小型企业是网络犯罪分子最喜欢的目标—2018年网络攻击率上升424%
可能已经听过经常被引用的小型企业网络安全统计数据,这类似于“60%遭受网络攻击的小公司在六个月内停业。”然而,事实证明,通常归因于这个小型企业网络安全统计数据的组织,即国家网络安全联盟(NCSA),实际上建议不要引用此统计数据,原因如下:
“这一统计数据并非来自NCSA研究,我们无法验证其原始来源。NCSA几年来没有积极参考这个统计数据,但我们发现它被包含在我们网站上的过时信息图中。我们已删除所有这些参考文献,但不建议其正在使用。鼓励媒体,决策者,小企业和其他成员依赖更多当前和明确来源的数据。“
在一个方便的资源中汇总了应该知道的一些小型企业网络安全统计数据。讨论为什么中小型企业制定如此有吸引力的目标以及可以采取哪些措施来保护企业的业务。
顶级小企业网络安全统计
一份来自VIPRE Security的2017年研究,该研究表明,三分之二(66%)的中小型企业将遭受灾难性后果,并且在违规后将不得不关门。他们对250家中小型企业的IT经理进行的调查表明,如果发生此类事件,企业将至少关闭一天或完全停业。
虽然希望对小企业网络安全相关统计数据的研究表明,这个数字在过去两年中有所下降,但不幸的是,实际情况并非如此。我们编制了一份清单,并将讨论希望了解的有关小型企业和中型企业的一些网络安全统计数据:
所有数据泄露的43%针对中小型企业
Verizon最新的数据泄露调查报告(DBIR)显示,几乎一半的违规事件发生在小型企业。这个统计数据不言自明,不需要更多的解释。
2018年小企业的正宗和新违规增加了424%
网络安全公司4iQ在其2019年的身份违规报告中 指出,网络犯罪分子在2018年以过度的速度针对小型企业进行网络攻击 – 比上一年增长近425%。
83%的中小企业缺乏资金来应对网络攻击的影响
InsuranceBee对 1,300多名中小企业主进行的网络调查显示,超过80%的企业缺乏从网络攻击或数据泄露中恢复所需的资金。在那些报告为此类事件设置金钱的人中(17%),很少有人考虑过如果发生攻击他们可能面临的声誉或法律费用。这将是他们可能暂时感受到的任何胜利的嗡嗡声。
平均网络攻击带有近300万美元的价格标签
在计算网络攻击的成本时,您必须考虑许多因素:您可能需要支付的任何赎金的成本,可能丢失的任何数据的成本,持续的系统中断,停机时间,违规罚款,法律费用 – 更不用说潜在的诉讼。Keeper Security和Ponemon Institute的2018年中小型企业网络安全状况报告指出,停机时间约占这些费用的156万美元。
有关企业面临的“额外”成本的一个例子,最近的AMCA数据泄露事件就是最佳选择。该公司还作为Retrieval-Masters Creditors Bureau,Inc。运营,已经支付了数百万美元的“额外”费用 – 420万美元用于报告违规行为,380万美元用于通知等。这是在进入处罚和诉讼之前….
5.中小企业在违规期间经历8小时以上的停工时间
思科2018年安全功能基准研究显示,40%的拥有250-499名员工的中型企业“由于过去一年严重的安全漏洞而经历了8小时或更长时间的系统停机。”
6.在323个小企业的电子邮件中有1个是恶意的
赛门铁克的2019年互联网安全威胁报告显示,与在大型组织工作的人员相比,较小组织的员工更容易受到垃圾邮件,网络钓鱼和电子邮件恶意软件等电子邮件威胁的攻击。
7. 60%的中小企业引用员工疏忽作为数据泄露的原因
Keeper Security / Ponemon Institute的中小企业报告显示,报告疏忽员工和承包商的中小企业数量在2018年导致数据泄露的原因增加到60% – 而外部威胁(黑客)被报告为37%的原因。
8. 54%的中小型企业相信他们的公司“太小”是勒索软件的目标
Keeper Security / Ponemon Institute的SMB报告显示,一些中小企业认为他们的组织太小而不能成为网络犯罪分子的有吸引力的目标。但是,如果您几乎阅读过任何最近的网络安全报告或文献,您就会知道没有公司“太小”或“太大”,以至于网络犯罪分子不会对此感兴趣。就像现代版的金发姑娘,如果她是一个网络犯罪分子而不是闯入熊家的闯入者,她会毫不费力地尝试每家公司的网络防御来找到一个“恰到好处”的目标。
9. 77%的中小型企业预计将外包网络安全
在2019年SMB网络安全状况的Continuum报告中,近80%的小企业认为他们的网络安全任务将在五年内外包。
10. 62%的中小企业缺乏处理网络安全的内部技能
尽管令人不安,但许多小企业缺乏内部人员也就不足为奇了。但是,这是一种需要停止考虑对小企业的攻击最常见的做法。Continuum的2019年小型企业网络安全报告显示,近三分之二的中小企业表示他们没有员工处理网络安全功能,56%的人表示他们没有任何网络安全专家。
11. 62%的网络钓鱼模拟挂钩至少一组用户凭证
Duo的研究表明,超过一半的网络钓鱼活动导致至少一组用户凭证被暴露。此外,同一项研究表明,64%的网络钓鱼活动涉及至少一个过时的设备。
12.小型企业每年在网络安全产品上的投资不到500美元
这个数字极低的数字是瞻博网络研究2018年研究表明小型企业每年在消费级网络安全产品上花费的平均数量。考虑到中小型企业仅占网络安全市场的13%,因此小型企业对网络犯罪分子构成如此有吸引力的目标也就不足为奇了。
13. 55%的小企业认为资源和知识是网络安全规划的挑战
商业改进局(BBB)的一项调查表明,制定网络安全计划以增加小企业网络安全面临的最大挑战是缺乏资源或知识。
14.由于员工密码弱或被盗造成的网络攻击平均为383,365美元
您是否知道由于受损的员工密码导致的网络攻击平均成本为383,365美元?这是Keeper Security / Ponemon Institute SMB报告的调查结果之一。
15. 68%的小企业没有考虑灾难恢复
Nationwide 报告称 ,超过三分之二的小企业主没有实施灾难恢复(DR)计划。此外,该报告显示,71%的小企业主选择不购买商业中断保险。
为什么中小型企业更容易遭受网络攻击和数据泄露 不幸的是,对于消费者来说,许多企业主仍然说服自己,他们的业务“太小”,不会引起黑客的兴趣。CPO杂志报道,过去一些经历过数据泄露的企业甚至会出现这种情况!
实际上,小型和中型企业为网络犯罪分子制定诱人的目标也就不足为奇了。由于规模小,资金有限,中小型企业通常可以获得比大型企业更少的人员,信息和技术资源。考虑到小型企业是美国经济的推动因素,这一点尤其重要。美国小企业管理局(SBA)最新数据显示 ,截至2015年,美国有3020万家企业。其中,有590万人已经付款。雇员。
一家拥有超过85名员工的小公司,我们当然不会坐在这里,抨击那些在小企业工作的人,说员工是万恶之源。然而,由于上级管理层做出的决策,员工确实对每个企业(无论是小企业还是其他企业)构成严重风险。缺乏知识或培训以避免网络威胁的员工有能力通过点击一个网络钓鱼电子邮件中的链接这样简单的方式无意中使您的公司面临风险。但是,如果IT安全人员和其他员工都没有得到他们需要的培训,资金或资源,我们怎么能容忍他们呢?
如何保护小型企业免受SMB网络安全攻击
应该获得最大程度的保护的安全措施,以提高中小型企业的数字安全性。用于创建多层保护的一些此类方法包括:
1.防火墙,防病毒和端点安全解决方案
2.网络渗透测试
3.建立计算机使用,设备和密码策略
4.实施访问管理
5.电子邮件安全解决方案(例如反网络钓鱼解决方案,垃圾邮件过滤器,电子邮件签名证书)
6.员工网络安全意识培训和网络钓鱼模拟
7.创建事件响应和灾难恢复计划 定期创建和维护数据备份
8.为企业部署SSL证书作为基础的安全防护