为什么歹徒挑小企业

美国中小企业现在preferred targets for cybercriminals – not because they are lucrative prizes individually but because automation makes it easy to attack them by the thousands, and far too many of them are easy targets.

特约作家,CSO |

请问您的企业的规模真的重要到网络罪犯?嗯,是的,没有。

大多数专家将与乔迪·韦斯特比,全球网络风险的CEO,同意时,她说,“这是使企业有吸引力的数据,而不是规模 - 尤其是如果它是美味的数据,如大量的客户联系信息,信用卡数据,健康数据,或有价值的知识产权。”

不过,多数专家也说,现实情况是,中小型企业(SME)是更有吸引力的目标,因为他们往往是不太安全的,因为自动化使得现代网络罪犯对于投资小批量生产的攻击。

这意味着一个小企业主的假设,他或她可能太微不足道,吸引网络罪犯的兴趣可能在过去是真实的,但不是现在。

[您的企业无法承担网络犯罪的成本]

格雷格·香农, chief scientist at the CERT Division of the Software Engineering Institute at Carnegie Mellon, said he believes that size is, “somewhat of a red herring. It’s more about scale.”

格雷格·香农

格雷格·香农,首席科学家,软件工程学院,卡内基梅隆CERT的司

但是,他补充说,“小企业是一个巨大的目标,因为攻击自动化。罪犯不关心他们攻击谁,而任何给定的业务是不值钱,他们,让他们来攻击数千乃至数百万的病毒或勒索。”

那些由自动攻击的受害者往往会陷入什么专家称之为“唾手可得”的范畴。中小企业往往是该类别量比较大的企业多。

安全厂商卡巴斯基注意的是,“大企业成为更好的防守使网络犯罪分子向下移动业务食物链。”

杰森·希利,大西洋理事会的网络治世倡议的主任,他说,“规模较小的企业一般都比较脆弱,因为只有最优秀的企业能负担得起的最好的防御。”

大卫·伯格,全球和美国咨询网络安全的领导者在普华永道表示,问题越来越严重,因为规模较小的公司正在削减他们的安全开支。他在普华永道近期的说信息安全的全球状况调查报告2015年“我们发现,小企业,年收入不到1亿$,切割的安全支出的20%在2014年,而中 - 那些拥有1亿$至$ 999产品万的收入 - 和大型企业由5%提高安全的投资。”

大卫·伯格

大卫·伯格,全球和美国的咨询网络安全的领导者,普华永道

该研究还发现,中等规模的公司的妥协,从2013年上升64%,至2014年“我们认为威胁的演员都开始目标介质层企业,因为它们通常无法比拟的大公司的先进的网络安全技术和工艺,”伯格说过。

和Verizon通讯2013数据泄露调查报告发现接近数据泄露的62%,这一年是在中小企业层面。

其中的弱点,使中小企业罪犯吸引力,引由多个专家:

  • Lack of time, budget and expertise to implement comprehensive security defenses.
  • 工资单上没有专门的IT安全专家。
  • 缺乏风险意识。
  • 缺乏员工培训。
  • 未能保持安全防护更新。
  • 外包安全不合格的承包商或系统管理员
  • 未能安全端点。

香农同意该清单上的项目,但指出,“这些都是真正的5年或10年前。”

什么是现在不同,他说,是中小企业“更互联”与过去相比。而不是只是一个简单的网站或电子邮件帐户,他们都参与了更为复杂的网络,包括内部部署,与客户和合作伙伴的移动和云计算和交互连接。

通过这一切,生成的数据“是更有价值的罪犯,”他说,并指出,“在过去失去了几封电子邮件是一种烦恼,但现在它的关键。”

另一个原因中小企业已经成为更具吸引力的是,他们被看作是一个切入点,投入较大,更有利可图,目标。

亚历克斯·莫斯,首席技术官兼管理合伙人在Conventus说,他认为许多中小企业更不是最终目标的一种手段。

“随着B2B数字世界继续变得更交织在一起,大公司都要求他们的供应商与内部系统,包括采购,物流,营销,人力资源,工资,连成环境和维护相互作用,”他说。“这些关系,并要求创建访问到上级组织 - 的最终目标。”

这也是从赛门铁克安全响应,在电子邮件中说,CSO,信息“攻击者经常使用的中小型企业作为垫脚石获取更大的企业网络。”

普华永道伯格对此表示赞同,并指出,“规模较小的组织越来越多地作为供应商,承包商,和大公司的商业合作伙伴,并因此可能可信接入的网络,这些合作伙伴的数据。”当他们正在削减开支上的安全,他们的脆弱性增加。

“有花多少钱和公司的安全程序的有效性之间存在非常明显的相关性,”伯格说。

尽管这些严峻的现实的,专家说有办法中小企业可以提高他们的安全没有打破他们的预算。

希利说,他认为事情可以改善今年以来,“随着越来越多的中小企业外包给云,让他们更好地级弹性和安全性的订单。”

jason healey

杰森·希利,导演,大西洋理事会的网络治世倡议

香农还建议迁移到云计算,并表示另一种方式变得不那么容易,就是要“多元化一点 - 不要把所有的鸡蛋放在一个篮子里。有人员在一个系统,一个用于生产。使用不同的硬盘驱动器或不同的操作系统。它会使你更有弹性。”

监管者们也更密切地关注中小企业。在零售行业中,最新版本支付卡行业数据安全标准(PCI DSS),其生效1月1日的,需要第三方供应商或承包商,这一直是各大企业的弱点更严格的安全标准 - 在高调的方式说明由灾难性的目标断裂a little more than a year ago.

在整个商业世界,莫斯说,这是不现实,也不公平要求中小企业具有“相同的复杂控制和监控大型企业的杠杆作用。但是,应该可以预期,他们已经基本控制,而大型企业的重点是严格限制,管理,并监督其供应商的访问,”他说。

这一切并不意味着大企业不再是主要目标。伯格注意到,有两种去年高调零售商违反“取得了超过5000万支付卡记录每个。你根本不会找到回报与小公司的水平。

“大公司也往往有更多的高价值的知识产权和商业秘密,不得提供直接的经济收益,但是从长远来看,可能是显著更有价值,”他说。

赛门铁克指出,在2013年,“有针对性的攻击增加91%,持续时间平均的三倍。组织,无论是或大或小,认为将保持吸引力为各类犯罪分子的有价值的信息。”

而希利指出,“这不是一个容易的博物馆抢一套房子,更容易抢夺比卢浮宫博物馆。然而抢劫案仍然将目标卢浮宫,因为这是真正的珍宝“。

这个故事,“为什么罪犯对小企业的选择”最初发表CSO

加入对网络世界的社有个足球雷竞技app区Facebook的LinkedIn对那些顶级心态的话题发表评论。
有关:

版权所有©2015年Raybet2

IT薪资调查:结果是