Bleeping Computer 網站消息， Arctic Wolf 表示 Akira 勒索軟件組織的攻擊目標瞄準了中小型企業，自2023 年 3 月以來，該團伙成功入侵了多家組織，索要的贖金從 20 萬美元到 400 多萬美元不等，如果受害者拒絕支付，就威脅曝光盜取的數據信息。

Akira 勒索軟件組織將攻擊目標“定位”在中小企業上是一個典型案例，隨著網絡安全問題日益嚴重，勒索軟件愈發猖獗，雖然一旦成功攻入大的企業會讓這些犯罪分子“聲名鵲起”，但仍舊有很多勒索軟件組織將目光轉向了中小，2023 年有 56% 的中小企業遭受了網絡攻擊。

勒索軟件集團為何瞄準中小企業？

中小企業對威脅犯罪分子來說極具吸引力，這些企業通常擁有較少的資源（如 IT 支持），缺乏強大的安全保障體系（如員工網絡安全培訓等）。此外，威脅攻擊者還能夠在成功入侵中小企業侯為，尋找進入大型企業的切入點。

根據 IBM 的《2023 年數據泄露成本報告》來看，全球范圍內，實體組織從數據泄露中恢復的平均成本為 445 萬美元，比過去三年增加了 15%。對于中小企業來說，數據泄露的平均成本接近 15 萬美元，間接成本可能更高。

除了金錢損失外，數據泄露同樣會破壞客戶的信任并損害企業聲譽。更為可怕的是。即使受害企業支付了贖金，仍舊近 40% 的公司無法如期恢復數據。

中小企業如何降低風險？

從目前行業內普遍采用的防御手段為例，企業應采用網絡安全最佳實踐，如采用美國國家標準與技術研究院（NIST）制定的中小企業網絡安全框架。根據該框架，中小企業可以通過以下方式降低風險：

• 控制誰可以訪問您的網絡和數據;
• 制定正式的使用政策;
• 對靜態和傳輸中的敏感數據進行加密;
• 使用集成安全功能的網絡防火墻;
• 監控未經授權的訪問;
• 定期備份數據;
• 制定應對攻擊和從攻擊中恢復的計劃。

1.使用更為復雜的密碼

98% 的網絡攻擊都是從某種形式的社交工程開始的，如果威脅攻擊者掌握了終端用戶的有效密碼，就可以輕松繞過許多安全防御措施。因此，企業不僅要密切關注密碼策略，還要阻止已知的密碼泄露，執行密碼政策，幫助終端用戶創建更強的密碼，阻止使用弱密碼和常用短語，此舉會讓威脅攻擊者更加難以下手。

Specops 的數據顯示，83% 的被攻擊密碼在長度和復雜性方面都符合監管密碼標準的要求，密碼攻擊之所以能夠成功，往往是因為用戶的密碼可預測。用戶往往傾向于重復使用密碼，并在創建密碼和試圖滿足復雜性要求時使用類似的模式。例如，以一個常用字開頭，然后在其后面加上數字或特殊字符。強大的密碼策略執行可以幫助用戶創建易于記憶但難以破解的口令。

2.使用多因素身份驗證

多因素身份驗證通過增加額外的保護層來降低賬戶被接管的風險。這樣即使密碼泄露，未經授權的用戶也無法在沒有第二重授權的情況下訪問網絡，例如向移動設備或第三方身份驗證提供商發送推送通知，有助于降低憑證被盜和密碼被黑客暴力破解的風險。

3.培養用戶安全意識

根據斯坦福大學研究人員和 Tessian 的一項聯合研究，88% 的數據泄露可追溯到人為錯誤。世界經濟論壇的《全球風險報告》則認為這一數字高達 95%。中小型企業應要求對最終用戶進行培訓，幫助他們更好地理解遵守網絡安全政策的重要性，并識別網絡釣魚、網絡詐騙和其他旨在竊取他們的憑據和淪為勒索軟件受害者的攻擊跡象。

參考文章：https://www.bleepingcomputer.com/news/security/how-smbs-can-lower-their-risk-of-cyberattacks-and-data-breaches/