2020年數據報告表明，網絡犯罪分子不在乎您的企業規模有多大，他們無論如何都希望獲得您的憑據和數據。每個行業的所有類型和規模的企業都可能發生數據泄露事件，而小型企業也是如此。那么中小企業數據泄露的主要原因有哪些？在加強網絡安全和數據安全工作方面，小型企業可以在很多方面做得很好，并且在某些地方往往會有所作為。

　　5個中小企業數據泄露的主要原因

　　1.小企業認為自己“太小”無法成為目標

中小型企業犯下的最大的數據安全錯誤是，認為他們的業務規模太小，無法被網絡犯罪分子所針對。僅僅因為您的企業被歸類為“小型企業”，并不意味著網絡犯罪分子將魔術般地選擇忽略它。

企業協會表示，小型企業可以擁有1500名以上的員工，或者年收入最高為4150萬美元，因此在實際上被認為是小型企業的地方還有很多回旋余地。

認為您的業務規模太小，不值得網絡罪犯付出努力?再想一想。如果您的企業擁有任何類型的數據-客戶的個人身份信息，員工憑證，財務記錄，知識產權，商業秘密-那么他們就會想要它。

像Smeagol和他的戒指一樣，您的數據對于網絡犯罪分子而言是寶貴的。

為什么?因為他們可以使用它進行欺詐，竊取金錢或將其出售給競爭對手或其他網絡犯罪分子。是的，網絡罪犯是如此貪婪。

簡而言之，您和您的客戶都無法負擔對網絡安全性的自滿。

　　2.不向員工和其他授權用戶提供網絡意識培訓

在許多情況下，員工的社會工程學意識和網絡安全意識可能是網絡犯罪分子與您最有價值的數據之間唯一的關系。這就是為什么網絡安全意識培訓是組織網絡防御的關鍵部分的原因。教育是幫助您的員工理解和認識網絡上潛伏的不同類型的社會工程策略和網絡威脅的方法。

不幸的是，并非所有組織都認識到提供這種培訓的價值。的結果數據安全調查2019顯示，只有不到三分之一的企業提供社會工程意識培訓他們的員工。此外，該業務應用程序和軟件發現平臺還報告說，許多組織缺少通用數據安全性和網絡安全培訓：

“ 最近的數據安全調查發現，有43%的受訪者表示他們的公司沒有定期提供數據安全培訓;8%的人表示 從未接受過培訓。”

但是為什么這次培訓如此重要?數據指出，網絡犯罪分子最關心的是如何從任何組織訪問憑據和個人數據，而不論其規模如何。他們希望獲得您的信息的原因是因為它使他們能夠訪問使用這些憑據的任何帳戶以及這些帳戶有權訪問的任何系統。畢竟，對于網絡罪犯而言，穿越前門要比通過防火墻闖入您的網絡要容易得多。

他們獲取此信息的一些方法是通過企業電子郵件泄露和網絡釣魚詐騙。對于全球企業而言，企業電子郵件泄露是一個巨大且代價高昂的問題。報告說，它收到23775個投訴BEC，導致超過17十億的損失$ 2019年獨自一人。

報告稱，他們在2019年觀察到的多達99%的成功的網絡釣魚攻擊需要人工干預。這意味著目標做了一些最終使攻擊成功的措施。在許多情況下，這涉及員工未遵循網絡安全最佳實踐的情況。他們的錯誤決定導致憑證和數據被盜，惡意軟件安裝，網絡欺詐以及許多其他問題。

　　3.不控制或限制對網絡和數據庫的訪問

毫無疑問：網絡犯罪分子無論您的組織規模大小，都希望訪問您的數據。如果外部威脅參與者能夠獲得合法的用戶憑據，他們將使用它來訪問受感染用戶帳戶有權訪問的任何系統。

但是，外部威脅并不是您唯一的問題。有時，最大的網絡安全威脅是來自您自己組織內部的威脅，通常被稱為內部威脅。

值得慶幸的是，您可以采取一些措施來限制內部和外部網絡犯罪分子的影響范圍，并遏制其造成的破壞：實施訪問控制。此過程涉及將網絡，數據庫和其他關鍵系統的訪問權限限制為僅其工作確實需要訪問的個人。

這意味著，無論人力資源部的詹姆斯有多少抱怨或說不，他都沒有理由訪問您的客戶數據。想要或需要訪問數據的人之間存在很大的差異-識別差異并采取措施限制訪問至關重要。

　　4.不執行及時的更新和修補

經營使用過時的舊設備運行的業務就像穿著破爛的盔甲的戰斗。您將遭受很多損害，并且可能最終會在沒有及時干預的情況下屈服。

如果不定期更新和修補系統，則會在網絡防御中留下巨大的漏洞。我說的是足夠大的孔，以至于M卡車可以從中犁過。為了抵御這些漏洞，制造商發布了更新和補丁程序，希望他們能夠在被黑客和其他網絡罪犯利用之前填補這些漏洞。

但是，如果您不及時應用這些補丁之一，會發生什么？無法應用更新和補丁的最明顯例子之一就是2017年WannaCry慘敗。盡管Microsoft發布了可消除其舊版Windows操作系統漏洞的補丁程序，但全球所有規模的組織和企業都發現自己是大規模勒索軟件攻擊的目標，原因很簡單：他們沒有應用該補丁程序。

另一個重要的例子是某公司數據泄露。這一特別具有破壞性的漏洞暴露了許多國家億萬消費者的個人和財務數據。如果信用報告機構在兩個月前首次發布該應用程序時已應用了一個Web應用程序漏洞補丁程序，他們可能會完全避免了數據泄露。

　　5.不采用深度防御方法來保護網絡安全

網絡安全并不是要100%不受攻擊，而是要使自己比旁邊的人更堅強。如果網絡罪犯可以選擇黑客入侵您的高度防御性網絡或競爭對手的脆弱網絡，那么您認為他們更傾向于攻擊哪家公司？我會給您一個提示：這家公司沒有虛擬的鋼制障礙物和火箭筒。

除非您了解其他網絡安全領域所不具備的知識，否則就不可能阻止每次網絡攻擊。而且，沒有任何一種工具或方法可以使您100%抵御網絡威脅。但是，采用縱深防御策略是使您的中小型企業成為一個更艱難的目標的關鍵……這就是任何人都可以期望的。

縱深防御，這個起源于軍事領域的術語，是一種整體方法，可以彌補漏洞并保護您的數據。它是旨在檢測和緩解威脅的工具和策略的組合。這里的想法是通過多種策略來管理風險，這些策略可能會導致另一層防御失敗。

　　您可以做什么來保護您的小型企業

好的，所以您知道SMB放棄的一些重要方式。但是，您可以怎么做以確保自己也不會感到困惑呢？您可以付諸實踐的深度防御工具和方法的示例包括：

· 優先考慮應用更新和補丁程序，以使您的軟件應用程序，操作系統，服務器和其他IT基礎結構保持最新。

· 實施網絡外圍防御工具和過程。

· 使用自動化工具和技術來檢測威脅。

· 過濾網絡和電子郵件流量。

· 將訪問權限限制為僅授權個人。

· 評估您的供應商及其網絡安全策略，流程和過程。

· 提供員工培訓并執行政策和程序。

強大的數據安全性的另一個關鍵組件是正確配置和管理的公鑰基礎結構。眾所周知，PKI是一種總體系統和框架，其中包含對各方進行身份驗證并保護您在線發送和接收的所有數據的策略，流程，過程和技術的系統。

這包括所有類型的數據-從網站交易和電子郵件到移動應用程序和軟件的所有內容。

但是，如果您是一家小型企業卻負擔不起許多精美的工具和多個IT員工使用它們，該怎么辦？你不是一個人。你的鞋子里有很多公司。但是，好消息是，即使沒有大型團隊，您仍然可以通過多種方式保護自己的業務。同樣，另一種選擇是將您的網絡安全需求外包給托管安全即服務提供商。

無論選擇哪種方法，保護自己的小企業總比什么都不做好。盡一切可能使自己成為比其他中小企業更具挑戰性的目標。想了解更多關于數據安全的信息，請繼續關注中培偉業。