小型企业目前面临的3大网络安全威胁

技术迅速吞噬了我们周围的世界。我们所做的一切，无论是在企业层面还是个人层面，似乎都以一种或另一种方式涉及技术。然而，随着这种情况的发生，小企业仍然是黑客的首要目标，受到网络犯罪打击的组织数量每年都在增加。根据ponemon Institute的《2017中小企业网络安全状况》报告，有61% 的企业经历了网络攻击2017年，比上一年的55% 增长了6%。数据泄露从2016年的50% 上升到54%。

今年有望实现更快的互联网，更多的连接性，以及更多的网络安全威胁。来自非营利协会信息安全论坛 (ISF) 的威胁地平线系列的威胁地平线2018表明，随着连通性的增长，信息安全威胁格局将会增加。

1.物联网 (IoT) 泄漏。

随着实时数据收集变得越来越重要，物联网也在增长。从监控流量和收集实时患者信息到优化工业设备的正常运行时间，组织正在大规模获取物联网设备。但是，这些设备并不总是安全的。ISF警告说，这为组织创造了潜在的后门。

物联网之所以如此出色，是因为它由数十种隐藏在视线中的设备组成。无论是警报系统，GpS，网络摄像机，HVAC还是医疗设备 (例如起搏器)，都很难猜测其中哪些设备甚至首先连接到internet。但是，由于物联网设备缺乏内置安全性，因此它们通常很容易成为黑客的目标。

攻击者通常使用自动化程序来定位物联网设备。找到后，攻击者尝试使用默认的管理员凭据连接到设备。而且由于大多数用户不会更改它们，因此对于攻击者而言，这通常是成功的。一旦进入，黑客就可以轻松安装恶意软件，基本上可以控制系统。

EyeOnpass首席执行官Daniel Soderberg建议在购买新设备时立即更改所有密码。“我不会使用默认密码操作任何设备，” 他警告说。“默认密码通常是打印出来的，可以免费获得，使用户面临各种网络危险。”

2.不透明的算法。

威胁地平线2018报告还警告了越来越多的算法使用。报告称，随着组织继续完全信任算法与关键系统的操作和决策，它们失去了对系统功能和交互的可见性。

算法之间缺乏适当和透明的交互会带来安全风险，以防算法之间的意外交互造成事件-例如美国国债2014年10月的 “闪电崩盘”，在算法自我纠正之前，债券收益率急剧下降。

ISF董事总经理史蒂夫·德宾 (Steve Durbin) 表示: “我们知道他们会不时地做一些古怪的事情。”“你需要了解你对算法系统的一些了解。我们在算法之上构建越来越多的系统 -- 工业控制和关键基础设施。在这个领域，我们需要解决的风险越来越大。“

为了能够管理这些风险，组织需要有一个人来监控通常留给算法的操作和决策的执行。该报告建议组织了解算法控制系统带来的风险，并知道何时让人类参与。此外，他们必须更新其代码维护策略，并确定处理与算法相关的事件的替代方法，尤其是在无法选择保险的情况下。

3.安全研究人员正在保持沉默。

安全研究人员通常是举报人。他们传授有关数字漏洞的知识，确保系统安全并且用户的数据保留在预期的手中。当他们被政府或私人公司沉默时，这通常是所有用户的损失。

在大多数主要行业中，随着软件取代硬件，用户和企业依靠研究人员发掘漏洞并将其公之于众，作为正在进行的提高安全性努力的一部分。然而，最近，制造商一直在通过采取法律行动来应对此类行为，而不是与研究一起修复这些漏洞。ISF预测，这种趋势只会增长; 将客户暴露在制造商决定隐藏而不是修复的漏洞中。

为了保护自己，ISF建议包括小型企业在内的技术购买者在采购过程中坚持透明度。它建议制造商在系统中发现漏洞时，通过奖励研究人员而不是试图惩罚他们来更加积极地对待它。

考虑到研究人员可能会在工具2018年中发现漏洞而不报告，因此小企业主必须进一步保护自己，即使这意味着与其他企业合作以提出负担得起的解决方案。

透明度是关键。

在安全方面，透明度可以发挥很大的作用。但是这部分早就留给了安全专业人员。如果所有用户都反映出某种程度的透明度，那么网络空间的安全性将更容易实现。如果非技术经理和领导者了解良好和不良保护的影响，他们将更负责任地使用他们拥有的网络资产。员工会更加小心他们引入网络的设备。

作为企业主，您的工作是仔细管理连接的IoT设备的库存。“有些东西有互联网功能，你没有要求也永远不会使用，” SolarWinds的利昂·阿达托说，任何不需要连接到互联网的设备都应该断开。