SME：未必安全就需要高成本的投入

网络安全面前人人平等，中小企业(SME)和跨国公司都需重视网络安全，但很多小企业觉得自己缺乏防护预算，沦为了攻击者唾手可得的猎物。然而，强有力的防护未必需要大笔投资，全在于对威胁入侵渠道的理解。

网络犯罪的常见形式，就是对公司资产的非授权使用。这些资产被控制后可用在僵尸网络中，或者用于加密货币挖矿，但对公司本身更危险的是，黑客掌握了公司资产权限，就可以进一步巡游公司网络，执行勒索（勒索软件、DDoS）、诈骗（虚假服务、转账欺诈）和盗窃活动（盗窃登录凭证、数据等等）。

具体到网络防御方面有6个领域需要关注：

• 杀毒软件

• 补丁管理

• 电子邮件过滤

• 网页过滤

• 管理员权限

• 访问控制

通往网络防护的第一步，就是要回答一个问题：网络罪犯们是怎么捞钱的？

没有哪款解决方案可以覆盖这全部6个方面，真正有效的安全需要了解最大的威胁来自何方。于是，还有3个领域是需要关注的：备份、取证和监视。要知道，弄清楚发生了什么，与做好防护同样重要。

对一款安全产品投入太多依赖，是很多公司踩过的“坑”。打个比例：在需要四驱功能时买下一辆法拉利，然后……就没有然后了。

有些追逐最新技术的用户，在一些厂商的花哨产品上花费太多，就会落入无力购买其他产品的窘境。

一定要高投入才安全吗？

未必。

国外有一种细分的安全服务模式值得借鉴。Ratcliffe Groves Partnerships是一家专为连锁超市设计系统的小公司，总共才40名员工和50台终端。它的网络安全投入是以月计费的，每个用户每月22英镑，有时候还会更细化，细分到每周甚至每天。这样做的好处是，IT主管在向董事会解释安全开支时，可以避免抛出吓人的数字。

这种细分的方法还用于对网络犯罪不同元素的封堵上。比如定期培训员工应对社会工程，启用双因子身份验证保护账户，应用ZScaler之类的软件解决资产的非授权使用问题等等。

小公司并非任人宰割的羔羊，其拥有的灵活性，有可能改变网络攻防对抗中的游戏规则。