2020年全球COVID-19大流行正改变着世界各地中小型企业。虽然中小型企业目前不是网络犯罪分子的头号目标(大型公司,政府和关键基础设施是犯罪分子的首要目标),但是这并不意味着中小型企业就可以对网络安全放松警惕。
事实上,中小型企业受网络攻击所造成的损失并不低。据IBM报告称,仅内部威胁相关事件的平均成本就高达768万美元。许多类型的网络攻击和危险仍然对中小型企业构成风险。以下是我们列出的2020年最值得你关注的中小型企业(SMB)网络安全数据。
1. 中小型企业内部相关的网络事件的平均成本:768万美元
根据企业的规模和攻击的范围不同,内部威胁导致的网络事件的成本会很大的差异。据IBM和 Ponemon Institute联合发布的《2020年全球内部威胁成本报告》显示,中小型企业(员工人数少于500人的)在每次网络安全事件上的平均支出为768万美元。
2. 43%的中小型企业没有任何网络安全防御计划
在美国和英国,在那些员工人数少于50人的公司中,有超过五分之二的企业没有任何类型的网络安全防御计划。BullGuard在2020年1月的一项研究显示,许多企业选择的是不计后果的做法:他们就像是掷骰子祈求好运以保护他们的数据(以及客户的数据)免受小型企业网络攻击。
3. 五分之一的中小型企业未采取任何终端安全保护措施
BullGuard对3083家中小企业的调查显示,在英国和美国,23%的小企业忽视使用终端安全机制。此外,其中使用终端安全保护的受访者有32%的企业表示,他们只考虑免费的、消费型网络安全解决方案。
4. 60%的中小企业忽视网络攻击和数据泄露风险
BullGuard调查的其他数据进一步削弱了我们对一些中小企业未来的希望。尽管近五分之一(18.5%)的小企业遭遇过网络攻击或数据泄露,但有60%的受访中小企业认为他们不太可能成为网络罪犯的目标。
然而,如果你有了解过最近的网络安全报告或文献,你就会知道,网络犯罪分子不会因为公司太小或太大而不感兴趣的。
BullGuard首席执行官Paul Lipman表示:“小型企业也不能幸免于网络攻击和数据泄露,它们往往是因为没有优先考虑安全问题而成为攻击目标。夹在不完善的消费者解决方案和过于复杂的企业软件之间,许多小企业主选择忽视网络安全问题。然而,仅此一次攻击,就足以让一家企业垮掉。”
5. 2019年数据泄露事件中小型企业受害者占28%
据Verizon的2020年数据泄露调查报告(DBIR)显示,近三分之一(28%)的数据泄露涉及小企业。这意味着企业不仅要保护自己的数字资产和网络形象,还要保护客户的安全和隐私。
6. 超过30%的中小型企业的头号威胁是网络钓鱼
网络钓鱼多年来一直是中小型企业的主要敌人——今年也不例外。Verizon的2020年DBIR报告显示,网络钓鱼是主要的威胁,其次是使用窃取的凭证和密码转储器。
(来源于Verizon的2020年DBIR报告)
7. 85%的MSP表示勒索软件是2019年中小企业最大的恶意软件威胁
根据Datto在《Global State of the Channel Ransomware Report》(全球渠道勒索软件状况报告)中指出,五分之四的托管服务提供商(MSP)将勒索软件攻击视为中小企业面临的主要恶意软件威胁。
8. 63%的中小企业称在过去12个月遭遇过数据泄露
据2019年Keeper Security和Ponemon Institute研究的数据显示,遭遇数据泄露的中小企业数量在2019整年增加到63%。在前两年的报告中,2018年占58%,2017年占54%。
9. 少于1000人的中小企业有46%因数据泄露导致5-16小时宕机
思科的2020年CISO基准研究数据表明,数据泄露导致的停机是规模超过1万人的公司所面临的一个问题。根据思科《保护现在和未来》的报告显示,拥有250-449名员工的中小企业数据如下:
- 43%的企业停机时间为0-4小时;
- 45%企业停机时间为5-16小时;
- 12%企业停机时间为17-48小时。
规模更大的企业,其数据差异更大。如下图:
(来源于思科《保护现在和未来》的报告)
10. 47%的中小企业认为保障数据安全是最大的挑战
VIPRE的中小型企业安全趋势调查结果显示,受访者中近一半的CISO和IT专家认为数据安全是他们最大的挑战。另外两个最大的障碍是防止数据丢失(42%)和提高员工的安全意识(41%)。
11. 70%的中小企业员工的密码被盗或丢失
根据2019年Keeper Security和Ponemon Institute的数据表明,每10名员工中就有7人的密码被盗。为了公司的利益,企业至少要设置访问权限,以减少这种凭证被盗带来的潜在风险。
12. 2019年数据泄露最严重的是凭证,在所有类型中占52%
对中小企业和其他企业来说,凭证泄露仍然是一个问题。Verizon2020年DBIR报告显示,2019年有超过一半的中小企业称出现凭证泄露的问题。
13. 中小企业数据泄露有74%是因为外部威胁者导致的
根据Verizon的2020 DBIR报告显示, 到目前为止,2019年针对中小企业的数据泄露绝大多数是由外部威胁者造成的。
14. 针对中小企业的数据泄露有83%是出于经济原因
Verizon的2020年DBIR数据表明,如今大多数网络罪犯主要喜欢加密货币和电信欺诈。简单地说,十个数据泄露事件中有八个是出于经济动机。他们指出,网络罪犯发动中小型企业网络攻击或数据泄露的其他动机是:
- 间谍活动(8%)
- 娱乐(3%)
- 怨恨(3%)。
15. 22%的中小企业在没有网络安全威胁防范计划的情况下,转而进行远程办公
COVID-19全球大流行迫使世界各地的企业以前所未有的速度让员工在家工作。但这对中小企业的网络安全准备意味着什么呢?Alliant的网络安全的研究表明,有五分之一的中小企业在没有明确的网络安全缓解或预防措施的情况下就直接选择了远程办公。
现在,有超过半数(52%)的中小企业表示,在疫情爆发之前,它们没有定期做员工远程办公的计划。考虑到这一点,如果有网络安全漏洞和风险,可想而知其后果会是什么样的!
还有更糟糕的是Keeper Security / Ponemon Institute的调查得出的结果。他们的数据显示,在接受调查的SMB受访者中,有39%的中小企业表示他们没有任何网络安全响应计划。所以这意味着,当网络犯罪分子袭击他们的系统时,他们没有一个好的计划来应对网络相关事件。
为什么中小企业更容易受到网络攻击和数据泄露
这里有一个普遍的观点:中小企业之所以面临着更大的网络犯罪风险,是因为他们缺乏资源,如资金、人员、时间等,来有效监控和减轻网络威胁。然而,Verizon的2020 DBIR调查结果表明,中小企业和大型组织之间在各自的安全事件检测和响应能力方面的差距有所缩小。部分原因是中小型企业越来越多地使用云、软件即服务(SaaS)和其他可用的现代资源。
然而,对消费者来说不幸的是,一些企业管理人员和高管仍然觉得他们的企业太小,黑客不会感兴趣。所以他们可能不会投入时间、金钱、培训和其他资源来保护他们的业务以及他们的客户。
如何保护中小企业免受SMB网络安全攻击
针对以上问题,锐成信息建议中小企业首先给网站服务器配置SSL证书,以获得网站HTTPS安全保护。另外还需要其他安全措施以提高中小型企业的数字安全性,如下所示:
- 防火墙、防病毒和终端安全解决方案
- 网络渗透测试
- 网络安全审计
- 计算机使用、设备和密码策略
- 访问管理和控制策略与程序
- 电子邮件安全解决方案(如反钓鱼解决方案、垃圾邮件过滤器、电子邮件签名证书S/MIME证书)
- 员工网络安全意识培训和网络钓鱼模拟
- 事件响应和容灾计划
- 当前数据备份
根据The Manifest 的最新调查数据显示:中小企业最常用的也是最受欢迎的网络安全措施包括:
- 限制员工访问用户数据(46%)
- 数据加密(44%)
- 要求用户设置强密码(34%)
- 对员工进行数据安全培训和最佳实践运用 (34%)
结论
关于中小型企业的网络安全统计数据以及针对网络安全威胁的建议措施总结如下:
- 根据IBM和Ponemon Institute的数据表明,中小型企业内部相关网络事件的平均成本为768万美元。
- 中小型企业需要赶紧行动起来,制定减轻网络安全威胁及事件应对计划。
- 消费型网络安全产品无法保障中小企业的安全。
- 网络钓鱼仍然是攻击中小企业的主要威胁手段。
- 在被调查的企业中,中小型企业发生故障的比例最高,会导致5到16个小时宕机。
- 企业安全不仅需要SSL证书,还需要防火墙、电子邮件安全保护、安全CDN、双重身份验证(2FA)和终端安全保护。
- 确保所有软件、硬件、服务器和其他设备都更新至最新版本。
本文转载于https://www.racent.com/blog/15-SMB-cyber-security-statistics-in-2020
来源:freebuf.com 2020-12-29 10:00:59 by: 锐成信息Racent
请登录后发表评论
注册