当下，数字安全问题已经成了企业必须考虑的事情，据统计，超八成中小微企业遇到这样的问题。目前，现代企业数字攻击面中的安全挑战有哪些，该如何筑牢数字安全屏障？

超八成中小微企业遇到过数字安全问题

2022全球数字经济大会数字安全峰会暨第十届互联网安全大会期发布的《2022中小微企业数字安全报告》显示，在受访的142家国内中小微企业中，85.3%遇到过数字安全问题，近77.4%的中小微企业反馈其自身不能有效处置数字安全问题。

《报告》显示，中小微企业贡献了我国50%以上的税收、60%以上的GDP、70%以上的技术创新、80%以上的城镇劳动就业、90%以上的企业数量，其对国家经济和社会发展起着十分关键的作用。

然而，中小微企业的数字安全问题却很少受到关注。360集团副总裁杜跃进表示，在调研的 142家国内中小微企业中，85.3%的企业遇到过数字安全问题，并且比以前遭受的网络攻击次数增多；近77.4%的中小微企业反馈其自身不能有效处置数字安全问题。目前，我国有超过九成（92.3%）中小微企业面临非常严峻的数字安全威胁。

《报告》指出，我国中小微企业面临的数字攻击威胁种类包括高级别、复杂的网络攻击。在过去12个月中，针对我国中小微企业最具破坏性的数字攻击威胁分别是恶意软件入侵（68%）、勒索攻击（65.3%）、系统漏洞（64%）和网络钓鱼（42.7%）。

据统计，76.9%的中小微企业受访者认为，未来因合作方发生网络安全事件会引发其自身安全风险增加，并且有12.8%的受访者经历过因合作方所引起的网络攻击和数据泄露事件。超一半受访者表示会把安全风险评估作为交易与否的主要决定因素。

中小微企业数字安全能力普遍不足的重要原因之一是资金缺乏。《报告》披露的数据显示，60%的受访者在数字安全方面的年投入不超过10万元，12%的受访者表示，尽管认同数字安全的重要性，但是没有数字安全预算；20%的受访者表示能接受的数字安全投入不能超过10万元。

面对当下复杂多变的数字安全挑战，中小微企业应如何提高数字安全能力？杜跃进表示，中小微企业需采用能力思维，以实战为目标，从产品主导转向能力主导的数字安全建设，包括能力意识、能力积累、能力提升、能力输出、能力验证。中小微企业的数字安全建设不必采取大而全的建设模式，避免“蜂拥而上”全面铺开建设，而是要将有限的资源投入到最迫切的数字安全能力上，逐步分期开展数字安全体系建设。

随着《网络安全法》《数据安全法》等相关法律法规的落地，社会正在从“有法可依”向“有法必依”转变。网络法治国际中心执行主任吴沈括表示，数据安全法、网络安全法和个人信息保护法的陆续施行，表明我国在数据安全立法方面已经进入快车道，而《网络数据安全管理条例》也于今年被列入到国务院立法工作计划中。

七大安全挑战

据Randori与ESG联合开展的《2022年攻击面管理现状报告》数据显示，在过去一年中，随着远程办公人员数量、云解决方案和SaaS应用程序使用量的不断增加，企业组织的网络应用攻击面进一步扩大。从表面上看，攻击面扩大并不奇怪，因为世界一直朝着更为互联和分散的方向发展，连接到互联网的计算设备自然会持续性增加。

但值得警惕的是，很多企业的安全团队难以跟上数字环境快速扩张和不断变化的步伐，因为缺乏对其有效管理的工具和流程，结果导致了暴露给攻击者的漏洞与安全团队已知的风险之间存在巨大差异。

以下梳理总结了现代企业在数字攻击面方面最常见的7种风险和挑战：

01

脆弱的访问控制管理

虽然现代企业都在不断完善网络应用系统访问的安全性，但攻击者仍有办法找到并利用与访问控制授权相关的漏洞。此外，很多云服务商的安全措施常常不够有效，脆弱的云授权方法也难以阻止攻击者在进入云后提升权限，扩大对敏感数据的访问权。由于如今的云服务具有易用性和简单性，这样很多非专业技术人员也可以在云端配置IT应用服务，但这将不可避免地导致安全性疏忽和错误配置。

02

易受攻击的域名系统

域名系统（DNS）是互联网数据访问的基础性部分，但由于其在设计时并未考虑可能的安全风险，因此其天然就易受网络攻击。如今，几乎每家企业都在其数字供应链中使用各种DNS服务器，因此攻击者已将DNS服务器视为非常具有吸引力的攻击目标，通过漏洞利用就可以劫持系统，这样就可以获得类似“内部人员”等级的信任度，并以此轻松发动网络攻击。

03

第三方Web应用与系统

几乎所有的现代企业都需要利用Web应用程序进行关键业务运营，这意味着要在其中存储和共享大量敏感数据，包括电子邮件地址、密码和信用卡号等。这些Web应用程序会与多个第三方系统和服务交互或连接，这无疑会进一步加大了访问该服务的攻击面。攻击者正在密切关注数字供应链中的攻击途径，包括通过SQL注入攻击获得的漏洞、权限配置错误以及身份验证缺陷等，获得数据访问权限。因此，现代企业不仅需要保护自己组织的应用程序，每个相关联的Web应用程序和第三方系统也都需要受到保护。

04

不安全的邮件服务

电子邮件仍然是企业员工、客户、合作伙伴之间最流行的业务沟通方式之一。电子邮件易于访问和使用，这也让它容易受到网络攻击。每家组织使用不同的内外电子邮件服务器进行日常通信，这意味着电子邮件安全保护方面的最佳实践会因公司和服务商而不同。网络攻击者经过训练，可以识别易受攻击的电子邮件服务器，并发起企图接管的活动。一旦他们进入电子邮件服务器，就会向他们能够接触到的任何人实施基于电子邮件的钓鱼攻击。

05

失去控制的影子IT

影子IT指组织的员工在未经IT团队批准的情况下使用的信息化技术，包括系统、软件、应用程序和设备。近年来，随着员工在家中使用个人设备登录办公，影子IT大行其道。员工经常通过云存储来迁移工作负载和数据，却不了解相关的安全标准和风险，组织的安全团队也没有给予密切关注。有时，员工在创建公服务时可能配置出错，导致漏洞被利用。与此同时，由于影子IT的性质，IT和安全部门难以对这些设备漏洞进行有效的监控和管理，因此往往不能及时了解安全事件的攻击过程。

06

海量的联网资产和设备

目前，全球连接互联网的计算设备数量达到数十亿，增长速度惊人，这主要是因为现代企业数字化转型发展的速度之快前所未有。显然，管理这么多的网络连接需要一个大型的、复杂的、分布式的、专门构建的基础设施。而事实上，在许多企业的网络中，仍然存在大量长期未使用的服务器、系统和应用程序等，这些资产使用过时的软件，缺少甚至完全没有日常安全维护，并长期暴露在网络攻击者面前。

07

云计算的责任共担模式

云计算（无论公有云还是私有云）为组织更新和发展数字化基础设施提供了一种快速、简单且便宜的方式。不过美国国家安全局（NSA）表示，随着组织进一步将业务和数据上云后，同时也将自己置于更大的风险环境之中。云服务提供商都使用云安全共担责任模型，比如谷歌云、亚马逊云和微软Azure云。因此，云应用的大部分安全责任仍然需要由使用这些云的企业来承担。比较复杂的是，不同的云服务商所提供的安全承诺和服务各不相同，这就给多云应用的企业带来困扰，因为需要针对不同的云上数据和应用分别制定不同的安全策略。

如何筑牢数字安全屏障？

值得警惕的是，数字攻击正变得越来越“狡猾”和“强大”。

一位业界人士说，现在，勒索攻击更多的是把勒索对象已加密的数据进行再加密，好比黑客用一个更大的“保险箱”，把勒索对象的“保险箱”锁起来，只有黑客的钥匙才能打开，以此进行勒索。而当我们面临持续性威胁攻击、国家级对手，靠一两个产品一劳永逸解决问题的路子已经行不通了。

正所谓“兵来将挡，水来土掩”。如今，数字安全问题越来越受到重视，多方面已经积极行动起来。

比如，据测算，我国数据安全人才的短期缺口在5万至10万人之间。对此，一些高校已经开设了部分数据安全相关的课程，加强人才培养。同时，人力资源和社会保障部近期向社会公布了18个新职业，“数据安全工程技术人员”位列其中，有助于增强从业人员的社会认同度、促进就业创业。

针对数据安全风险，国家互联网信息办公室近日公布了《数据出境安全评估办法》，明确了数据出境安全评估的目的、原则、范围、程序和监督机制等，将进一步保护个人信息权益，维护国家安全和社会公共利益。

当然，筑牢数字安全屏障，不可能一蹴而就，而需要久久为功。长远来看，应进一步完善制度规则，强化顶层设计，完善配套政策和标准体系，压紧压实企业数据安全保护主体责任，充分发挥行业协会、科研机构等作用。政府、企业、社会应协同联动，形成合力。坚持创新驱动，加快关键技术突破，加强保障体系和能力建设，努力实现高质量发展和高水平安全动态平衡、良性互动。

文章来源： 安全牛，中国贸易报，光明日报