安全高管人员的观念与网络空间安全的现实差距，正在不断的扩大。

这并非危言耸听。思科上周发布的《2015年度安全报告》显示，90%的接受调查者声称他们对未来的安全工作持乐观态度，与此相反的是54%的人报告他们的企业被入侵。实际上，现在的攻击者越来越狡猾，攻击手段也越来越高端精密。该调查报告的调查对象为9个国家的1700名信息安全官和安全管理人员。

补丁灾难

不到50%的人表示，企业使用诸如补丁更新、渗透测试、终端鉴定或漏洞扫描等标准安全工具，但威胁就在其中。拿补丁更新来说，浏览器的更新是经常性的，以防止最新的恶意或漏洞利用软件。但实际上只有10%的公司，其浏览器更新到了最新版。即使是在每次启动后自动更新的Chrome浏览器，官方也表示只有64%的用户使用着最新的版本。一个可能的原因是，好多用户并不关闭计算机，自然也没有重启。

还有一些情况更加无奈，比如在医疗机构，如果你的软件版本合规，那升级软件就是不可以的。

令人难以置信的是，即便从事IT行业的人几乎都听说过心脏滴血，但还是有56%的SSL版本用的是至少四年前的，仍然没有打补丁。

补丁问题是一个大问题，首先在复杂的大型IT系统中，打补丁就是一件极度困难的事，因为需要暂停服务。再者，有些补丁来得很晚，甚至有些软件已经不再有补丁更新。

“我知道有些企业还在使用Windows NT，那是没有补丁的。”－－思科首席安全官 约翰·斯图尔特

最后，一个足够复杂并有着多家软件供应商的系统，需要打的补丁可能会让企业应接不暇。

职业化的攻击策略

攻击者的策略愈加以利益为导向，并呈职业化趋势。拿垃圾邮件来说，其规模去年增长了250%，正是因为垃圾邮件的发送者改变了他们的策略。之前的垃圾邮件发送策略是从几个账户中发送海量邮件，但现在则是从海量账户中发送海量邮件，分担了垃圾邮件的发送负载。同时，发送者还会跟踪邮件的发送接收状况，不断地调整邮件内容，以更好地避开邮件过滤系统。

同样，2014年的恶意广告也增加了250%。

恶意广告的发布者也会使用各种策略，包括真正的花钱购买广告位。于是，这些含有恶意代码的广告出现在正规的网站上，极大的增加了防护难度。尤其是对于那些浏览器版本陈旧的企业，难逃其手。

与攻击者“与时俱进”的攻击手段相比，显现出防守一方的巨大落差。

幸运的是，我们还有弥补的机会。已经有企业在选择技术供应商时，关注他们的安全问题。供应商的安全水准已经开始成为一个有力的竞争因素。此外，安全也越来越受到管理层的重视。许多大公司的董事会在作决策讨论时，往往都会针对安全威胁提出疑问并要求可靠的支持。

希望一切还不算太晚。