大約43％的網(wǎng)絡攻擊針對小型企業(yè)。

專家估計，到2021年，全球的網(wǎng)絡犯罪將耗資6萬億美元。

根據(jù)馬里蘭大學的一項研究，針對具有互聯(lián)網(wǎng)接入的計算機的網(wǎng)絡攻擊每39秒發(fā)生一次。

當今高度互聯(lián)的世界中的數(shù)據(jù)泄露已經(jīng)司空見慣。頭條新聞定期告訴主要零售連鎖店，消費者信用報告機構(gòu)甚至政府實體都成為外部攻擊者入侵的犧牲品。

作為一家小型企業(yè)，讓糟糕的演員遠離您的數(shù)據(jù)以及擴展您的客戶數(shù)據(jù)似乎是一項艱巨的任務。然而，通過執(zhí)行網(wǎng)絡安全風險評估，您將邁出第一步，更好地了解網(wǎng)絡的安全漏洞以及修補漏洞所需的操作。

網(wǎng)絡安全風險評估用于識別您最重要的數(shù)據(jù)和設備，黑客如何獲取訪問權(quán)限，如果您的數(shù)據(jù)落入壞人手中可能會出現(xiàn)什么樣的風險以及您作為目標的脆弱程度。雖然您可以進行自己的綜合分析，但是有很多公司愿意指導您完成整個過程并提供收費的監(jiān)控服務。

應該注意的是，根據(jù)您的行業(yè)，您可能已經(jīng)接受了經(jīng)過認證的實體的強制性網(wǎng)絡安全風險評估。在這種情況下，您可能需要使用第三方系統(tǒng)來遵守法規(guī)。

根據(jù)Verizon 2019 數(shù)據(jù)違規(guī)調(diào)查報告，43％的入侵針對小型企業(yè)。這應該不足為奇，因為有近3000萬美國小企業(yè)，其中大部分是黑客的軟目標。由于信息系統(tǒng)審計和控制協(xié)會建議至少每兩年進行一次網(wǎng)絡安全風險評估，以下是您今天可以使用的一些操作和提示。

1.收集信息

執(zhí)行網(wǎng)絡安全風險評估的最重要原因是收集有關您的網(wǎng)絡的網(wǎng)絡安全框架，其安全控制及其漏洞的信息。如果您不知道自己在做什么或者在尋找什么，那么進行評估不當可能會讓您容易受到攻擊。

“如果企業(yè)沒有經(jīng)驗，工具或團隊進行徹底和準確的風險評估，并且只是試圖通過自己動手來節(jié)省成本，那么當黑客或數(shù)據(jù)泄露時，他們將來可能會遇到成本增加的問題。Kyle David Group營銷經(jīng)理Keri Lindenmuth表示，否則可能會出現(xiàn)這種情況。“由于財務影響，許多小型企業(yè)無法從數(shù)據(jù)泄露中恢復，并最終永遠關閉。”

為此，如果您的小型企業(yè)擁有對您的系統(tǒng)有深入了解的IT專業(yè)人員，您應該與他們合作制定風險評估計劃。

如果您不聘請IT專家或與IT專家簽約，但您熟悉您的系統(tǒng)及其運作方式，那么如果您在整個過程中保持客觀，您仍然可以進行自己的評估。

通常，公司會忽略安全性的某些方面，因為更改這些內(nèi)容會導致太多的中斷，或者修復成本太高。如果您的結(jié)果指向網(wǎng)絡中的主要漏洞，您需要愿意做出重大更改。

2.繪制出你的系統(tǒng)

一旦您考慮了如何收集信息，就該開始實際評估了。首先，您需要確定系統(tǒng)的工作方式，服務功能以及使用系統(tǒng)的人員等等。

您的目標是確定網(wǎng)絡中存在的任何風險和漏洞。一旦確定，您將需要評估這些問題區(qū)域的風險大小，您目前正在采取哪些措施來緩解這些問題并計算您的整體風險。

考慮連接到網(wǎng)絡的所有內(nèi)容。打印機，筆記本電腦，手機和智能設備都是惡意代碼進入您網(wǎng)絡的入口點。您可以在某些自動程序的幫助下找到漏洞，例如付費應用程序Nessus Professional和免費工具OpenVAS，它們在網(wǎng)絡的多個方面運行漏洞掃描以檢測風險。

在辦公室，確保您的物理設備也是安全的很重要。攻擊者經(jīng)常通過支持互聯(lián)網(wǎng)的設備訪問，并通過未修補的漏洞訪問您的網(wǎng)絡。諸如無線打印機，Wi-Fi路由器和移動設備之類的設備可被利用來讓黑客訪問您的網(wǎng)絡的其余部分。

避免出現(xiàn)問題的一種簡單方法是確保設備的固件都是最新的。Microsoft提供了一個免費工具，可幫助您檢測網(wǎng)絡上的Microsoft產(chǎn)品是否都是最新的。

3.抵制人為因素

人為錯誤也可能導致網(wǎng)絡漏洞。數(shù)據(jù)泄露的最大原因之一是無意中造成員工隨意點擊可疑鏈接或從網(wǎng)絡釣魚電子郵件下載附件。在開始專門的網(wǎng)絡安全培訓之前，對員工的響應和在線實踐進行漏洞測試非常有用。

您可以使用在線網(wǎng)絡釣魚模擬器運行網(wǎng)絡釣魚漏洞測試。它允許您設置偽裝成來自工作同事的電子郵件，目的是說服員工下載附件或提交憑據(jù)。否定結(jié)果不應導致任何懲罰性行動。相反，您可以使用該信息設置有關網(wǎng)絡安全最佳實踐的其他培訓，并為您的員工提供避免網(wǎng)絡釣魚攻擊的提示。結(jié)果還可以幫助您確定是否應在網(wǎng)絡訪問上實施雙因素身份驗證。

除了意外的訪問點之外，通過使用未加密的USB閃存驅(qū)動器，不良的文檔保留和破壞做法，使用不安全的通道傳輸個人信息以及無意中將敏感數(shù)據(jù)發(fā)送給錯誤的人，您的網(wǎng)絡安全可能會受到威脅。

雖然可能發(fā)生事故，但惡意攻擊是最常見的網(wǎng)絡攻擊。在這些情況下，惡意軟件（惡意軟件），內(nèi)部黑客威脅或分布式拒絕服務（DDoS）攻擊等策略可能會嚴重影響您的網(wǎng)絡。

網(wǎng)上有很多工具可以幫助您確定攻擊者是否可以通過您的網(wǎng)站輕松地強行進入您的網(wǎng)絡。例如，Pentest Tools是一種付費服務，可掃描您的網(wǎng)站，Web應用程序和網(wǎng)絡，以確定是否存在漏洞。滲透測試軟件可幫助您了解黑客可以通過網(wǎng)絡獲取數(shù)據(jù)的位置。網(wǎng)站的常見問題是缺少SSL / TLS證書和HTTPS，這是保護域的因素。

4.考慮潛在風險，可能性和影響

在考慮網(wǎng)絡安全的技術和人力方面，考慮哪些威脅可能會影響您的網(wǎng)絡以及發(fā)生這種威脅的可能性。在網(wǎng)絡安全風險評估期間，您將要列出黑客可以利用來訪問您的網(wǎng)絡和數(shù)據(jù)的每個可能的攻擊點，無論它們是惡意的還是良性的。

一種準備方法是遵循美國國家標準與技術研究院進行風險評估指南。本文檔包含可用于評估每種潛在安全風險的樣本表。

一旦識別出潛在威脅，您就需要確定它們將如何影響實際網(wǎng)絡的基礎架構(gòu)和防御。

您還需要確定這些威脅實際發(fā)生的可能性。根據(jù)Sage Data Security，您可以將其分為“可能性評級”，例如：

威脅源具有高度的積極性和足夠的能力，并且防止漏洞被執(zhí)行的控制是無效的。

威脅源具有動力和能力，但是可能會阻礙成功運行漏洞的控制措施。

威脅源缺乏動力或能力，或者已采取控制措施來防止或至少顯著阻礙漏洞的執(zhí)行。

在確定潛在威脅，它們將如何影響您的網(wǎng)絡以及它們發(fā)生的可能性之后，您將需要想象如果這些攻擊對您的業(yè)務成功將會發(fā)生什么。我知道這可能是可怕的，但如果確實發(fā)生了這些事情，重要的是要知道事情會有多糟糕，并制定一個行動方針來應對后果。畢竟，大多數(shù)中小型企業(yè)一旦受到數(shù)據(jù)泄露的影響就會受到影響。

在一天結(jié)束時，您的小企業(yè)的網(wǎng)絡安全是至關重要的。您的數(shù)據(jù)以及客戶的數(shù)據(jù)非常有價值且非常重要 - 當然，這也是黑客想要獲取數(shù)據(jù)的原因。

如果您決定進行自己的網(wǎng)絡安全風險評估，您可能會在熟悉網(wǎng)絡及其工作原理的同時發(fā)現(xiàn)明顯的安全問題。雖然這總是一件好事，但專業(yè)的網(wǎng)絡安全顧問或公司可以進行更加量化的風險評估，可以幫助您避免由一些最新和最微妙的漏洞造成的大規(guī)模數(shù)據(jù)泄露。

上一篇：什么是網(wǎng)絡安全風險評估

下一篇：網(wǎng)絡安全風險評估知識