現在的企業安全態勢不容樂觀，黑客利益集團日趨成熟，他們不再滿足于“干一票走人”的一錘子買賣，而是以控制為最終目的，對漏洞進行重復利用，以成功實施長期的潛伏攻擊。讓人頗感哭笑不得的是，被黑客利用的漏洞并非用了什么高深的手法所得，而往往是些“老掉牙”的已知漏洞。

在最近惠普發布的2015年網絡風險報告中，對2014年企業面臨的最為緊迫的安全問題進行了調查和分析，結果再次亮了：2014年前十大漏洞皆為數年前已知的系統弱點。人們熟知的問題和錯誤配置成了過去一年最嚴重的威脅。

別為‘安全上的不作為’找借口

根據惠普2015年網絡風險報告顯示，常見的攻擊仍然奏效。其中44%的已知攻擊是針對2-4年前的老漏洞，攻擊者繼利用廣為人知的技術來入侵系統和網絡。漏洞發現的早不表明企業已然進行了防護，企業沒有及時進行打補丁也是多種因素的合力，系統老化、不允許業務中斷、底層加補丁后上層應用的兼容性問題等等，這都導致了企業以業務優先，安全優先級不高的局面。

除此之外，配置錯誤仍是一個顯著的問題。服務器配置錯誤是最為常見的漏洞，會讓攻擊者輕易潛入系統訪問文件，致使企業受到攻擊和侵害。且比以往，現在的漏洞給企業造成的損失將更大。

安全在業務上線前有一票否決權，企業該維護好這一權力，而不是為了業務而犧牲掉安全。企業應積極采取全面、及時的補丁策略，確保系統安全防御措施隨時更新，降低風險；另一方面，也應對配置進行定期滲透測試和驗證，盡早發現并解決問題。

意識強化應走在技術之前

除了已知問題外，該報告也顯示移動互聯和物聯網等技術帶來更多的新的攻擊途徑。據更進一步的細節，2014年移動惡意軟件水平升高，有97%的移動應用存在代碼質量問題；不斷增加的物聯網接入設備成了遍布的攻擊入口。鑒于計算生態不斷擴展，企業如果不加以防范，會給攻擊者提供更多的入侵機會。

報告也對應用安全問題作了相關探討，指出常見軟件漏洞的主要原因是缺陷、故障和邏輯錯誤。大部分漏洞來源于數量相對較少的常見軟件編程錯誤，軟件中無論是老漏洞還是新漏洞都會被攻擊者迅速利用。

現在的威脅變得更為立體，沒有哪個企業敢號稱100%的安全。企業始終應居安思危，讓安全和響應成為常態。協作和威脅情報共享是整個安全行業聯合應對威脅的關鍵，企業應主動獲取可信、可靠的安全情報，更好地采取應對措施和方法，打造更安全的整體環境。同時，也應采用補充防御策略，讓防御系統更加牢固。

無論是已知的漏洞威脅還是新技術帶來的新興威脅，都處在一個變化的狀態，企業的防御也應是靈動而富于變化的，且無論是身處何種行業，企業都必須提高安全的優先級，畢竟沒有安全，一切業務也都枉談。