作为网络安全的“弱势群体”，安全意识、管理、人才、资金捉襟见肘的中小企业（编者：也包括只配备了小型安全团队的大型企业）正面临越来越严峻的“安全鸿沟”问题。

　　近年来，网络威胁的“溢出”、“下沉”和“降维打击”成为新的趋势，无论是高级持续威胁APT的“民主化”、勒索软件即服务RaaS的产业化，还是高级网络安全工具/漏洞利用的长尾化，都对缺少足够预算和实力的中小企业构成更大的威胁。根据2019年Zogby Analytics报告，数据泄露可能导致25%的中小企业破产。

　　在过去的几年中，我们看到针对中小企业的网络安全攻击快速增长，包括BEC商业电子邮件攻击、端点威胁，勒索软件攻击已成倍增加。与拥有庞大网络安全团队的大型企业不同，中小型企业所面临的困扰包括缺乏专用资源、设备管理不善、缺乏培训以及IT管理框架水平降低等。

　　尽管如此，中小企业的CISO仍然可以建设一支精干高效的小规模安全团队，克服困难提升企业的安全能力。以下是业界网络安全专家给中小企业CISO提出的十点建议：

　　1.重视管理层沟通和自上而下的安全意识文化建设

　　制定并提出应对网络安全攻击的策略/计划。这应该每年进行一次，并在董事会会议上介绍。避免讲技术，重点提供有关新威胁的统计信息、趋势和概述。讨论这些威胁带来的业务风险以及公司防御此类攻击的能力。在计划中设定预算和期望，并明确相关风险。

　　此外，要从管理层到业务人员实施“安全优先”的安全意识文化建设，要让所有员工明白，安全不是负担，而是竞争力。根据GoSecurity的调查，安全意识培训是最有效的安全产品/服务，也是投入产出比最高的安全投资项目，尤其值得中小企业重视。

　　2.利用合规性（等保）来增加安全预算

　　与网络安全预算问题相比，合规预算“就是它的本钱”。合规是一个硬性的要求，对于安全预算短缺的中小企业来说，利用合规预算来增强安全性不是负担，而是捷径和契机。网络安全专家蔡培特表示，通过等保发现问题解决问题，提高信息系统的安全防护能力。

　　3.评估产品的端到端成本

　　从初始部署到安装后分析，警报响应和维护，新的安全解决方案的成本涉及多个领域。在购买新的网络安全产品时，请确保了解实际产品成本和范围，包括升级频率和要求、仪表板/SIEM监控警报、误报率等以外的相关投资。要求供应商提供试用期，以便更好地理解和评估这些参数。

　　4.选择集成度高的安全平台

　　纵深防御意味着安全可以有很多层，每层都增加了整体IT复杂性。中小企业应该尽可能寻找那些通过设计整合多种技术的单一产品。

　　5.最知名和最昂贵的不一定是最好的

　　多参考评测网站、自媒体并与同事或同行交谈，吸取他们的解决方案实施经验和教训。了解相关解决方案在第三方平台的安全有效性和评测排名。

　　6.避免被安全警报牵着鼻子走

　　所谓安全团队，大多数时间都在围着警报转。由于较小的团队没有资源来跟踪每个警报，因此请设置策略来定义何时需要处理特定警报。确保跟踪已经自动修复的警报，因为最初的威胁很可能是大型网络攻击的序幕。

　　7.考虑不会干扰运营的安全解决方案

　　员工总是会破坏那些拖慢运营的安全策略。与其为公司的所有实体创建统一的安全策略，不如针对每个角色面临的不同挑战选择多个策略。

　　8.最大限度的自动化

　　如果安全运营中存在多个手动任务，那么自动化可以大大减少时间投入。中小企业的安全团队应当发挥敏捷优势，充分利用新的自动化技术的力量来避免繁琐或重复的工作。

　　9.不要只盯着产品

　　选择安全产品或方案厂商的时候，不要只盯着产品本身，要避开那些缺乏优质客户支持和服务的产品或服务。在询问新的安全产品时，请务必了解厂商能够提供多少产品培训，是否有初始安装成本，是否有专门的客户经理，客户服务的积极程度如何，工单的服务水平协议是什么？是否提供事件服务（MDR）等等。

　　10.利用SaaS云安全产品来降低成本，开销和资源

　　SaaS安全解决方案可减少安全产品的部署、管理要求，以及维护资源和成本。鉴于其强大的处理能力，许多安全SaaS产品对于基于云的体系结构也更加有效。检查自己的安全堆栈并进行研究，以确认哪些是可以用基于SaaS的解决方案替代的解决方案，在不牺牲安全性的情况下受益于云服务集的管理、处理和运营方面的成本优势。

　　总结

　　通过多花时间做些额外的研究，选择正确的工具和支持服务，中小企业网络安全团队也可以实现（大型）企业级的安全保护。尤其是医疗、零售、教育、金融服务和保险行业的小型安全团队的CISO们，可以充分发挥团队/技术堆栈的敏捷性优势，借助第三方平台、云服务和咨询服务，可快速提升安全投资的有效性和企业安全能力。