中小企业的网络安全正接近崩溃临界点

预算紧张、团队过度扩张以及复杂威胁的增加，正导致中小企业（SMEs）在网络安全信心方面急剧下降，因为网络犯罪分子越来越多地在供应链攻击中将他们作为目标。

有限的预算、过度扩张的IT团队以及迅速演变的威胁环境，意味着小型组织正接近一个“网络安全临界点”。

世界经济论坛（WEF）发布的《2025年全球网络安全展望》报告指出：“71%的网络安全领导者表示，小型组织已经达到了一个关键的临界点，他们再也无法充分保护自己免受日益复杂的网络风险侵害。”

超过三分之一（35%）的小型组织认为他们的网络弹性不足，这一比例自2022年以来增长了七倍。相比之下，同期报告网络弹性不足的大型组织比例几乎减半。

技能缺口导致安全前景恶化

受访的网络安全专家表示，新兴技术的迅速采用——这带来了网络犯罪分子可以利用的新漏洞——以及日益扩大的技能缺口，正在导致中小型企业（SMBs）的安全前景恶化。

“中小型企业普遍存在网络技能缺口，主要是由于缺乏资源和专业知识，”托管安全服务公司Red Helix的网络安全负责人Tom Exelby说，“许多中小型企业没有专门的网络安全团队，而负责安全的人员可能缺乏执行基本网络任务的信心。”

那些有预算聘请专家的小型和中型企业往往难以吸引和留住技术人才，因为角色缺乏多样性。在小企业中，人手不足、资质不够的IT团队中，职业倦怠也是一个日益严重的问题。

“由于企业资源有限，员工常常身兼数职，在承担常规职责的同时管理网络安全带来的压力可能导致疲劳、漏报威胁和高离职率，”Exelby说。

WEF的报告估计，网络技能缺口增加了8%，三分之二的组织报告存在中度至关键性的技能缺口，包括缺乏满足其安全需求的基本人才和技能。

WEF的调查基于对321名合格参与者的调查，并辅以43次一对一访谈。小型企业普遍存在的资源限制使得维持基本的安全态势也变得异常艰难。

OpenText Cybersecurity的EMEA地区解决方案咨询总监Steven Wood告诉CSO：“实施和维护基本防御措施都需要在多个层面制定策略——用户培训、电子邮件威胁检测、终端保护、DNS层过滤、适当认证、补丁管理、事件监控、备份和演练——这对于预算和人员有限的小型IT团队来说可能不堪重负。”

Wood补充说：“鉴于这个清单的范围，组织很难跟上甚至是最基本的安全最佳实践。”

中小企业成为供应链攻击的目标

中小企业常常错误地认为网络攻击者只针对大型组织，但事实往往并非如此——特别是因为大型企业的小型商业伙伴经常被故意作为供应链攻击的一部分。

“威胁变得更加先进，但他们的资源并没有跟上，”专注于中小企业网络安全的Crystaline公司董事兼联合创始人Kristian Torode说，“许多中小企业仍然依赖过时的系统或没有专门的安全团队，使他们成为容易攻击的目标。”

Torode补充说：“他们还被网络犯罪分子视为供应链中可利用的一环，因为他们经常与大型企业合作。”

“传统上，中小企业一直是容易摘取的果实——网络安全培训、高级工具或专门安全团队的资源有限，”云安全公司Qodea的网络安全总监兼CISO Adam Casey告诉CSO，“更多时候，网络安全被留给了已经承担多重职责的过度扩张的IT部门。”

安全技能培训不足和监管难题

网络培训是小型企业落后的另一个领域。“鉴于变化的速度，年度培训模块已不再适用，”安全电子邮件供应商Zivver的CIO兼联合创始人Dr. Rick Goud说，“需要的是更加动态、上下文感知的教育，在员工最有可能犯错的时候和地点提供。”

除了跟上最新培训的挑战外，全球范围内监管要求的激增也给小型组织带来了重大的合规负担。

“随着NIS2和GDPR等法规变得更加严格，合规工作往往留给了已经承担多重角色的高级领导团队，”Goud说，“没有专门的数据保护官或团队，事情很容易出错，特别是在涉及第三方供应商时。”

更糟的是，EMEA地区遵守NIS2的需求正在消耗IT预算，给小型组织带来了进一步的压力。此外，像NIS2和DORA这样的法规正在给人才市场和技能缺口带来更大的压力。

不断增长的网络安全威胁

已经因网络技能有限而苦苦挣扎的小型团队往往无法应对不断增长的威胁阵列。这导致了大型和小型组织之间在安全成熟度方面的差距不断扩大。

“与大型企业不同，中小企业往往缺乏预算和专业人员来保护庞大的IT架构，特别是随着混合工作和云采用的扩展增加了他们的攻击面，”基于云的目录服务公司JumpCloud的CISO Robert Phan说。

Quod Orbis的首席执行官Martin Greenfield也看到了向云和混合工作环境转变给中小企业带来的挑战，此时“威胁行为者变得更快、更聪明、资源更丰富，”他说。

此外，小型企业普遍使用类似（廉价）的安全工具和几乎相同的IT设备——通常以默认（不安全）配置设置——使得网络犯罪分子能够大规模自动化对中小企业的攻击，趋势科技欧洲网络安全平台负责人Richard Werner指出。

因此，安全威胁的演变和增长速度超过了大多数中小企业能够跟踪甚至修复的速度。例如：

01生成式AI正在增强钓鱼攻击和BEC社会工程攻击：

攻击者正在使用AI来制作高度个性化、流畅的钓鱼诱饵——使信息更难被发现并大幅增加了总体数量。

02勒索软件即服务（RaaS）已经专业化：

如今的RaaS平台提供附属仪表板、剧本、谈判支持和多重勒索（结合加密、数据盗窃和公开羞辱），提高了技术复杂性和对受害者的声誉压力。

03围绕云和身份的新攻击面正在出现：

“糟糕的身份和访问管理（IAM）以及暴露的远程访问服务推动了以云为重点的勒索软件和账户接管攻击的激增，”OpenText Cybersecurity表示，“仅在2024年，云勒索软件事件就激增，因为攻击者超越了终端，窃取API密钥或滥用Okta和Azure AD等服务。”

“安全威胁的演变速度超过了大多数中小企业能够跟踪的速度，”Zivver的Goud说，“AI驱动的钓鱼攻击、深度伪造诈骗和自动化利用都在增加，但大多数组织没有内部能力来监控或响应它们。这个差距正在扩大，风险也在增加。”

当前网络漏洞正日益激增

小型企业IT团队一直在努力优先处理和分类安全问题——近年来，随着漏洞数量的增加，这个问题变得更加尖锐。

根据威瑞森（Verizon）发布的《2025年数据泄露调查报告》，漏洞作为攻击载体的数量比上一年增加了180%。从报告的软件漏洞数量来看，这个数字也在上升——从2022年的25059个和2023年的28961个增加到2024年的40077个。

“当你是一个小型团队时，跟踪这么多问题是不可能的，”Qualys的EMEA地区董事总经理Matt Middleton-Leal告诉CSO，“正确的方法是根据严重程度对潜在问题进行分级，然后花时间处理重要的事情。这可以帮助每个小型团队产生大型企业的影响。”

商业动态也在中小企业面临的安全问题增加中起到了作用。“中小企业加速了数字化转型以保持竞争力或在疫情期间保持运营，”Qodea的Casey指出，“然而，许多中小企业仍然缺乏内部专业知识来正确评估或解决这一转变带来的安全影响。”

此种现象有什么缓解措施

虽然有大量信息可用，如英国国家网络安全中心（NCSC）的小型企业安全指南，但小型企业往往发现很难找到可操作的指导。

在本月早些时候的Infosecurity Europe会议上，CyCOS项目的代表解释了他们如何通过社区方法支持小型企业提高安全性。

CyCOS是三所英国大学（诺丁汉大学、玛丽女王大学和肯特大学）之间的合作项目，并得到了包括内政部、国家网络安全中心（NCSC）、ISC2、特许信息安全协会（CIISEC）和三个地区网络安全韧性中心在内的各种合作伙伴的支持。

在小组讨论中，CIISEC董事会成员Steven Furnell教授指出：“中小企业有安全指导，但他们不知道如何通过建立社区来推进，这样小型企业除了咨询顾问外还有人可以交流。”

行业专家认为，使用托管安全服务可以帮助小型企业提高韧性。

“从短期来看，中小企业可以通过与托管安全服务提供商合作来解决这个问题，这不仅可以更好地保护他们并应对威胁，还可以建议他们避免过度投资于他们真正不需要的安全技术，”Red Helix的Exelby说，“为了解决影响整个行业的长期技能缺口问题，教育是关键，同时还需要更大的多样性。”

自动化是帮助中小企业填补安全缺口的另一个重要策略。“大多数小型IT团队无法管理不断涌来的警报、补丁和手动控制——这就是为什么自动化至关重要，”Zero Networks的现场CTO Albert Estevez说，“通过自动化分段和访问控制，组织可以降低风险并遏制威胁——而不需要企业级的安全团队。”

文章来源：安在