집 사업 소기업이 지금 당장해야 할 10 가지 사이버 보안 단계

소기업이 지금 당장해야 할 10 가지 사이버 보안 단계

2024

비디오: [ì¤íì¸í°ë·°]'ê°ìí ì¤í ë¦¬ì§'(IP SAN)ì ê´í 5ê°ì§ ê¶ê¸ì¦ (십월 2024)

National Small Business Week가 진행되고 있으며 축제는 중소 기업 (SMB)의 가장 눈에 띄고 항상 존재하는 문제 중 하나 인 사이버 보안 문제를 해결하는 데 오랜 시간이 걸리지 않았습니다. SBA (Small Business Administration)는 소규모 사업체가 일상 업무에서 즉시 실습 할 수 있도록 구체적인 도움, 교육 및 권장 사항을 제공하는 데 전념하는 미국 정부 기관입니다. 이를 위해 오늘날의 SBA 사이버 보안 패널은 SMB 사이버 보안 패널을 통해 중소기업에 보안 취약점을 완화하고 포괄적 인 보안 전략을 수립하기 위해 취할 수있는 구체적인 팁, 리소스 및 단계를 제공했습니다.

Doug Kramer SBA 부국장은 소기업이 직면 한 가장 큰 보안 위험과 인프라 및 데이터, 클라우드 기반 또는 물리적 보호를 위해 취할 수있는 가장 중요한 조치에 대해 논의하면서 보안 전문가 패널을 검토했습니다. 이 패널에는 ADP의 Global Trust Assurance 부사장 인 Bill O'Connell이 포함되었습니다. ESET North America의 수석 보안 연구원 인 Stephen Cobb; Matt Littleton, Microsoft 사이버 보안 및 Azure 인프라 서비스의 동부 지역 이사; Patricia (Pat) Toth, NIST (National Institute of Standards and Technology)의 컴퓨터 보안 부서의 감독 컴퓨터 과학자.

패널리스트는 피싱, 랜섬웨어, 소규모 기업이 MFA (Multifactor Authentication)에 접근하는 방법, 직원 보안 교육 및 정책에 대한 사이버 보안 문제, MSP (Managed Service Provider) 계약에서 확인할 사항, IT 보안 컨설턴트에게 전화해야 할시기.

Kramer에 따르면 직원과 고객의 신용 카드 및 은행 정보뿐만 아니라 이메일에서 클라우드 스토리지에 이르기까지 지적 재산권 데이터 비즈니스는 모든 곳에서 소기업을 약한 링크로 만들고 쉽게 목표로 삼을 수있는 공격 영역에 있습니다. 공급망. SBA에 따르면 크라머는 소기업의 거의 절반이 사이버 범죄에 의해 어느 정도 피해를 입 었으며 평균 공격 비용은 약 21, 000 달러라고 밝혔다.

SBA의 Kramer는 "소규모 비즈니스를 시작한 사람은 예상보다 많은 비용이 들고 중소 기업의 삶이나 죽음을 의미 할 수있는 사이버 보안 문제를 해결하기 위해 추가 시간이나 돈을 들이지 않고 가능한 한 열심히 노력하고 있습니다." 시작했다. "사이버 침입 및 도난의 위협은 매우 현실적입니다. 소규모 기업은 자산과 재고를 서로 다른 방식으로 측정하지만 정보의 보물에 앉아 있습니다."

1. 클라우드 보안:해야 할 것과하지 말아야 할 것

비용 효율적이고 편리한 이유로 모든 SMB는 클라우드로 전환하는 것을 고려해야하지만 전환은 신중하게 이루어져야합니다. 패널리스트들은 가장 중요한 고려 사항과 장애물에 대해 논의했습니다.

수행: 증분 클라우드 백업

ESET의 콥은 "클라우드에는 많은 이점과 위험이 있지만 중소기업이해야 할 일은 백업입니다."라고 말했습니다. "모든 파일의 현재 백업은 랜섬웨어 및 사이버 보안 자세 및 방어의 중요한 부분에 대한 최선의 보호입니다. 여전히 하드 드라이브에 백업하고 사본을 별도의 위치에 안전한 곳에 보관해야하지만 클라우드를 통해 백업 할 수 있습니다 지속적으로."
해야 할 일: 프리미엄 클라우드 보안 비용 지불

ADP의 O'Connell은“소규모 기업은 가격에 민감하지만 다른 요소들도 적절한 무게를 얻어야합니다. "일부 서비스는 더 높은 수준의 서비스를 위해 더 많은 비용이 소요되며 보안은 그 중 하나입니다. 가격을 기준으로 결정하지 마십시오."
하지 말아야 할 것: MSP 계약서에 서명

ESET의 콥은 "계약을 확인한다"고 말했다. "스토리지나 백업을 아웃소싱 할 수는 있지만 책임을 아웃소싱 할 수는 없습니다. SMB 소유자가 IT 제공 업체에 모든 고객 및 직원 데이터 (데이터)가 있다고해도 여전히 책임이 있습니다."

ADP의 O'Connell은 "계약뿐만 아니라 데이터와 관련하여 보안 문제가 있는지 조사해야한다"고 덧붙였다. "SMB의 경우 계약은 방어선의 좋은 부분입니다. SLA를 확인하고 계층 데이터 정책에 액세스하십시오. MSP는 데이터를 얼마나 오래 유지합니까? MSP는 무엇을 수행합니까?"

사용하지 않는 MSP 인프라 기능을 그대로 두십시오

"클라우드 환경에 들어가면 그 책임 중 일부를 바꿀 수 있습니다. 우리는 더 이상 직원이 문제에 응답하거나 서버를 패치하지 않아도되는 플랫폼 분야에 있지 않습니다." 리틀 턴. "이것이 서비스 제공 업체가 직접 개입하여 처리 할 수있는 곳입니다. 계약의 관점에서 들어오는 것과 클라우드 제공 업체가 제공하는 서비스를 이해해야합니다."

2. 다단계 인증: 그냥하세요

MS의 Littleton은 "개인적 측면과 비즈니스 측면 모두에서 MFA는 즉시 수행 할 수있는 일이다. "전체 Microsoft 제품 스택에서 간단합니다. Google, Yahoo에서도 마찬가지입니다. 이메일 제공 업체의 이름을 지정하십시오. 보안 설정을보고 모든 직원이 두 번째 요소로 자신의 휴대 전화 번호를 입력하도록 요구하십시오. 공격자가 암호를 훔칩니다. 휴대 전화를 훔치고 PIN을 모르면 암호를 사용할 수 없습니다."

3. IT 보안 컨설턴트에게 연락 할시기

ADP의 오코넬은“소규모 사업자로서 혼자서는 할 수없는 일이있을 것”이라고 말했다. "매우 중요한 계약의 경우 외부 법률 자문을받습니다. 연간 및 분기 별 재무의 경우 회계사가 있습니다. 보안 전문 지식도 마찬가지입니다. 웹 안전을 확인하기 위해 사이트를 테스트하거나 위험 평가를 수행해야하는 경우, 당신이 직접 할 수있는 전문 지식이 없다면 돈을 잘 소비했습니다. 건물에서 전기 나 배관 공사를하지 않고, 언제 도움이 필요한지 아는 것입니다."

4. 보안은 모든 사람의 일의 일부입니다

NIST 's Toth는“10 명 규모의 회사에서 한 사람 만 의지 할 수는 없으며 모든 사람이 사이버 보안과 조직의 위험에 대해 잘 이해하고 있어야합니다. "그렇지 않으면 위반이 발생하여 비즈니스를 복구 할 수 없으면 업무가 위험에 처할 수 있습니다."

ADP의 O'Connell은 "보안은 각 개인의 업무의 일부가되어야한다"고 덧붙였다. "재무를 운영하는 사람은 매일 무엇을해야합니까? 물리적 측면에서 밤에 문을 잠그는 사람은 누구입니까? 모든 사람은 구성 요소와 해당 역할이 비즈니스의 전반적인 보안에 어떻게 적용되는지 알아야합니다."

5. 약한 공급망 링크가되지 마십시오

SBA의 Kramer가 설명했듯이, 중소기업과 기업 사이에는 더 이상 구분이 없습니다. 소규모 기업은 성장과 확장을 원하거나 소프트웨어 및 서비스를위한 엔터프라이즈 공급망에 연결하고 있습니다. 문제는 SMB의 보안 정책이 파트너가 되고자하는 공급망 회사와 맞지 않을 수 있다는 것입니다.

ESET의 Cobb은“SMB가 대기업과 첫 계약을 맺고 보안 정책 및 인식 프로그램을 보려고 할 때 점검 목록에서 모든 내용을 확인하려고 애 쓰지 말아야한다”고 말했다. "공급망의 위험을 높이고 낮추는 것은 큰 관심사입니다. SMB가 공급 업체와 디지털 방식으로 상호 작용하는 경우이를 확인하십시오. 보안 정책과 교육이 있어야 장애물이되지 않습니다."

마이크로 소프트의 Littleton은“특히 공급망 관리 분야에서 사이버 분야를 목표로하는 비즈니스는 너무 적지 않습니다. "많은 보안 침해가 맨 처음부터 시작되지는 않습니다. 공급망 어딘가에서 시작하여 공격자가 궁극적 인 목표를 향해 나아가고 있습니다."

NIST의 Toth는 향후 2 년간 정부 기관이 공급망 시스템에 액세스하기위한 규칙을 발표하기 시작할 것이라고 밝혔다. 한편 그녀는 중소기업이 계획을 세워야한다고 말했다.

NIST의 Toth는“계획은 정말 중요한 것이 무엇인지, 보호해야 할 것이 무엇인지, 그리고 비즈니스에 접근 할 수없는 경우 어떻게 운영 될 것인지를 아는 데 매우 중요합니다. "중소 기업은 계획, 경찰 및 절차를 마련해야합니다. 큰 정부 접근 방식은 아닙니다. 직원 핸드북의 정책이 인터넷에서 할 수있는 것과 할 수없는 일, 피싱 공격을 탐지하는 방법에 대한 정책만큼 간단 할 수 있습니다., 링크 및 첨부 파일을 열거 나 열지 않을시기"

6. 전자 우편을 봉투가 아닌 엽서처럼 취급하십시오

ESET의 콥은 "이메일을 통해 소기업으로서 가장 먼저해야 할 일은 그 내용에 대해 생각하는 것입니다. 누군가의 회사 정보를 해킹하려고 할 때 이메일에는 종종 모든 좋은 내용이 포함되어 있습니다"라고 말합니다. "사람들은 종종 자신이 무엇을 남기고 있는지 생각하지 않습니다. 소니 해킹을보십시오. 사람들은 이메일을 통해해서는 안되는 것을 말하고있었습니다. 이메일은 봉투가 아니라 엽서입니다. 명심하십시오."

마이크로 소프트의 리틀 턴은 "데이터를 제어하는 능력에 대한 관심도 높아지고있다"고 말했다. "인바운드 필터링으로 암호화 된 전자 메일 서비스를 사용하면 공격 범위를 줄일 수 있습니다. 전자 메일에 신용 카드 번호를 남겨두면 서비스에서 실제로 보낼 것인지 묻는 메시지가 표시되고 자동으로 암호화되지 않습니다. 업계 전체가 발전함에 따라 이러한 서비스는 더욱 합리적이고 일반화되고 있습니다."

7. 항상 사건보고

SBA의 Kramer는 중소기업이 피싱 사기 나 랜섬웨어 요청에 부딪 치거나 공격을 당할 때 누구에게 전화해야하는지 알아야한다고 설명했습니다. ESET의 콥은 소규모 사업체가 조사 할 자원이없는 법 집행에 대한 두려움 때문에 경찰에이를보고하지 않으면주기는 계속 될 것이라고 말했다.

ESET의 콥은 "우리는 법 집행 기관이보고 된 범죄를 근거로 자금을 조달하는 불행한주기를 겪고 있지만 경찰이 자원을 가지고 있다고 생각하지 않기 때문에 범죄를 신고하지 않고있다"고 말했다. 아무도보고하지 않으면 경찰은 이러한 사이버 범죄 문제를 해결하기위한 자원을 스스로 갖추는 증거를 갖지 못할 것입니다."

NIST의 Toth는“대부분의 지방 자치 단체에는 사이버 범죄 조직이 있으며 이에 대응할 것입니다.

8. 인시던트 대응 계획 수립

마이크로 소프트의 리틀 턴은 "사고 도중에 안전 벨트를 착용하려고하지 않는다"고 말했다. "위반이 발생 하기 전에 어떻게 대응할 것인지 계획된 계획이 필요합니다."

ESET의 콥은 "당신은 이것도 완전히 혼자가 아닙니다"라고 말했다. "선반에서 구매 한 보안 서비스는 클라우드 또는 공급망 액세스에 대한 보호 기능이 강화되어 제공됩니다. 기본 수준에서 탐지 및 예방 서비스를 제공 할 수 있습니다. 계획을 수립 할 때 보안 서비스를 떠나지 않도록하십시오. MSP 또는 보안 서비스에서 제공하는 테이블에

9. 느슨한 끝을 떠나지 마십시오

ESET의 Cobb는 "직원이 퇴사하거나 해고 당할 경우 문제가 발생하는 한 가지 영역은 시스템 액세스가 즉시 종료되지 않는다"고 말했다. "소규모 기업은 그들이 신뢰하는 사람들, 그리고 많은 사람들이 와서 일을합니다. 때로는 가장 행복한 상황에 처하지 않는 경우도 있습니다. 원한이있는 전직 직원이 여전히 액세스 할 수 있거나 여전히 다단계 인증을 사용할 수 있다면 해결하기 어려운 큰 내부 보안 문제입니다."

10. 정부 자원 및 훈련

정부는 사이버 보안 문제를 해결하기위한 주요 조치를 취하고 있습니다. 백악관은 올해 초 사이버 보안 프레임 워크를 발표했으며, 오바마 대통령의 2017 년 예산안은 사이버 보안 공격에 대비하여 자금의 35 % 증가 (190 억 달러)를 추구합니다. SBA의 Kramer와 NIST의 Toth는 사이버 보안 팁 및 도구, 코스 모음, 교육 및 웹 세미나를 포함하여 중소기업을위한 SBA의 전체 사이버 보안 리소스 페이지와 같은 정부 리소스를 무료로 제공 할 것을 지적했습니다.

가장 유용한 자료는 다음과 같습니다.