香港中小企網絡安全:從哪裡開始

香港中小企網絡安全實用、有優先順序的入門——先做什麼、每花費的保護效益最高的是什麼,以及如何從此基礎出發。

Cybersecurity for Hong Kong SMEs
1了解您的風險

為何香港中小企是高價值攻擊目標

香港小型企業主的常見誤解是,只有大型企業才值得攻擊。大規模運作的犯罪集團恰恰了解相反的道理:中小企代表著龐大的、相對未受防護的目標群體,許多都持有大量金融資產、寶貴的客戶數據,以及可被用於二次攻擊的更大供應鏈合作夥伴連接。HKPF的網絡犯罪 ↗統計數據一再顯示中小企是受害最多的企業類別,而HKPC的年度調查顯示,大多數香港中小企在前一年中至少經歷過一次網絡安全事故。

典型香港中小企的威脅模型涵蓋自動化和針對性攻擊。自動化攻擊——針對雲端服務的憑證填充、自動化網絡釣魚活動,以及透過未修補漏洞傳播的機會性勒索軟件——是無差別的,同時針對每一家企業。針對性攻擊——旨在觸發特定電匯的BEC詐騙、針對關鍵人員的魚叉式網絡釣魚,或透過共享服務提供商的供應鏈攻擊——更有針對性,但隨著犯罪分子認識到中小企的財務回報,這類攻擊對中小企的影響日益增加。了解兩種攻擊類型的存在,有助於適當地優先安排防禦措施。

中小企的風險評估不需要昂貴的顧問或複雜的框架。一個直接的內部審查,回答四個問題,即可提供可用的風險圖景:我們持有哪些被盜或洩露後有價值的數據?哪些系統如果不可用會停止業務?詐騙分子可以攔截或重定哪些財務交易?誰有權存取敏感數據和系統,這些存取是否可能被濫用?這些問題的答案識別出值得最多保護的具體資產、系統和流程——並指導對應對這些特定風險的管控進行優先投資。

  • 中小企受到刻意針對:犯罪集團專門針對中小企,因為其可存取資產與相對於大型企業較低防禦的組合
  • 自動化攻擊持續不斷:無差別的憑證填充、漏洞掃描和網絡釣魚活動持續針對所有連接互聯網的企業
  • 數據、系統和金錢是目標:客戶個人資料 ↗、專有業務信息、運營系統和財務帳戶是犯罪分子尋求的主要資產
  • 供應鏈暴露:與更大型企業合作夥伴有連接的中小企,從這些連接繼承了風險——並可能被專門作為到達更大合作夥伴的途徑而成為攻擊目標
  • 內部風險評估:對寶貴資產、關鍵系統、脆弱交易和存取控制的基本內部審查,無需外部顧問即可提供可用的風險圖景
  • 事故成本對比預防成本:香港中小企勒索軟件事故的平均成本(停機、恢復、贖金、聲譽損失)遠超預防性管控的成本
SME cybersecurity risk assessment
2速效措施

香港中小企安全最高影響速效措施

如果您的企業安全資源有限,首先集中於應對最頻繁和最昂貴攻擊途徑的管控,每花費能提供最大保護。英國國家網絡安全中心的研究以及亞洲市場的類似分析,一再識別出一小組能阻止對中小企絕大多數成功攻擊的管控。首先實施這些管控,在投資於更複雜或更昂貴的方案之前,是任何中小企安全 ↗計劃的合理起點。

所有雲端服務和電郵帳戶的多因素驗證(MFA)是大多數中小企最高回報率的單一管控。基於憑證的攻擊——憑證填充、網絡釣魚密碼和帳戶接管——是機會性和針對性攻擊最常見的入口。MFA即使在憑證被入侵的情況下,也能阻止大多數這類攻擊成功,因為攻擊者缺少第二個因素。在Microsoft 365或Google Workspace(大多數香港中小企使用)上實施MFA,IT管理員只需不到一小時,且通常是免費的或已包含在現有訂閱中。

所有作業系統和應用程式的自動修補是第二個基本管控。大多數勒索軟件和malware傳送的漏洞利用,針對的是已知的、已修補的漏洞——補丁已有數週、數月甚至數年可用的漏洞。讓系統保持最新狀態的企業,根本不易受這些攻擊影響。Windows Update和macOS的內置更新機制可以配置為按定義計劃自動安裝安全更新。第三方應用程式修補需要額外工具或手動紀律,但僅作業系統和瀏覽器修補就能阻止絕大多數技術漏洞攻擊。

  • 所有雲端服務啟用MFA(第1天):為Microsoft 365、Google Workspace、會計軟件及您企業使用的任何雲端服務啟用MFA——這一管控阻止了大多數基於憑證的接管
  • 自動作業系統修補(第1週):為所有Windows、macOS和Linux系統配置自動安全更新——防止已知漏洞被利用
  • 部署密碼管理器(第2週):部署企業密碼管理器(1Password Teams、Bitwarden Business),使員工為每項服務使用唯一的強密碼
  • 備份測試(第1個月):實施並測試離站備份——在勒索軟件事故使這一點變得至關重要之前,驗證您確實能夠從備份恢復
  • 電郵安全標頭(第1個月):為您的業務域名配置DMARC、DKIM和SPF,防止您的品牌在針對客戶和合作夥伴的網絡釣魚攻擊中被仿冒
  • 基本安全培訓(第1-2個月):進行一小時的網絡釣魚意識集中培訓,涵蓋如何識別可疑電郵、安全報告程序和強密碼實踐
Quick win security measures for SMEs
3預算和資源

香港中小企的切實網絡安全預算

香港中小企的網絡安全預算陷入兩個極端:要麼完全迴避這個話題(「我們負擔不起」),要麼企業以企業價格購買不適合中小企運營環境的企業級方案。現實是,有效的中小企安全以企業成本的一小部分即可實現,因為許多影響最高的管控要麼是免費的(使用現有工具功能)、低成本的(密碼管理器、基本終端設備保護),要麼是基於訂閱的每席位定價,任何規模的企業都可承受。

10-50名員工的香港中小企的大致預算框架:密碼管理器(每年1,200-3,600港元團隊費用)、終端設備保護/EDR(每年3,600-12,000港元,取決於產品)、雲端電郵安全過濾(如果未包含在Microsoft/Google授權中,每年2,400-6,000港元)、離站備份(雲端備份每年2,400-6,000港元)、基本安全意識培訓(優質在線平台每年3,000-6,000港元)。總計:約12,600-33,600港元/年——只是單次勒索軟件事故或BEC詐騙事件成本的一小部分,後者通常花費10萬至數百萬港元。

HKPC(香港生產力促進局)提供專門針對中小企的網絡安全顧問 ↗服務和工具,包括免費資源和補貼評估。數碼港和創新科技署(ITC)定期為香港企業提供網絡安全資助計劃——查看這些補貼的當前可用情況,可以減少安全工具的資本投資。幾家香港本地託管安全服務提供商(MSSP)以可預測的每月費用捆綁多種安全服務,提供適合中小企的套餐,讓較小的企業無需內部專業知識即可獲得企業級監控。

  • 預算框架:有效的中小企安全(10-50名員工)通常每年花費15,000-35,000港元——只是單次事故成本的一小部分
  • 首先使用免費和內置管控:現有Microsoft/Google訂閱上的MFA、Windows Defender和內置作業系統修補是免費的——在購買額外工具之前實施這些
  • HKPC中小企資源:香港生產力促進局在hkpc.org為中小企提供免費網絡安全顧問服務和評估
  • ITC和數碼港資助:查看創新科技署和數碼港為符合資格企業提供的當前網絡安全補貼計劃
  • 中小企規模MSSP:帶中小企套餐的託管安全服務提供商,以可預測的每月費用提供企業級監控,無需內部專業知識
  • 網絡保險用於風險轉移:中小企網絡保險從5,000-15,000港元/年起,轉移剩餘風險並在攻擊後提供事故應對資源
SME cybersecurity budget planning
4從基礎出發

您的12個月中小企網絡安全路線圖

結構化的12個月路線圖允許香港中小企有條不紊地建立全面的安全態勢,而非被動應對。前三個月專注於上述基礎管控——MFA、修補、密碼、備份和基本電郵安全。這些管控是影響最高、成本最低的項目,對最常見的攻擊途徑提供大量保護。到第三個月末,實施了所有這些措施的企業,安全水平已大幅高於大多數相似規模的香港企業。

第四至六個月以存取控制正式化(審查誰有什麼存取權限並移除不必要的權限)、網絡安全改進(無線網絡分段、訪客網絡分離、防火牆審查)和員工安全意識培訓交付來擴展基礎。這些管控應對下一層風險——內部威脅、網絡內橫向移動和人為因素漏洞。在這一階段還應完成正式化的基本事故應對程序——在疑似安全事故的第一小時內應做什麼——因為有任何計劃都比沒有計劃好得多。

第七至十二個月應對更複雜和業務特定的管控:關鍵供應商的供應商安全評估、終端設備偵測回應工具評估和部署、PDPO合規的安全政策文件,以及考慮網絡保險。在第十二個月末進行的年度外部漏洞評估或基本滲透測試,提供對已達到安全態勢的獨立觀點,並識別下一年路線圖的缺口。安全不是有完成日期的項目,而是持續的運營計劃——12個月路線圖每個週期都會重複和深化。

  • 第1-3個月(基礎):MFA、修補、密碼管理器、離站備份、電郵安全標頭——影響最高、成本最低的管控
  • 第4-6個月(擴展):存取控制審查、網絡分段、WiFi分離、基本安全培訓、事故應對程序文件
  • 第7-9個月(正式化):PDPO合規審查、供應商安全評估、安全政策文件、網絡保險採購
  • 第10-12個月(評估):EDR部署、年度漏洞評估或基本滲透測試、安全計劃審查和下年度規劃
  • 持續進行:每月修補驗證、每季備份恢復測試、年度員工培訓更新,以及持續監控與香港中小企相關的新威脅情報
  • HKPC自我評估:在每年年末使用HKPC的中小企網絡安全自我評估工具,根據框架衡量您的成熟度水平
SME cybersecurity roadmap

今天就開始建立您企業的網絡安全計劃

探索我們企業安全庫中的所有文章,獲取保護您香港企業各方面的詳細指引。

企業網絡安全指南 →

Related VPN Articles

What Is a VPN?

The complete beginners guide to VPN technology.

How Does a VPN Work?

Encryption, IP masking and data tunnelling explained.

VPN Protocols Explained

OpenVPN, WireGuard, IKEv2 - which should you use?

Best VPNs for Hong Kong

Top-rated VPNs tested for HK users.

VPN for Streaming

Unblock Netflix, Disney+ and more from Hong Kong.

VPN on Public WiFi

Why public hotspots are dangerous and how VPN helps.

20 VPN Facts to Know

Surprising facts about VPN technology.

How to Set Up a VPN

Step-by-step for Windows, Mac, iOS, Android.

Does VPN Make You Anonymous?

What a VPN hides and what it does not.