編者按

中小企業量大面廣，是我國經濟發展中的毛細血管和神經末梢，同時也是數字化浪潮中，對市場變化反應最為敏感的群體。然而，中小企業在數字化轉型過程中面臨著“不會轉”、“沒錢轉”和“不敢轉”等難題，其中就包括各種各樣的網路攻擊問題。近日，思科釋出了對亞太區 14 個市場 3700多家中小企業的網路安全業務調查報告，反映出中小企業所面對的網路安全困境。

本期產業安全TALK，聚焦中小企業面臨的主要網路威脅，從攻防的角度分析日益猖獗的網路攻擊，同時和大家一同探討中小企業如何從戰略戰術上有效應對網路攻擊。

作者：金珉錫

中小企業是國民經濟和社會發展的生力軍。據Sixlens資料顯示，截至2020年底，我國存續在營的中小企業數量突破4200萬家，佔全國企業總量的98.5%。數字化浪潮奔騰而來，中小企業也應順勢而為，加速數字化轉型成為其生存必選項。然而，由於中小企業在網路安全建設上技術、人才、資金、經驗的缺乏，導致其數字化轉型航程並非一帆風順。

 各種網路威脅層出不窮 

中小企業面臨安全困境

思科基於亞太14個國家和地區的調查報告顯示，在過去12個月中，56%的亞太區中小企業和42%的中國中小企業使用者遭到過網路攻擊，按照網路安全威脅的嚴重程度排列，依次為惡意軟體（75%）、網路釣魚（60%）和服務阻斷（54%）。

（中小企業網路威脅嚴重度排列)

有別於大中型企業所遭受的攻擊型別，中小企業面臨的網路威脅主要體現在以下方面：

惡意軟體

惡意軟體伴隨著計算機的出現而出現，包含病毒、蠕蟲、特洛伊木馬和其他有害計算機程式。在所有惡意軟體中，勒索軟體是增長最快的網路攻擊之一，而中小企業則是勒索軟體頻發的重災區。FinCEN釋出的報告顯示， 2021 年前六個月與勒索軟體相關的可疑活動報告 (SAR) 中索要的贖金總額達到了 5.9 億美元，超過了其他類安全事件的總和。

網路釣魚

網際網路高速發展的今天，企業及其系統與外部網路的聯絡逐漸增多，這不僅擴大了系統被攻擊的可能，也給企業帶來更多的網路安全威脅。根據自動化平臺Ivanti對全球1000多名企業IT專業人員的一項新研究，80%的受訪者表示網路釣魚攻擊數量正在增加，85%的受訪者表示這些攻擊型別變得越來越複雜。

服務阻斷

傳統的安全防護能力正在不斷減弱，高階威脅攻擊就像一把高懸在頭頂的“達摩克利斯之劍”，讓很多企業在數字化轉型中感到不安。另外，大規模DDoS攻擊也被不少公司用來攻擊競爭對手，以及被駭客組織用來勒索敲詐。

（弈劍行服務暫停公告)

以遊戲行業為例，駭客組織ACCN專門瞄準TapTap上的熱門小工作室，以及小廠家的遊戲下手，國產獨立手遊《弈劍行》在開服第一天便被該組織攻擊，被迫將一款主打聯機對戰的遊戲改為單機版，三年的心血由此付之一炬。

資料洩露

全球平均每分鐘就有2家公司因為資訊保安問題而倒閉，而被攻擊的亞太區中小企業75%的客戶資訊落入到駭客手中。

數字化轉型浪潮之下 

中小企業為何成為“待宰羔羊”？

Arctic Wolf的一項調查顯示，有四分之三的中小企業無法真正抵禦網路攻擊，甚至因遭遇勒索攻擊，支付不起贖金而關門歇業的案例也不在少數。位於美國阿肯色州的電話銷售公司The Heritage Company，在被勒索軟體攻擊後，由於IT恢復工作未能按計劃進行，300多名員工不得不在聖誕節前重新找工作。

網路攻擊正給中小企業造成無法挽回的損失。調查顯示，假如當機1小時，將給16%的中國中小企業的營收造成重大影響；假如當機時間長達一天，那麼10%的中國中小企業的業務將無法開展；而最為顯性的後果則是，3%的中國中小企業在過去的12個月中因遭受網路攻擊造成的損失高達100萬美元。

中小企業之所以不斷被駭客攻陷並蒙受重大損失，從攻防的角度來看，主要有兩方面的原因：一是網路攻擊手段不斷進化導致傳統防護手段不再適用；二是中小企業由於自身網路安全防護工作不夠深入到位，導致無法應對愈演愈烈的網路攻擊。

從攻方的角度來看，網路攻擊和資訊科技的發展處於同一個“生態圈”中。網路攻擊技術走到今天，呈現出兩個主要特徵：一是網路攻擊技術已經由簡單走向複雜，二是網路攻擊逐步從個人走向組織。

（外媒報導烏克蘭電網系統事件)

2016年的烏克蘭電網系統事件已經表明，攻擊者面對防禦體系時採用了更為先進的APT技術與工具來實現入侵網路與系統的目的。在網路攻擊中使用人工智慧技術進行運用分析，並向武器化、自動化蔓延已成為趨勢。網路攻擊走向組織化使得攻擊更具隱蔽性，也令攻擊監測和追蹤溯源變得更加困難。

從防守方的角度來看，中小企業網路安全問題無法獨立解決，是該群體普遍存在的問題。大多數中小企業的負責人對網路安全重視程度不夠，即使有安全意識但囿於預算、人力有限，缺乏防範和處理能力，致使中小企業更容易遭受網路攻擊。

加之異地辦公、遠端辦公、企業辦公地點分散等問題，常常導致IT人員疲於奔命，愈發加重了中小企業應對網路攻擊的負擔。安全意識薄弱加上技術能力不足、修復能力不佳、網路安全預算不夠，一旦企業的網路安全防線被攻破，對大型企業而言是災難現場，對中小企業而言則是最後的喪鐘。

行之有效應對網路安全問題 

知己知彼方能百戰不殆

中小企業的安全癥結在於網路安全建設滯後導致的一系列連鎖反應，網路攻擊者往往能以更快的速度將新技術應用到他們的武器庫中，並迅速發起攻擊，這使得雙方攻防的天平朝著攻擊方傾斜。面對網路攻擊侵害頻率高、損失重的難題，中小企業亟需從意識、策略和技術手段上尋求合適的解決之道。

思科大中華區副總裁卜憲錄表示：“由於中小企業 SaaS 應用程式使用量的快速增長以及遠端工作使用案例的增加，網路邊界正在向雲轉移，這些都在迫使著人們重新思考安全架構。新的安全架構要覆蓋網路、使用者和端點、雲邊緣和應用程式的所有關鍵控制點。要為跨使用者、裝置、網路、應用程式和資料提供‘零信任’和‘端到端’的安全解決方案。”

網路安全問題無時無刻都在發生，網路安全問題的解決也不是一蹴而就的。具體而言，中小企業可從三方面著手，提升應對網路安全風險的能力：

首先，需自上到下培養網路安全意識，公司管理層需提高對網路安全建設的重視度，進而進一步加強專業安全人員和業務人員在網路安全方面的培訓，即從企業的頂層設計開始就融入安全的思維，為企業的整個業務流程打造好一道以“人”為核心的安全防線。當每個員工成為企業安全的一部分時，企業便擁有了一種安全文化，這在應對來勢洶洶的網路安全挑戰時是至關重要的。

其次，要在梳理好業務的基礎上重點守護核心資料資產。數字化時代資料安全重於泰山，資料的價值正在不斷被挖掘並展現出來。後疫情時代，企業遠端辦公成為常態，遠端辦公安全隨即也成為標配。使用者的許可權管理認證、資料的分級分類、全生命週期的流轉控制等都需要高階別的安全保護，基於零信任理念的安全架構則正好契合了這樣的需求。騰訊安全呂一平認為，雲原生安全十分有利於中小企業提高數字化生存能力，企業應構建“零信任”機制應對新的安全形勢。

（騰訊 iOA 零信任安全解決方案拓撲圖)

最後，中小企業應遵循簡單至上的原則，選擇可信的雲服務商。面對無所不在的網路安全威脅，中小企業僅憑自身技術、人才和資金實力，很難有效應對不斷進化的網路安全問題。透過藉助外力，整合經過實踐檢驗的、有說服力的網路安全方案，與擁有強大技術能力的安全廠商深化合作，做到內外協同，充分發揮“技術、產品、人”的合力，持續不斷地最佳化和提升安全保護水平。

“長風破浪會有時，直掛雲帆濟滄海”。數字化轉型航程中的大風大浪對中小企業而言是一次艱難的考驗，行路雖難，中小企業還應持之以恆，不斷最佳化和完善自身網路安全建設，採他山之石以攻玉，納百家之長以厚己。