自去年史上最大的用户信息泄露事件（塔吉特）以来，又接连发生了多起信息泄露的安全事件。仅从8月到现在，就有UPS快递、CHS（社区医疗系统）、火狐开源、苹果iCloud、家得宝等信息泄露事件相继爆发。

以至于国家信息系统安全认证协会(ISC)的执行董事W. Hord Tipton认为：“坏人在赢得胜利……在黑客与安全人员之间有着技术方面的差距，除非这个差距得到弥补，否则成功的入侵事件会越来越多。”

 “进攻要比防守容易得多”

黑客学院(Hacker Academy)的联合创始人兼首席运营官Aaron Cohen认为，现在系统可以攻击的路径太多，了解系统要比如何防守系统容易的多，黑客总是能找到系统最脆弱的短板。

FireEye的首席安全战略官Richard Bejtlich同意这个观点，他表示：“在网络空间里进攻方占着先手，防守方处于被动。”但Bejtlich认为，即使攻击者获得未授权的访问，也不代表着他就“赢”了。因为访问的最终目的是盗取数据和破坏系统，在这之前还不能称之为赢，而防守方所要做就是阻止这种情况的发生。太多的安全人员把精力浪费到战略上并不重要的事务中，这才是最大的问题。

Cohen表示，之所以坏人显得比好人聪明，是因为那些失败的安全防范，并不是专业人员在做，而是一些传统的IT人员，一些被网络钓鱼或社会工程手段欺骗的其他部门的职员，甚至还有第三方承包商，为攻击者打开了方便之门。

“人们的愚蠢没有补丁可打”

不过安全专家都一致同意，防护能力应该能够提高，但要做到这一点，良好的安全培训是必不可少的。

“从大学教育的水平统计，已经有一段时间没有培育出足够的信息安全专业人员。”赛门铁克网络安全组的高级经理Michael Garvin表示。然而这还只是开始，未来需要的安全人员不只是信息安全专业的大学生，还需要具有实际操作、现实经验的职业人员。如同飞行员在真正上机前要在模拟环境试飞上千小时，才能通过不断的重复形成安全环境中的肌肉记忆。

Bejtlich对此表示赞同：“我不会听一个没有时间做企业安全工作的教授讲信息安全课。”Cohen则表示：“中学和大学教育在信息安全方面比较落后，从书本上无法得到真正的培训”。Cohen建议，网络安全培训必需更加注重实际操作，有点类似于职业学校。”

然而，如果学院或大学想要提升信息安全课程的教学质量，则需要专业人员的合作。Avecto职业服务副总裁Andrew Avanessian认为：“大学院校与职业服务机构和信息安全圈的关系需要加强，信息安全业界要联合大学院校并在技术与技能方面给予指导和建议，这是不断变化的信息安全环境的需要。”

Avanessian认为，除了获得计算机学位以外，在安全事业的道路上还有很多途径。比如攻读数学，或工程和管理。Bejtlich则认为，除了学术培训和技术能力，还需要战略性的思考，把运营、政策和战略结合起来。而后者正是大多数技术人员所缺乏的。

“战略思想比技能缺口更加重要，太多的安全人员把精力浪费到战略上并不重要的事务中，这才是最大的问题。”

Kellermann也对此表示赞同。他表示俄罗斯黑客的聪明之处就在于“他们战略性的思考所采取的每一步行动，如同下国际象棋，无论是进攻方还是防守方，都会考虑8步到12步之多。”

所有的安全专家都同意，仅仅给予安全工作人员更好的培训是不够的，企业中的所有员工都需要加强安全技术和安全意识的培训。

Avanessian表示：“防范攻击的主要障碍之一就是难于操作和管理的安全战略，这些战略依赖于被动的检测。因此，各机构需要简化战略方法，提高主动性。经常碰到一些IT部门，他们的关注点不在安全，而在实施最新的技术或更广泛的解决方案上。这就迫使他们不断的改变他们的安全部署，而安全从来就不应该是后知后觉的。”

Cohen表示，终端用户也是重要的安全因素，要给予终端用户更多实际的技术培训，包括模拟攻击，而不仅仅是理论上的学习。

“这是一个即容易又节省成本的方法，帮助员工提高安全防范水平，杜绝系统中最脆弱的短板”Cohen如是说。