4008-088-622

企业数据安全领航者

为中小企业核心数据安全提供解决方案与恢复服务
重磅发布!针对中小微企业,有关数字安全的都在这里!
来源: | 作者:太极风控 | 发布时间: 2022-08-04 | 1114 次浏览 | 分享到:
近日,2022全球数字经济大会数字安全峰会暨第十届互联网安全大会开幕式在北京举行。在会上,由360天枢智库牵头,中国中小企业协会、大数据协同安全技术国家工程研究中心、中国工业互联网研究院指导撰写的《2022中小微企业数字安全报告》正式发布。该报告共分为六章,以中小微企业角度出发,围绕其数字安全背景、数字安全风险和数字安全建设现状等方面进行分析,提出推进中小微企业数字建设的要点和相关意见举措。




近日,2022全球数字经济大会数字安全峰会暨第十届互联网安全大会开幕式在北京举行。在会上,由360天枢智库牵头,中国中小企业协会、大数据协同安全技术国家工程研究中心、中国工业互联网研究院指导撰写的《2022中小微企业数字安全报告》正式发布。该报告共分为六章,以中小微企业角度出发,围绕其数字安全背景、数字安全风险和数字安全建设现状等方面进行分析,提出推进中小微企业数字建设的要点和相关意见举措。





中小微企业面临的数字安全威胁




网络钓鱼

据思科《2021网络安全威胁趋势》报告显示,网络钓鱼被认为是在亚太地区中中小微企业的最大威胁,43%的中小微企业将其排在首位。在过去的一年中,网络钓鱼增长了65%,直接导致中小企业的业务损失超过120亿美元,且90%的数据泄露事件是由此攻击造成。

恶意软件

恶意软件攻击对小型企业尤其具有破坏性,因为它们可能会使企业设备瘫痪,业务中断,为攻击者提供访问数据的后门,甚至为攻击供应链企业构建攻击渠道等。

勒索攻击

很多中小企业会认为大公司才是勒索攻击的主要目标,因为其拥有更多的数据,能支付更多的赎金。然而根据勒索软件恢复专家Coveware的一份报告显示,在2021年发生的勒索软件攻击事件中,员工人数少于一千人的组织占81.6%,拥有11至100名员工的公司占受害者总数的很大一部分。

弱密码

Verizon发布的《2021数据泄露调查报告》显示,大多数违规行为(由于黑客攻击) 归因于密码泄露和弱密码问题。所有违规行为中有29% (无论攻击类型如何)都与被盗的密码有关。

内部威胁

内部威胁是由员工、前员工、业务承包商或员工的行为对组织造成的风险。来自Verizon 2021数据泄露调查报告的最新研究表明,大约22%的安全事件应由内部人员负责。在中小微企业中,员工可以访问多个他们本不需要访问的账户这一情况越发普遍,这也导致内部威胁成为中小微企业的主要安全问题。

云、SaaS应用、系统和软件的漏洞威胁

利用中小微企业所使用的互联网系统中的安全漏洞进行威胁是一种常见的攻击手段。据悉,57%的数字威胁是由已知漏洞引起的,因为中小微企业在安全资源方面的不足,常常出现大量的已知漏洞可以被攻击者利用的情况。








数字安全事件带来的负面影响



业务和发展损失

1.业务中断

2.降低企业的商业竞争力和发展机会

财务和经济损

1.安全事件增加企业运营成本

2.数据泄露给企业带来重大损失

3.网络诈骗导致企业资金损失

名誉和信誉受损









安全建设中存在的重要误区









误区一:中小微企业认为规模小就不会是攻击目标

与网络攻击集中在大型企业组织的认知相反,所有企业都可能受到类似的攻击,2020年普华永道关于亚太地区中小企业网络安全态势的调查结果显示,在受访中小企业中,网络攻击和数据泄露的发生率很高,有57%的受访中小企业在过去两年内遭受过网络攻击,44%的受访中小企业发生过数据泄露事件,而在被攻击的企业中有76%遭受过不止一次攻击

误区二:中小微企业已经为数字安全做好准备

为了解地区网络安全态势,普华永道于2020年3月访问了1100多家位于亚太地区的中小企业,涉及11个国家和地区。调查结果显示, 90%的受访者认为他们的企业能够在一个工作日内检测到攻击,84%的受访者认为他们的企业可以在24小时内从网络攻击中恢复业务。实际上, 相关行业研究报告显示亚太地区中小企业所遭受的攻击的平均潜伏时间(从首次入侵到被发现)为54天,只有27%的中小企业拥有专门的网络安全团队,53%的中小企业部署了防病毒解决方案。

误区三:中小微企业认为数字安全不会造成潜在生存威胁

目前,一个很重要的问题是中小微企业没有充分关注数字安全所带来的潜在生存威胁,也没有在数字安全上投入足够的资金。然而Ponemon研究指出,2017年,针对中小型企业的网络攻击平均每次会造成220万以上美元的损失,恶意软件所造成的直接的损失超过100万美元的,业务运营受影响所造成的间接损失超过120万美元。

误区四:中小微企业不会面临大型企业所关注的数字安全威胁

据思科2020中小企业安全报告显示,勒索软件对各种规模的企业都“一视同仁”,勒索软件都是最可能导致24小时以上系统停机时间的头号威胁。

误区五:中小微企业认为威胁主要来自于外部

中小微企业往往依托员工开展安全防护和响应,但不能忽视的事实是数字安全威胁往往通过员工入侵企业。根据《2021年勒索软件状况》报告,22%的组织认为,由于很难防止员工被攻击者利用,他们在未来12个月内将遭到勒索软件的攻击。普华永道的亚太地区中小企业网络安全调研也发现,中小企业中36%的数据泄露事件由员工或承包商的疏忽导致。



数字安全事件如何解决



数字安全建设需要围绕安全能力的沉淀和提升

中小微企业需要将关键风险转化为具体能力需求,并将数字安全能力建设目标和措施纳入到企业发展规划之中。

安全能力建设需要维持运营

数字安全能力需要在中小微企业具体应用场景中长期踏实积累才能获得,而不是“银弹”思维模式下造就的单个产品所能达到。

安全能力建设需要以实战为目标

数字安全能力要能支撑中小微企业的数字安全实践在实战对抗中达到安全防护目标,并针对实战中暴露的问题及时进行追踪、定位、改进与提升。

安全能力建设需要人机结合

数字安全能力既需要安全能力载体自动化、智能化的运行,高效的阻断、检测、响应和缓解各类数字安全攻击, 更需要专业人员有效发挥各类安全能力载体的效能,开展全面能力调动,以灵活的对抗模式,有效应对数字安全威胁。

开展以能力为导向的数字安全评估

一方面,通过安全评估,可以帮助企业掌握关键数字安全能力的成熟度水平,明确安全能力建设方向,将资源投入到最优先的能力建设事项;另一方面,有关政府部门、大型企业及关键基础设施的采购政策可针对中小微企业数字安全能力给出加分机制或者优惠政策,从而夯实整个供应链安全的底座。







完整报告在公众号发送关键词

“数字安全报告”即可获取