數位時代為企業帶來了前所未有的機遇,但也帶來了重大威脅:網路攻擊。
近年來,這些攻擊的頻率和複雜程度激增,造成了一系列財務和聲譽損失。
在大流行期間,醫院經常成為勒索軟體攻擊的目標,危及患者的健康。
但企業也越來越成為目標——而且不只是大企業。
員工人數少於 10 人的公司遭受網路攻擊的比例過去三年從23%增加到36%根據保險公司 Hiscox 的年度報告。
付款轉移詐欺是最常見的網路犯罪形式
「支付轉移詐欺似乎是最主要的網路犯罪形式,三分之一的企業在過去 12 個月內都經歷過這種情況,」Hiscox 網路教育和諮詢部的 Eddie Lamb 告訴 Euronews Business。
在此類攻擊中,網路犯罪分子試圖轉移或竊取原本發給合法收件人的付款。
此外,勒索軟體攻擊仍在持續,網路犯罪分子上個月針對大曼徹斯特警察部隊發動了攻擊。
資料竊取也經常發生:「企業的機密資料和智慧財產權受到高度關注,」蘭姆說。
Lamb 表示,一次攻擊的平均成本為 15,000 歐元,但八分之一的受攻擊企業遭受的損失高達 238,000 歐元或更多。此外,「五分之一的受訪者表示,他們所經歷的網路攻擊足以威脅到他們業務發展的生存能力,」他說。
經濟損失和收入損失並不是網路攻擊的唯一後果。
「這不僅僅是網路犯罪造成的經濟損失,」蘭姆說。 “它還在考慮更多的無形因素,例如品牌損害或與消費者信任關係的破裂,這可能會對您的業務產生長期影響。”
在資料外洩的情況下尤其如此,有時資料比洩漏的電子郵件清單更敏感。
例如,美國網路安全公司 FireEye 在 2020 年遭到駭客攻擊(由於攻擊的複雜性,可能是由某個民族國家發起的),並且遺失了一個工具包。
雖然這種範圍的網路攻擊很少見,但各種規模的企業都應採取預防措施,以確保更好地防範此類攻擊。
如何防止網路攻擊?
蘭姆表示,沒有什麼「靈丹妙藥」可以完全防止攻擊,但他仍然建議企業可以採取措施來減少其脆弱性。
他的第一個建議是在具有“端點檢測和響應(EDR)”功能的設備上安裝現代防毒技術。
EDR 允許即時監控威脅,並可以自動採取行動來防止或減少傷害。
蘭姆說,多因素識別或使用生物辨識技術是可以採取的其他措施。
英國國家網路安全中心也強調了正確備份其資料的重要性小型企業網路安全指南。
也提供線上培訓關於要採取的不同步驟以及檢查工具,兩者都專門針對小型企業。
最後,任何網路安全鏈中最薄弱的環節之一是人為錯誤。為了減輕這種風險,必須對員工進行最佳網路安全實踐的教育和培訓。
「網路犯罪所使用的策略不斷演變。因此,我們需要掌握最新趨勢,」蘭姆說。
一些公司向個人和企業提供審計,以深入了解他們的網路安全成熟度。
如果發生什麼事呢?
Lamb 警告說:“我們的研究表明,53% 的受訪者在過去 12 個月內經歷過一次或多次網路攻擊,這表明網路犯罪的可能性確實很大。”
他補充說:「企業應該根據網路攻擊何時發生而不是是否發生來為網路攻擊做好準備。」他堅稱,「最重要的特徵…不一定是是否發生過資料洩露,而是如何處理它」。
為此,制定明確且全面的安全策略(包括事件回應計畫)非常重要。
除了擁有專門的團隊或負責網路防禦的人員外,該計劃還應概述發生網路攻擊時應採取的步驟,以確保迅速、協調的回應並最大限度地減少停機時間。
