當(dāng)前，對(duì)于企業(yè)而言，企業(yè)安全性之最佳實(shí)踐早已廣為人知，但為什么絕大多數(shù)企業(yè)仍然無法真正實(shí)現(xiàn)? 面對(duì)不斷發(fā)生的網(wǎng)絡(luò)安全事故所帶來的可怕后果，安全意識(shí)的重要性已經(jīng)被提升到了前所未有的高度。但幾乎可以肯定，今年年內(nèi)我們還將親眼見證更多令人心驚的災(zāi)難。為什么悲劇總會(huì)反復(fù)發(fā)生?我給出以下幾點(diǎn)猜測(cè)。

1. 高層采取忽視態(tài)度

安全事務(wù)不僅帶來額外成本，而且可能會(huì)給正常業(yè)務(wù)流程帶來額外步驟、并因此影響生產(chǎn)力水平。沒有哪位高管會(huì)因?yàn)榘踩聞?wù)處理得宜而備受關(guān)注，但卻往往因短期盈利豐厚而得到贊譽(yù)。此外，首席執(zhí)行官們往往會(huì)頻繁跳槽，這更使得安全事務(wù)這類長(zhǎng)期性工作遭到嚴(yán)重忽視。

2. 受到供應(yīng)商的錯(cuò)誤引導(dǎo)

安全方案供應(yīng)商們永遠(yuǎn)走在安全威脅炒作的第一線(旨在宣傳自己的安全保護(hù)品牌)，并致力于銷售其所謂包治百病的保護(hù)妙藥。從技術(shù)層面講，這些威脅的確真實(shí)存在，但相較于這些小打小鬧、為未受保護(hù)的系統(tǒng)安裝正確補(bǔ)丁往往能帶來更理想的保護(hù)效果。如果一味聽從供應(yīng)商的建議，大家很可能會(huì)把最寶貴的資源從最緊要的領(lǐng)域挪出來并移為它用。

3. 運(yùn)營(yíng)慣性導(dǎo)致問題拖延

假設(shè)企業(yè)管理層高度關(guān)注，并希望快速解決組織內(nèi)的頭號(hào)安全風(fēng)險(xiǎn)，即客戶端Java。但就在這時(shí)，幾位LoB經(jīng)理提出了反對(duì)意見，表示幾款關(guān)鍵性應(yīng)用程序的正常運(yùn)行需要以客戶端Java為基礎(chǔ)。事實(shí)上，也確實(shí)存在著一部分需要陳舊且滿是安全漏洞的Java版本才能正常運(yùn)行的應(yīng)用方案。那么企業(yè)有可能先把運(yùn)營(yíng)放在一邊，利用安全技術(shù)對(duì)此類應(yīng)用程序進(jìn)行重新創(chuàng)建嗎?或者說，他們更傾向于先把問題擱置起來，等到明年的大規(guī)模技術(shù)更新規(guī)劃上馬時(shí)再一道加以解決?

4. 在最明顯的問題上缺乏正確引導(dǎo)

管理員們往往認(rèn)為只有白癡才會(huì)輕易點(diǎn)擊某個(gè)文件附件、打開某個(gè)指向被惡意軟件所感染之網(wǎng)站的鏈接，或者輕信偽造的病毒警報(bào)而安裝名為殺毒軟件、實(shí)乃惡意軟件的程序。但事實(shí)上，釣魚郵件的效果確實(shí)非常、非常好，而且如果普通員工從來沒見過真正的反惡意木馬檢測(cè)軟件，他們根本不可能知道如何加以分辨。用戶需要系統(tǒng)的安全培訓(xùn)，并在遭遇釣魚活動(dòng)時(shí)得到正確的提示及引導(dǎo)。每次培訓(xùn)時(shí)間不需要太長(zhǎng)，但此類活動(dòng)必須長(zhǎng)期推進(jìn)。

5. 自以為安全無憂

防火墻、入侵檢測(cè)系統(tǒng)、安全事件監(jiān)控、網(wǎng)絡(luò)監(jiān)控、雙因素認(rèn)證、身份管理……我們的企業(yè)已經(jīng)把這些方案全部部署到位，沒人能夠隨便闖得進(jìn)來!然而殘酷的事實(shí)證明，如果大家已經(jīng)被賊惦記上了，那么以上機(jī)制根本不足以徹底消滅數(shù)字化資產(chǎn)損失。要防止問題的發(fā)生，大家必須擁有審慎的心態(tài)——對(duì)閑置中的關(guān)鍵性信息進(jìn)行加密、避免設(shè)置永久性管理員權(quán)限并通過各種舉措降低惡意人士得逞后可能帶來的交叉性損失。

6.抱有聽天由命的心態(tài)

在我看來，大多數(shù)企業(yè)都很清楚安全問題的嚴(yán)重性。然而面對(duì)殘酷的現(xiàn)實(shí)，他們幾乎放棄了抵抗。那些有能力組織APT(即先進(jìn)持續(xù)性威脅)攻擊的專業(yè)黑客幾乎不可阻擋。金融行業(yè)每年遭受的欺詐與犯罪活動(dòng)損失高達(dá)數(shù)十億美元，而這已經(jīng)成為其運(yùn)營(yíng)成本中的組成部分。走了這么多過場(chǎng)，笑到最后的還是那幫惡意分子。

這種心態(tài)也有其合理性，畢竟在安全對(duì)抗當(dāng)中、漏洞總是搶先于防御機(jī)制出現(xiàn)。是的，攻擊活動(dòng)確實(shí)無法避免，但這并不能成為我們放棄最佳實(shí)踐以顯著減小攻擊面的理由。

D1Net評(píng)論：

其實(shí)，任何一種正確規(guī)程都會(huì)由于人為因素的介入而受到影響。然而馬馬虎虎的安全防范措施必然讓大家成為攻擊者眼中唾手可得的肥羊。大家更傾向于哪種處理態(tài)度?在面對(duì)安全威脅的恐懼當(dāng)中形成新的生存習(xí)慣?抑或是增加開支以顯著降低風(fēng)險(xiǎn)的發(fā)生可能性?也許后一種方案的支持比率遠(yuǎn)低于前者，但就個(gè)人而言，我更喜歡那種能在夜里安然入睡的感覺。