能夠獲得一組密碼，犯罪分子就能夠順籐摸瓜、竊取企業整套系統中的全部密碼，接下來“針對企業展開的攻擊步驟將勢如破竹、鋪天蓋地，”管理技術供應商Thrive網絡公司總裁Jim Lippie如是說。

　　除此之外，對公司心懷不滿的員工還可能搞出蓄意破壞等大麻煩來，這甚至比惡意人士的攻擊更難應對。

　　首先要對公司員工進行安全實踐教育，從選擇高強度密碼開始貫徹良好的保護機制。在許多中小企業中，員工都喜歡用同一套密碼或者有限的幾組密碼來訪問公司資源及在線服務，更有甚者還將業務密碼與個人密碼混為一談。此外，過分簡單的密碼內容也是常見的安全失誤之一。

　　其次，應該對員工進行背景調查，掌握哪些員工曾經造成過安全問題或者工作失誤。嚴格控制員工對企業敏感資源的訪問權限，例如客戶清單以及財務信息等。利用安全及員工活動監控系統收集來自網絡的信息，並劃撥50美元每人的開支對所有可疑活動及日志內容進行分析——這對於小型企業而言也許價格不菲，但中型企業絕對值得嘗試這套方案。