2.网站劫持

许多小型企业的官方网站并不会用于出售产品，而完全是为了吸引客户。但也有不少公司跟Endless Wardrobe一样，需要在网站上直接进行产品及服务销售。无论是哪一种情况，拒绝服务攻击这种致命的侵袭都极为可怕——攻击者利用这种方式占据大量带宽，使得网站无暇处理正常客户的合法交易。

过去，以拒绝服务攻击为手段的敲诈勒索者们大多将注意力放在那些名声不好的公司身上，例如在线博彩公司或者色情网站。但现在犯罪分子的胃口越来越大，他们已经开始对所有安全技术薄弱、无力抵御网络攻击的小企业们展开侵袭。

包括CloudFlare、Incapsula以及Prolexic在内的许多服务商都能帮助企业用户对抗拒绝服务攻击。他们的方法是创建一套“安全”网络——即经过严格控制的业务社区，任何恶意流量在访问企业客户之前都会被过滤机制拦截下来，这一方面阻绝了不良请求、另一方面也保障了正常交易的进行。

3.由员工造成的数据泄露

虽然说员工是小型企业的最大财富，但他们同时也是最可能引发灾难的潜在风险。他们很可能在不经意之间点击了高危链接、打开了不知附件或是犯下最基本的安全失误，总之这些“不明真相”的群众常常扮演着攻击者们“内应”的角色。

只要能够获得一组密码，犯罪分子就能够顺藤摸瓜、窃取企业整套系统中的全部密码，接下来“针对企业展开的攻击步骤将势如破竹、铺天盖地，”管理技术供应商Thrive网络公司总裁Jim Lippie如是说。

除此之外，对公司心怀不满的员工还可能搞出蓄意破坏等大麻烦来，这甚至比恶意人士的攻击更难应对。

首先要对公司员工进行安全实践教育，从选择高强度密码开始贯彻良好的保护机制。在许多中小企业中，员工都喜欢用同一套密码或者有限的几组密码来访问公司资源及在线服务，更有甚者还将业务密码与个人密码混为一谈。此外，过分简单的密码内容也是常见的安全失误之一。

其次，应该对员工进行背景调查，掌握哪些员工曾经造成过安全问题或者工作失误。严格控制员工对企业敏感资源的访问权限，例如客户清单以及财务信息等。利用安全及员工活动监控系统收集来自网络的信息，并划拨50美元每人的开支对所有可疑活动及日志内容进行分析——这对于小型企业而言也许价格不菲，但中型企业绝对值得尝试这套方案。