殺毒軟件的短板對中小企業來說意味著什么
專家警告稱,由于網絡犯罪分子針對中小企業的攻擊手段日益成熟,管理者們將不得不在象征性保護措施之外再做出進一步努力,否則其知識產權、客戶及資金流都可能受到嚴重威脅。而做出階段性努力的首要條件,就是勇于承認自己每年花在殺毒軟件方面的那點資金根本不足以應對攻擊活動。
“幾乎沒有幾家中小企業能實事求是地承認自己在安全事務方面投入了除象征性努力之外更為深入的關注,”安全咨詢企業Cobweb Applications公司創始人兼管理負責人Michael Cobb表示。
根據卡巴斯基實驗室的最近調查數據顯示,中小企業每年花在安全事務上的費用平均為1萬美元,均攤在每位員工身上的支出為36美元。調查報告指出,殺病毒軟件是大多數企業的首選安全解決方案,67%的受訪者將其作為優先考量對象。相比之下以數據加密技術為例的其它實用性保護方案則人氣較低,僅受到40%受訪企業管理者的重視。
有趣的是,Assero Security網站的Doug Landoll認為中小型企業將殺毒軟件作為安全核心完全是意料當中的情況。他的公司專門為中小企業提供風險評估服務,幫助他們以符合大型B2B客戶要求的方式擁有透明化安全控制機制,進而保障雙方業務的順利進行。而這些中小企業們則一次又一次驚奇地發現,評估流程除了殺毒軟件及其它終端保護手段之外提出了更多更高的安全標準。
“大多數中小企業的安全觀念還停留在對終端安全的保護層面,”他指出。“還只是問卷中三十道問題中的很小一部分。他們常常驚訝地表示‘網絡分割是什么東西?這對政策有什么影響?’從評估開始,他們才真正意識到安全事務比自己的想象更復雜也更寬泛。”
由于中小企業對于殺毒技術的過分依賴,潛在風險也就成了他們無法回避的難題。盡管在安全行業內部人士當中這早已經不是什么秘密,但很多中小企業決策者卻剛剛聽說或接觸到這一殘酷的現實:殺毒技術只能應對每天不斷增長的惡意威脅中的很小一部分。根據Imperva公司最近在《紐約時報》上發布的一篇報道,他們嘗試將82種新生計算機病毒引入40款殺毒產品的保護環境當中,可悲的是這些保護技術最終僅測試出了不到5%的惡意軟件威脅。
“一味拒絕額外終端安全解決方案帶來的開支完全是種決策失誤——從客觀角度看,由安全風險引發的損失占總體支出的68%;而忽視這一切意味著主動放棄了降低這部分損失的機會,”McAfee實驗室產品管理部門高級副總裁Rees Johnson引用Aberdeen集團分析師數據并解釋道。“在終端安全領域,我們需要采取更加全面的方案才能達到對企業平臺、網絡、應用及數據的理想保護效果。”
但很多中小企業決策者還沒有意識到承擔這部分風險空間對公司意味著什么。這不僅會讓攻擊者有機可乘、通過竊取到的數據組織銀行詐騙(很多人仍然誤以為這類事故完全源自惡意軟件),更可能導致有價值的客戶數據、知識產權大量外泄,甚至讓自身淪為網絡犯罪活動的跳板、最終將那些規模更大的企業合作伙伴一同拖進深淵。
“隨著機構之間連通性的日益提升,業務合作伙伴之間的交互往往會讓一方的安全問題變成大家的安全問題。可以說這正是整個產業鏈中的安全薄弱環節,”Interphase Systems公司CEO John Biglin指出。他同時警告稱,此類弱點甚至有可能將中小企業推向破產的懸崖。“我們看到很多客戶順利通過了合作方的安全審計流程,也看到不少企業由于控制機制薄弱而與大筆交易失之交臂。”
為了確保中小企業不再讓安全威脅從殺毒軟件的身邊溜掉,管理者自然需要為安保體系添加新的助力。
“即使企業的規模還不是很大,制定理想的IT安全政策仍然非常重要:數據丟失預防、密碼復雜性監控、信息加密、移動設備使用等等都是必須考慮的內容,”Security Compass公司咨詢師Yuk Fai Chan建議道。“首先根據以上事務制訂政策,然后想辦法將其變成現實。”
根據Cobb的說明,即使最低限制的安全防護理念也要求企業在殺毒軟件之外將網絡防火墻配置及更新、安全配置工具、系統修復及漏洞控制等內容添加到政策當中,更不用說效果顯著的加密技術、自動備份與恢復工具等等。
此外,中小企業也絕不能忘記一點:外部惡意活動并不是安全威脅的惟一內容。
“內部威脅同樣時有發生,這類事故可能源自任何有權訪問辦公場所及企業內部網絡的家伙——客戶、分包商甚至是心懷不滿的員工,”Chan指出。“因此,我們同樣需要在內部網絡中組織起正確的訪問控制機制,并從內部角度出發定期對IT基礎設施進行評估。”
事實上,評估應該是這場安全軍備競賽中中小企業明確發展方向的最好方式。
“通過定期漏洞掃描及主要產品升級后的滲透測試了解自身弱點,”Alert Logic公司的John Whiteside建議道,“攻擊者們一直在尋找可資利用的目標——缺乏補丁更新的服務器或者暴露在外部環境下的服務——這是一場速度的比拼,只要我們搶先修正問題就能夠獲勝。”
由于很少有中小企業擁有完備的內部評估資源,管理者要做的是從外界需求幫助。
“幸運的是,許多IT安全流程本身就采取外包機制:比起由專業公司委派專門的安全團隊及設備,外包型方案的成本顯然更低,”Cobb在一篇名為《每家小型企業都必須擁有的六大安全服務》的文章中中寫道。這篇文章提供了許多極具價值的安全指導信息,能夠幫助中小企業順利找到適合自己的安全服務供應商。“外包安全產品能夠在帶來安全保障的同時,以潛在方式降低資本流失與運營支出。”
原文地址:http://www.darkreading.com/smb-security/167901073/security/vulnerabilities/240146877/what-antivirus-shortcomings-mean-for-smbs.html.html
