中小企业量大面广，是我国经济发展中的毛细血管和神经末梢，同时也是数字化浪潮中，对市场变化反应最为敏感的群体。然而，中小企业在数字化转型过程中面临着“不会转”、“没钱转”和“不敢转”等难题，其中就包括各种各样的网络攻击问题。根据思科近期发布了对亚太区 14 个市场 3700多家中小企业的网络安全业务调查报告，反映出中小企业所面对的网络安全困境。

 

 

　　基于亚太14个国家和地区的调查报告显示，在过去12个月中，56%的亚太区中小企业和42%的中国中小企业用户遭到过网络攻击，按照网络安全威胁的严重程度排列，依次为恶意软件(75%)、网络钓鱼(60%)和服务阻断(54%)。

 

 

　　有别于大中型企业所遭受的攻击类型，中小企业面临的网络威胁主要体现在以下方面：

 

 

　　恶意软件

 

 

　　恶意软件伴随着计算机的出现而出现，包含病毒、蠕虫、特洛伊木马和其他有害计算机程序。在所有恶意软件中，勒索软件是增长最快的网络攻击之一，而中小企业则是勒索软件频发的重灾区。FinCEN发布的报告显示， 2021 年前六个月与勒索软件相关的可疑活动报告 (SAR) 中索要的赎金总额达到了 5.9 亿美元，超过了其他类安全事件的总和。

 

 

　　网络钓鱼

 

 

　　互联网高速发展的今天，企业及其系统与外部网络的联系逐渐增多，这不仅扩大了系统被攻击的可能，也给企业带来更多的网络安全威胁。根据自动化平台Ivanti对全球1000多名企业IT专业人员的一项新研究，80%的受访者表示网络钓鱼攻击数量正在增加，85%的受访者表示这些攻击类型变得越来越复杂。

 

 

　　服务阻断

 

 

　　传统的安全防护能力正在不断减弱，高级威胁攻击就像一把高悬在头顶的“达摩克利斯之剑”，让很多企业在数字化转型中感到不安。另外，大规模DDoS攻击也被不少公司用来攻击竞争对手，以及被黑客组织用来勒索敲诈。

 

　　数据泄露

 

 

　　全球平均每分钟就有2家公司因为信息安全问题而倒闭，而被攻击的亚太区中小企业75%的客户信息落入到黑客手中。

 

 

　　中小企业为何中招频繁

 

 

　　网络攻击正给中小企业造成无法挽回的损失。调查显示，假如宕机1小时，将给16%的中国中小企业的营收造成重大影响;假如宕机时间长达一天，那么10%的中国中小企业的业务将无法开展;而最为显性的后果则是，3%的中国中小企业在过去的12个月中因遭受网络攻击造成的损失高达100万美元。

 

 

　　中小企业之所以不断被黑客攻陷并蒙受重大损失，从攻防的角度来看，主要有两方面的原因：一是网络攻击手段不断进化导致传统防护手段不再适用;二是中小企业由于自身网络安全防护工作不够深入到位，导致无法应对愈演愈烈的网络攻击。

 

 

　　从攻方的角度来看，网络攻击和信息科技的发展处于同一个“生态圈”中。网络攻击技术走到今天，呈现出两个主要特征：一是网络攻击技术已经由简单走向复杂，二是网络攻击逐步从个人走向组织。

 

 

　　在网络攻击中使用人工智能技术进行运用分析，并向武器化、自动化蔓延已成为趋势。网络攻击走向组织化使得攻击更具隐蔽性，也令攻击监测和追踪溯源变得更加困难。

 

 

　　从防守方的角度来看，中小企业网络安全问题无法独立解决，是该群体普遍存在的问题。大多数中小企业的负责人对网络安全重视程度不够，即使有安全意识但囿于预算、人力有限，缺乏防范和处理能力，致使中小企业更容易遭受网络攻击。

 

 

　　加之异地办公、远程办公、企业办公地点分散等问题，常常导致IT人员疲于奔命，愈发加重了中小企业应对网络攻击的负担。安全意识薄弱加上技术能力不足、修复能力不佳、网络安全预算不够，一旦企业的网络安全防线被攻破，对大型企业而言是灾难现场，对中小企业而言则是最后的丧钟。

 

 

　　如何应对危机

 

 

　　中小企业的安全症结在于网络安全建设滞后导致的一系列连锁反应，网络攻击者往往能以更快的速度将新技术应用到他们的武器库中，并迅速发起攻击，这使得双方攻防的天平朝着攻击方倾斜。面对网络攻击侵害频率高、损失重的难题，中小企业亟需从意识、策略和技术手段上寻求合适的解决之道。

 

 

　　思科大中华区副总裁卜宪录表示：“由于中小企业 SaaS 应用程序使用量的快速增长以及远程工作使用案例的增加，网络边界正在向云转移，这些都在迫使着人们重新思考安全架构。新的安全架构要覆盖网络、用户和端点、云边缘和应用程序的所有关键控制点。要为跨用户、设备、网络、应用程序和数据提供‘零信任’和‘端到端’的安全解决方案。”

 

 

　　网络安全问题无时无刻都在发生，网络安全问题的解决也不是一蹴而就的。具体而言，中小企业可从三方面着手，提升应对网络安全风险的能力：

 

 

　　首先，需自上到下培养网络安全意识，公司管理层需提高对网络安全建设的重视度，进而进一步加强专业安全人员和业务人员在网络安全方面的培训，即从企业的顶层设计开始就融入安全的思维，为企业的整个业务流程打造好一道以“人”为核心的安全防线。当每个员工成为企业安全的一部分时，企业便拥有了一种安全文化，这在应对来势汹汹的网络安全挑战时是至关重要的。

 

 

　　其次，要在梳理好业务的基础上重点守护核心数据资产。数字化时代数据安全重于泰山，数据的价值正在不断被挖掘并展现出来。后疫情时代，企业远程办公成为常态，远程办公安全随即也成为标配。用户的权限管理认证、数据的分级分类、全生命周期的流转控制等都需要高级别的安全保护，基于零信任理念的安全架构则正好契合了这样的需求。腾讯安全吕一平认为，云原生安全十分有利于中小企业提高数字化生存能力，企业应构建“零信任”机制应对新的安全形势。

 

 

　　最后，中小企业应遵循简单至上的原则，选择可信的云服务商。面对无所不在的网络安全威胁，中小企业仅凭自身技术、人才和资金实力，很难有效应对不断进化的网络安全问题。通过借助外力，整合经过实践检验的、有说服力的网络安全方案，与拥有强大技术能力的安全厂商深化合作，做到内外协同，充分发挥“技术、产品、人”的合力，持续不断地优化和提升安全保护水平。

 

 

　　“长风破浪会有时，直挂云帆济沧海”。数字化转型航程中的大风大浪对中小企业而言是一次艰难的考验，行路虽难，中小企业还应持之以恒，不断优化和完善自身网络安全建设，采他山之石以攻玉，纳百家之长以厚己。