相信每家企業都有安全預算，但這些錢是不是花在點子上了？恐怕沒有一個精確的衡量指標，要想花費有的放矢就要知己知彼，否則就是花了冤枉錢。

數字化是比精算賬 企業安防別花冤枉錢

安全投入回報難覓

由微軟聯合調研機構公布的一項數據顯示，2019年全球的網絡安全市場整體規模超過1240億美元，但另一項數據卻是全球企業用戶因網絡攻擊所損失的資金達到1萬億美元。與此同時，這些企業對于安全投入的信心也在日益衰退，更多的企業宣傳并沒有在投入中看到應有的效果。

企業預防要自知

對于企業CIO來說，云安全依然是重大挑戰。賽門鐵克的調研數據顯示，企業CIO對企業所采用的云應用數量并不了解。當被問及這一問題時，大多數受訪者認為自身企業所采用的云應用數量最多為40個，但企業的實際應用數量已接近1000個。

這種認知上的差距，可能會令員工在未采取足夠政策和流程的情況下使用云端技術，增加使用云端應用程序的風險。賽門鐵克預計，云中的安全風險正在逐漸加大，除非CIO能夠嚴格控制企業內部所使用的云應用，否則未來將面臨嚴重的安全威脅。

誰也不敢保證完全安全

此外，安全人員也很難明確在安全投資上帶來的回報。相較被攻擊之后的疲于應對，有完善的安全機制無疑要更好。有些人可能會選擇大規模部署網絡基礎設施，但這種辦法只能拖延黑客的攻擊進度，并不能解決問題。與之相比的話，還不如去“屏蔽”那些區域性或者說臨時性的地址段，減少受攻擊的風險面。

從表面上看， 雖然通用型的勒索軟件攻擊有下降的趨勢，但這些威脅卻變得更有針對性。對于很多安全事件來說，沒有及時安裝補丁和釣魚類的電子郵件仍是主要漏洞。近年來，電子郵件已經成為網絡攻擊者實施感染的首選途徑，對用戶的安全構成了嚴重威脅。

賽門鐵克曾指出，電子郵件中包含惡意鏈接或附件的比例為1:131——成為五年來最高比率。此外，商務電郵攻擊騙局通過向用戶發送精心編排的釣魚郵件進行攻擊——攻擊者每天將超過400家企業作為攻擊目標，并在過去三年內從企業中詐騙超過30億美元。

威脅溯源一直是難題

而沒有安裝補丁的漏洞則在于，會為劫持軟件帶來可乘之機，黑客通過發送的電子郵件、惡意鏈接等附件讓系統感染病毒，也有通過網絡腳本運行的惡意程序，對此不少瀏覽器都開發了攔截功能。不過，黑客又找到了加密劫持的新方式，這種攻擊行為可以秘密運行，入侵后會慢慢消耗系統資源，縮短其運行壽命，對設備造成連鎖攻擊，而且就算被發現，在追溯攻擊源頭時也較為困難。

環境復雜性提供難防

隨著黑客攻擊的復雜性提高，站在安全產品供應商的角度，很多銷售人員也難以去評估某款產品到底能否客戶帶來何種價值，專注于應用程序的已知良好行為的概念也曾嘗試落地，但挑戰始終在于無法全面理解應用程序。要知道，單一的設備已經無法對抗黑客的高級攻擊，因此很多企業會找安全廠商來進行網絡安全運營，包括監控、分析、響應，甚至高級情報。

例如在云環境中，IaaS在敏捷性、可擴展性、創新性和安全性等為企業帶來優勢，同時也帶來了風險，簡單的錯誤即可導致嚴重的數據泄露。傳統控制措施難以與IaaS層面以上的安全控制良好對接，造成混亂、錯誤和設計問題，用戶無法高效應用控制措施，并忽略新的控制措施。

結束語

企業的安全策略要根據不同的應用環境具有針對性，并且要明確內部的需求到底是怎樣的，否則就難免花了冤枉錢。