中小企業做不好資安的5大關鍵因素

Alt text

# 前言

你還覺得駭客只攻擊大企業嗎?你還覺得你的公司規模小,駭客看不上嗎?隨著中小企業開始擁抱數位轉型,缺乏資安資源的數位領域新手 – 中小企業,開始成為駭客的最佳標靶。根據 CISCO 2021 年的中小企業數位轉型報告,在亞洲太平洋地區( APJC ) 56% 的中小企業在過去 12 個月中曾經歷網路安全事件,其中攻擊手法都是再常見不過的項目,包含: DDoS 攻擊、惡意軟體和社交工程等。




# 中小企業資安五大問題:預算、人力是關鍵

Cymetrics 做為中小企業資安的好夥伴,以解決中小企業資安問題為目標,在經過多次的使用者訪談,歸納出五個中小企業在資安上遇到的主要問題,根據問題被提及的次數排序如下:

# TOP 1: 資安預算少

,是我們訪談裡面最多中小企業資安人員提到的關鍵字。預算往往是一個團隊或公司決定資安配置的主要考量。很多 MIS 人員,花了很多時間在精打細算,只希望用有限的預算,換來最有效率的配置。然而資安產品真的大多不便宜,這也成為中小企業在保護公司數位資產時的一大阻力。

# TOP 2: 資安人力不足

中小企業資安大多是由 MIS 團隊兼任負責,光是處理公司內部軟體系統、硬體架構等問題,就已經手忙腳亂,對於資安只能被動防守,能將防火牆、防毒軟體裝好,下一步就是祈禱不要有事發生。在中小企業中,相關人員對於公司整體資安狀況,就算有很全面的了解,也大多沒有額外的人力可以解決。

Alt text

# TOP 3: 沒有專業資安團隊,資安知識有限

資安是一個博大精深的領域,中小企業往往希望MIS人員包山包海,除了架網路、修電腦,還要點開資安這顆技能樹。然而,在我們的訪談中,常常聽到的是MIS人員必須大量依賴谷歌大神作為資安導師,很多特定問題甚至連谷歌大神都解不了,就只能「先放著」,等待問題被駭客發現的那一天。

# TOP 4: 資安好複雜,不知道要從哪裡開始

資安產品百百種,要攻還是要守,要攻到什麼程度?又要守成什麼樣子?對於不是資安專業出身的 MIS ,只能在對公司資安沒有完整了解的情況下,相信系統整合商或是資安廠商說的一切。每間公司的資安問題都不一樣,不對症下藥,什麼都治不到。

# TOP 5: 老闆缺乏資安意識

最後,最關鍵的人物,就是老闆。大多數中小企業老闆,知道資安「應該」做,但在被攻擊勒索之前,做的都不夠。我們在使用者訪談中最常聽到 MIS 說的一句話是「我們知道資安很重要,但最後要用什麼還是交給老闆決定。」中小企業的資安,老闆的資安意識相當重要,一但缺少老闆支持,公司資安基本上不會理想。

統整上述問題,預算、人力、能力是三大關鍵。在老闆有資安意識的情況下,我們建議中小企業對於公司數位資產先進行一次資安曝險檢測,盤點公司的資安漏洞,修補後再對症下藥搭配基本的資安防護,才能確實將駭客擋在門外。




# 資安短板理論:只要桶子有一個低處,水就會流出

資安理論上常引用的短板理論解釋資安防禦的狀況:假設有一個由長度參差不齊的板子拼成的水桶,只要其中一個板子過低,不管其他板子多長,裡面承裝的水都會從最低處流出。想像公司的數位資產就是桶子裡的水,而每一塊板子就是公司每一個資安項目的狀況,比起集中資安火力在幾個資安面向,平均且持續的把關每一項風險的狀態,才能有效保護公司的資產。

Alt text

為能跟上駭客腳步,現代化的資訊安全策略應該從傳統的「合規導向」,演進成「駭客視角的風險導向」,重點不在於投入高額的預算,而是從持續性的資安檢測開始,早駭客一步改善可能被突破之缺口,化風險為企業競爭優勢。中小企業的最佳資安策略不外乎全面性掌握駭客動向,主動在每個脆弱的環節,加強防禦,才能最有效地把駭客阻擋在門外。如果對於資安曝險檢測有興趣,也歡迎與 Cymetrics 聯繫。

Tag

Recommendation

  1. 去中心化借貸平台 Lendf.Me 攻擊分析
  2. 防駭客的基本認知 : 備份與還原
  3. Android App 逆向入門之四:使用 Frida 進行動態分析
  4. 關於我在 Glints 找到的高風險漏洞
  5. CPSA(CREST Practitioner Security Analyst) 資安分析師考試心得

Discussion(login required)