新成立及成長中的網上企業面對的主要安全威脅

在網上創業或發展小型企業已經夠困難，還要同時擔心各種安全威脅就更不容易。不幸的是，如果你想讓初具規模的業務蓬勃發展，安全絕對不是你可以忽視的事情。

許多新成立及較小型的企業誤以為自己相對不易受到網絡攻擊，因為與大型企業相比，它們對網絡罪犯而言可圖的利益較少。然而，事實並非如此，因為小型企業佔了所有網絡入侵事件的 43%。

較小型企業其實可能因以下原因而成為黑客的吸引目標：

• 資源有限：小型企業未必有能力投放資金於完善的安全措施及專責安全人員。

• 缺乏安全意識：它們對網絡安全最佳實務及不斷演變的威脅形勢可能認識較少。

• 安全基建較不全面：它們可能缺乏實施進階安全措施所需的基礎設施。

如果你擁有小型企業或打算創業，請了解最常見的網絡攻擊及其應對方法，避免成為網絡罪犯的容易目標。而且，正如你將在本文中看到，你的網站平台所扮演的角色可能比你想像中更重要。

主要網絡安全威脅及其應對方法

你應該了解的企業四大主要網絡安全威脅類型包括：

1. DDoS 攻擊

2. 憑證填充攻擊

3. 資料攻擊

4. 電郵網絡釣魚

讓我們逐一深入了解，並看看你可以如何防止小型企業受到影響。

DDoS 攻擊

DDoS 是分散式阻斷服務攻擊的簡稱，這類攻擊會以大量網絡流量灌入並壓垮網上服務、網絡或伺服器，從而中斷一般用戶的服務。這可能令你的整個網站在一段時間內離線，影響業務運作。

這些攻擊通常由殭屍網絡發動。殭屍網絡是由機械人、互相連接的電腦或感染惡意軟件的網絡裝置組成的網絡。攻擊者可以遙距控制每一個機械人，而且由於殭屍網絡流量看起來可能與正常流量無異，因此很難將 DDoS 流量與正常流量區分開來。

若要讓網站全面防禦大型或複雜攻擊，你需要專門技術，例如內容傳遞網絡 (CDN)。CDN 是廣泛用於防止 DDoS 攻擊的方案。它是一個全球伺服器網絡，會儲存網站資源，保護來源伺服器免受大量非法流量淹沒。

保護你的網域與主機服務

除此之外，優質的網域及主機供應商會具備某些內建保護，協助在 DNS 層級及主機層級保護伺服器，並更早識別及過濾攻擊。DNS 層級的保護應包括：

• DNSSEC：為 DNS 記錄加入加密簽章，提供額外一層安全保障。

• DNS 查詢層級保護：防止 DNS 伺服器因大量 DNS 查詢而不勝負荷。

當你選擇主機供應商時，請留意可協助維持服務運作及保障正常運行時間的伺服器層級保護，例如：

1. 速率限制

2. 黑洞路由

3. 入侵偵測與防禦系統

4. 網頁應用程式防火牆

5. HTTP 工作階段模式分析

萬一最壞情況發生，而你的網站因 DDoS 攻擊或其他原因暫時停擺，定期進行網站備份可幫助你迅速讓網站恢復運作。為了更方便，請選擇提供自動化服務的主機服務，它會定期為你完成所有備份工作，讓你無需再費神手動處理。

憑證填充攻擊

憑證填充攻擊是一種暴力破解攻擊，騙徒會利用從某個網站資料外洩中盜取的用戶名稱及密碼，嘗試未經授權登入其他網站。在用戶層面，保持良好的密碼使用習慣對避免成為受害者至關重要。請務必使用高強度密碼、定期更換，並且切勿在不同網站重複使用相同密碼。

除此之外，理想的網域、主機或網站平台應提供可實施的雙重驗證 (2FA)。使用 2FA 可在你每次存取帳戶時提供額外一層保護——例如輸入密碼後，再回應手機上的推送通知。這樣一來，即使騙徒真的設法猜到你的密碼，也無法突破第二層保護。

更理想的是支援使用 Passkey 的平台。Passkey 是用於免密碼驗證的數碼憑證。它們利用加密技術建立，並與你的電腦或手機綁定。因此，它們無法被複製或盜取，所以除了你之外，沒有人可以像使用密碼那樣，利用 passkey 登入帳戶。

資料攻擊

過去幾年，資料保護愈來愈受關注，而且這是有充分理由的。當敏感資料落入錯誤的人手中，可能導致詐騙、盜竊及聲譽受損。協助保護資料的方法包括防毒及反惡意軟件、穩固的密碼保護，以及電郵安全。不過，要保護網站免受資料攻擊，最基本的方法之一是使用 SSL 證書，也就是網站安全證書。

那麼，甚麼是網站安全證書？它是一種可安裝在伺服器上的數碼證書，用來加密用戶瀏覽器與你網站之間傳輸的資料。這表示任何傳送中的資料都可免受資料攻擊。這包括：

資料攔截（中間人攻擊）：SSL 加密可防止攻擊者竊聽及攔截敏感資訊，例如登入憑證、付款資料或個人資料。

資料篡改：SSL 證書使用加密機制，在資料傳輸途中偵測並防止未經授權的修改或篡改。因此，攻擊者無法更改透過安全連線傳送的任何資料。

網絡釣魚：SSL 證書可幫助用戶識別合法網站，這對小型企業尤其重要，因為可降低客戶在與你網站互動時成為網絡釣魚受害者的風險。

由於 SSL 證書是網站安全的關鍵元素，為了讓自己更省事（亦更省錢），請選擇附送免費 SSL 作為標準配備的主機方案。市面上確實有這類方案。

電郵網絡釣魚

網絡釣魚是一種存在了數十年的安全攻擊，並隨着互聯網日益普及而增加。這是一種社交工程騙局，攻擊者（通常冒充合法公司或機構）試圖說服受害者透露敏感資訊，例如登入憑證或信用卡資料，或下載惡意軟件到其裝置上。

網絡釣魚攻擊種類繁多，從語音釣魚（vishing）到短訊釣魚（smishing）都有，但電郵網絡釣魚仍然是最常見的其中一種。了解釣魚電郵的跡象，例如拼寫錯誤、內容不一致及不尋常要求，至關重要。不過，更好的做法是從源頭阻截釣魚者，令這類電郵根本不會進入你的視線。

具備強大反垃圾郵件服務的電郵服務對此至關重要。這是電郵安全運作方式中的關鍵部分。你應選擇具備智能反垃圾郵件軟件的專業電郵服務，以保護你的收件箱免受各種威脅，包括網絡釣魚，並利用機器學習隨時間了解你的偏好。

你亦可以透過取得免費網域私隱保護，防止釣魚者甚至找到你的聯絡資料（如果你在 Spaceship 註冊網域，這項服務會免費提供）。通常，當你註冊網域時，你的聯絡資料會加入 WHOIS 這個網域擁有者目錄。

自然地，並非每個人都願意讓自己的資料可被任何人查閱。網域私隱保護會在 WHOIS 登記資料中隱藏該等資訊，令任何人，尤其是釣魚者，都無法找到並鎖定你。

選擇把安全放在首位的平台

為你的小型企業網站建立穩固的安全基礎可能相當複雜。不過，只要選擇一個可在同一平台提供我們所討論的大部分服務的平台，你就可以令事情變得更簡單。

Spaceship 內建 DDoS 防護、強大的帳戶安全、免費網域私隱保護及免費 SSL 證書，而 Spacemail 則具備穩健的電郵安全，包括反垃圾郵件及防網絡釣魚保護。將每項工具及服務連接到你的主機服務都盡可能簡單，讓你可以全心專注於拓展數碼未來，同時安心知道你的安全已獲妥善照顧。歡迎查看我們的Security 頁面以了解更多。