“我们必须承认，没有障碍是不可逾越的，检测/响应代表着一道极其关键的防线。停止将它视作出事后的备用计划吧。”——《2013威瑞森数据泄露调查报告》

最好的防御来自于对对手进攻能力的认知。了解当前威胁态势对构筑（商业驱动的）成功安全策略而言至关重要。

作为公司业务流程的有力后援，我们的安全策略必须避免陷入以下5大误区：

误区1.内部人员威胁神话

我们这行常为配置后转头就忘的心态所害。我们买来最新的下一代产品，让厂商配置好，然后幸福地让它在无人监管的状态下持续运行。为什么会出现这种情况？因为我们吞下了厂商的钓钩、鱼线和铅坠。内部人士威胁误区是萦绕企业安全的流行文化的极佳例子。听信厂商虚假宣传而购买最新最棒的设备。

是的，你的公司可能在内部人士威胁事件中遭受惨重损失。但是，现任全球顶级安全公司火眼首席安全战略官、前沿网络安全公司曼迪安特首席安全官理查德·贝杰特里奇提供的数据并未指明内部人士威胁是我们面临的最大威胁。《2015威瑞森数据泄露调查报告》进一步证实了贝杰特里奇的发现。外部人士制造的威胁占据了已知威胁案例的80%。

“我们应该忽略内部人士威胁转而关注外部人士威胁吗？非也。内部人士威胁依然是公司企业风险的最大单一来源。内部人士攻击对企业利益和业务的负面影响远大于外部人士攻击。很多源自外部的攻击顶多就是脚本小子发起的小儿科攻击。”——理查德·贝杰特里奇

误区2.我们的补丁管理真他妈棒！

我讨厌给您带来坏消息，但事实真的不是这样。诚然，世事无绝对，但大多数公司在修复脆弱系统上真的很失败。不，我并没有试图侮辱您的能力，也不是在暗示您缺乏特定技能集。问题在于【不知为不知】。厂商只能为已知漏洞发布补丁。而很多漏洞长达数月都未被公开。

最近的一份报告中，独立安全研究和评测机构NSS实验室发布了以下发现：

• 2010和2012年，私人团体手握影响微软、苹果、甲骨文和奥多比的58个漏洞。这些团体有可能在公众不知情的情况下攻入所有这些有漏洞的系统。
• 同一时期，漏洞未被公开的平均时长是151天。
• 一年中任何一天里，有85个未公开漏洞可供利用。
• 民族国家不再是零日漏洞市场上的唯一买家。只要有信用卡和暗网渠道，任何人都可以购买漏洞攻击你的公司。

现在，你知道为什么你的补丁管理不是最好的了么？补丁管理是你安全策略中的重要一环，但不能是唯一一环。

误区3.关注攻击预防

考虑到攻击者可能（在任意一天）利用零日漏洞攻击你的公司，预防并不是那么理想的目标。事实上，SANS协会511课程作者赛斯·米塞纳和埃里克·康拉德认为，预防是一种过时的（传统）响应。现代网络防御应该关注检测漏洞利用活动，因为这通常更容易检测到，也是攻击者容易造成最大破坏的地方。

“预防是理想的，但检测是必须的。”——埃里克·科尔博士

误区4.我们没有被入侵

这是你能做的最糟糕的假设之一了。史考特证券最近宣布他们在2013年底和2014年初发生了数据泄露。直到2015年8月FBI通知他们，他们才意识到自己的数据早已被他人染指。网络安全博客布莱恩·克雷布斯（Brian Krebs）报告说史考特证券数据泄露事件影响到460万客户和他们的联系人信息。

来自曼迪安特、威瑞森和Trustwave的数据让我们得出一个结论：我们的公司很可能已经被入侵了，而我们还被蒙在鼓里。2015年，Trustwave调查了574起数据泄露事件。81%的受害者没能自己检测到事件。曼迪安特在2013年报告说攻击者成功侵入后平均要205天才会被发现。《2015威瑞森数据泄露调查报告》显示，公司企业持续缺乏在数天内检测到入侵的能力。攻击者可在数分钟或更少的时间内入侵一个系统，发现攻击行为却需要数天或几个月。

误区5.一被入侵我们就会知道

事实表明，总有人会入侵我们的公司，而我们将在相当长的时间内对此一无所知。最有可能的情形是，他们有超过6个月的时间可以偷取知识产权、财务信息、客户信息和各种他们能染指的任何东西。