作為網絡安全的“弱勢群體”，安全意識、管理、人才、資金捉襟見肘的中小企業（編者：也包括隻配備瞭小型安全團隊的大型企業）正面臨越來越嚴峻的“安全鴻溝”問題。

近年來，網絡威脅的“溢出”、“下沉”和“降維打擊”成為新的趨勢，無論是高級持續威脅APT的“民主化”、勒索軟件即服務RaaS的產業化，還是高級網絡安全工具/漏洞利用的長尾化，都對缺少足夠預算和實力的中小企業構成更大的威脅。根據2019年Zogby Analytics報告，數據泄露可能導致25%的中小企業破產。

在過去的幾年中，我們看到針對中小企業的網絡安全攻擊快速增長，包括BEC商業電子郵件攻擊、端點威脅，勒索軟件攻擊已成倍增加。與擁有龐大網絡安全團隊的大型企業不同，中小型企業所面臨的困擾包括缺乏專用資源、設備管理不善、缺乏培訓以及IT管理框架水平降低等。

盡管如此，中小企業的CISO仍然可以建設一支精幹高效的小規模安全團隊，克服困難提升企業的安全能力。以下是業界網絡安全專傢給中小企業CISO提出的十點建議：

1.重視管理層溝通和自上而下的安全意識文化建設

制定並提出應對網絡安全攻擊的策略/計劃。這應該每年進行一次，並在董事會會議上介紹。避免講技術，重點提供有關新威脅的統計信息、趨勢和概述。討論這些威脅帶來的業務風險以及公司防禦此類攻擊的能力。在計劃中設定預算和期望，並明確相關風險。

此外，要從管理層到業務人員實施“安全優先”的安全意識文化建設，要讓所有員工明白，安全不是負擔，而是競爭力。根據GoSecurity的調查，安全意識培訓是最有效的安全產品/服務，也是投入產出比最高的安全投資項目，尤其值得中小企業重視。

2.利用合規性（等保）來增加安全預算

與網絡安全預算問題相比，合規預算“就是它的本錢”。合規是一個硬性的要求，對於安全預算短缺的中小企業來說，利用合規預算來增強安全性不是負擔，而是捷徑和契機。網絡安全專傢蔡培特表示，通過等保發現問題解決問題，提高信息系統的安全防護能力。

3.評估產品的端到端成本

從初始部署到安裝後分析，警報響應和維護，新的安全解決方案的成本涉及多個領域。在購買新的網絡安全產品時，請確保瞭解實際產品成本和范圍，包括升級頻率和要求、儀表板/SIEM監控警報、誤報率等以外的相關投資。要求供應商提供試用期，以便更好地理解和評估這些參數。

4.選擇集成度高的安全平臺

縱深防禦意味著安全可以有很多層，每層都增加瞭整體IT復雜性。中小企業應該盡可能尋找那些通過設計整合多種技術的單一產品。

5.最知名和最昂貴的不一定是最好的

多參考評測網站、自媒體並與同事或同行交談，吸取他們的解決方案實施經驗和教訓。瞭解相關解決方案在第三方平臺的安全有效性和評測排名。

6.避免被安全警報牽著鼻子走

所謂安全團隊，大多數時間都在圍著警報轉。由於較小的團隊沒有資源來跟蹤每個警報，因此請設置策略來定義何時需要處理特定警報。確保跟蹤已經自動修復的警報，因為最初的威脅很可能是大型網絡攻擊的序幕。

7.考慮不會幹擾運營的安全解決方案

員工總是會破壞那些拖慢運營的安全策略。與其為公司的所有實體創建統一的安全策略，不如針對每個角色面臨的不同挑戰選擇多個策略。

8.最大限度的自動化

如果安全運營中存在多個手動任務，那麼自動化可以大大減少時間投入。中小企業的安全團隊應當發揮敏捷優勢，充分利用新的自動化技術的力量來避免繁瑣或重復的工作。

9.不要隻盯著產品

選擇安全產品或方案廠商的時候，不要隻盯著產品本身，要避開那些缺乏優質客戶支持和服務的產品或服務。在詢問新的安全產品時，請務必瞭解廠商能夠提供多少產品培訓，是否有初始安裝成本，是否有專門的客戶經理，客戶服務的積極程度如何，工單的服務水平協議是什麼？是否提供事件服務（MDR）等等。

10.利用SaaS雲安全產品來降低成本，開銷和資源

SaaS安全解決方案可減少安全產品的部署、管理要求，以及維護資源和成本。鑒於其強大的處理能力，許多安全SaaS產品對於基於雲的體系結構也更加有效。檢查自己的安全堆棧並進行研究，以確認哪些是可以用基於SaaS的解決方案替代的解決方案，在不犧牲安全性的情況下受益於雲服務集的管理、處理和運營方面的成本優勢。

總結

通過多花時間做些額外的研究，選擇正確的工具和支持服務，中小企業網絡安全團隊也可以實現（大型）企業級的安全保護。尤其是醫療、零售、教育、金融服務和保險行業的小型安全團隊的CISO們，可以充分發揮團隊/技術堆棧的敏捷性優勢，借助第三方平臺、雲服務和咨詢服務，可快速提升安全投資的有效性和企業安全能力。

原文鏈接：https://mp.weixin.qq.com/s/EbVYPLMiJ1lrJ2Gq-ASwxQ