文章总结： 本文提出预算有限时提升企业安全的八种低成本策略。核心建议为：对关键系统严格执行多因素认证与最小权限；深度挖掘现有安全工具潜能；通过桌面演练暴露防御缺口；部署防钓鱼通行密钥；利用免费WAF与邮件协议加固基础；以及开展培训将员工转化为安全资产。文章强调回归安全基本面，靠精细化运营而非采购新方案降低风险。 综合评分： 75 文章分类： 安全建设,网络安全,安全运营,安全意识,安全培训

在预算有限的情况下提升企业网络安全的八种方法

数世咨询

2026年4月23日 15:38 河北

在小说阅读器读本章

去阅读

点亮上方「★星标 」更多干货内容，不再错过！

本文关键看点：

#01

确定关键和重要系统，然后执行多重认证和最低权限。

#02

确保充分利用组织内已有产品、工具和解决方案的能力。

#03

进行桌面演练，它能让团队成员能够提出平时不会问的问题，因为平时太忙或没有明显的必要。

▍以下正文内容基于英文原文编译，可能存在语义偏差，请以原文为准。

✦

以下为正文

✦

在削减成本的同时提升网络安全？看似矛盾的做法，在正确的方法下可以变得切实有效。正如每位CISO所知，保持强大的网络安全态势成本高昂。但鲜为人知的是，有许多方法可以在相对微薄的投资下提升网络安全。安全负责人只需创造性地思考，就能以极低成本大幅提升企业安全保护。您的组织是否可以从额外的低成本保护中受益？如果是，以下是八种在不严重影响预算的情况下提升企业网络安全的方法。

01

更好地执行 MFA

风险缓解应从基础工作开始，合规技术服务公司TrustNet的CISO Trevor Horwitz表示。”MFA直接支持机密性和访问控制，这是核心安全目标，”他说。”在我们分析的几乎每一个漏洞中，被破解的凭证都有参与。”大多数组织已经可以使用此功能。Horwitz建议，将其启用，特别是在特权访问方面。认证公司CompTIA的CISO Randy Gross对此表示赞同。”首先明确地定义皇冠上的明珠（最重要系统）和下一层级的重要系统，然后对这些环境执行MFA和最低权限，”他建议。”接下来，为这些系统中的重大漏洞建立有时间限制的修复期望，然后再将注意力扩展到更广泛的环境。”

02

充分利用现有工具

在不产生额外重大支出的情况下加强企业安全的一个实用方法，是确保您已充分利用组织内部现有解决方案的能力，安全服务公司GuidePoint Security的CISO Gary Brickhouse表示。”大多数组织已在安全解决方案上投入巨资，但大多数只使用了这些工具所能提供功能的一部分，”他解释道。”通过优化和运营现有技术，组织可以在几乎不花费的情况下实现网络安全风险的降低。”Brickhouse表示，这种方法非常有效，因为它专注于提高运营成熟度，而非增加更多技术解决方案。”这种策略也提高了ROI，因为确保组织从已有的解决方案中获得最大价值，”他说。

03

进行桌面演练

IT服务提供商New Charter Technologies的CISO Ryan Davis建议，不要低估桌面演练的力量。”它们几乎保证会产生积极的行动，而唯一的成本就是时间，”他说。桌面演练要求参与者从执行视角而非理论立场来看待场景。”为意外场景进行练习，使团队能够锻炼平时不会使用的肌肉，”Davis说。”它允许团队成员提出在日常场景中通常不会问的问题，因为平时没有时间或明显的必要性。”他补充说，这种方法还能快速发现不需要进一步关注的优势，以及需要填补的缺口。

04

利用应用层

在网络安全战略中纳入应用层，是加强覆盖范围和降低整体风险的有效方法，网络安全平台提供商SecurityBridge的董事总经理Bill Oliver表示。他指出，ERP系统位于公司运营的核心，多年来一直是坏人的目标。”监控ERP系统的安全补丁缺失、不良安全配置、实时安全事件等，可以为您提供相对较低的成本的强力网络安全保护，与其他网络安全举措相比，”他说。”了解实时发生的安全事件，将大大加强您公司的网络安全项目，并纠正自第一天起就存在的弱点。”

05

实施通行密钥（Passkey）

通行密钥消除了大多数组织面临的最大攻击向量：被盗或被钓鱼的凭证，帮助受监管行业保护其基础设施的公司Fortify Cyber的CISO John Coursen表示。”它们将人类元素从认证中移除，”他解释道。Coursen指出，密码往往被重复使用、被钓鱼，并被塞进凭证数据库。”通行密钥不能被钓鱼，因为没有可窃取的共享秘密。”Coursen观察到，大多数现代身份提供商（如Azure AD和Okta）已经支持通行密钥。”技术实施并不困难——困难的是行为改变和让用户接受它。”Coursen建议，从最高风险用户开始，包括高管、财务团队以及任何可以访问敏感客户数据或电汇权限的人。

06

瞄准核心

针对攻击者实际利用的目标，安全技术提供商Aikido Security的CISO Mike Wilkes建议。”设置冗余DNS提供商——它们低成本、高影响力，而且严重未被充分利用，”他说。”在面向公众的应用前放置Cloudflare的免费计划，您就立即获得了DDoS缓解和WAF层。”启用SPF、DMARC和DKIM，因为电子邮件仍然是排名第一的初始访问向量，而这些DNS控制只需一个下午即可实施。”使用免费的Google Authenticator在各处启用MFA，”Wilkes说，同时建议检查DNS记录并审计MFA的缺口。

07

考虑人类风险管理

在绝大多数网络攻击都涉及人员的时代，人类风险管理是保护企业安全的关键且具成本效益的方法，网络安全意识培训公司NINJIO的首席创新兼安全官Matt Lindley表示。人类风险管理之所以有效，是因为它针对大多数企业面临的最紧迫网络威胁，通过在组织各级建立网络安全文化来解决。”不应该将员工视为组织网络安全态势中的薄弱环节，而应该将他们视为最大的安全资产，”他说。”当员工有能力识别、报告和挫败网络攻击时，企业现在就拥有了一个分布式且适应性强的网络安全层。”有效的风险管理要求安全负责人提供有吸引力、可操作且个性化的安全意识培训，Lindley说。它还需要高度的问责制。他指出，安全负责人应该能够使用除虚荣指标（如完成率）之外的基准来确定行为干预是否真正有效。”这意味着提供有关网络钓鱼报告和组织网络安全态势其他真实世界改进的数据，这将产生整个C-suite的认同，”他说。

08

加倍关注网络安全基础

最有效的低成本安全策略之一是加倍关注身份保护、打补丁、可见性和用户意识，技术服务公司Resultant的网络安全副总裁Jeff Foresman表示。大多数组织已经通过Microsoft和Google等平台，以及端点和电子邮件安全堆栈拥有了所需的工具，Foresman说。他指出，真正的机会在于更好的配置和严格的执行，例如在各处强制执行MFA、减少不必要的管理员访问、快速打补丁面向互联网的系统，以及改进网络钓鱼报告和响应。”仅这些步骤就能显著降低真实世界的风险，”Foresman说。Foresman指出，基础方法的有效性在于针对攻击者实际获得访问权限的方式。大多数漏洞仍然始于被破解的凭证、网络钓鱼、暴露的系统或错误配置，而非高级零日漏洞，他解释道。通过关注身份、电子邮件和攻击面减少，组织可以解决最常见的入口点。”这是实用的、可衡量的，并与每天看到的漏洞模式挂钩，而非理论控制，”Foresman说。

* 本文为泽钧编译，原文地址：https://www.csoonline.com/article/4151983/8-ways-to-bolster-your-security-posture-on-the-cheap.html 注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

— 【 THE END 】—

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄嘻嘻，我们群里见！

更多推荐

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：数世咨询 《在预算有限的情况下提升企业网络安全的八种方法》