公司的部门人员结构越复杂，就越难构建防御体系。近年来的一些大型黑客事件有好多都源于企业的承包商。比如被已经被安全界提过无数次的塔吉特被黑事件，其被入侵的跳板就是一家采暖通风和空调系统的承包商。

有时，攻击者会紧跟着你最信任的保护措施而来。在一次堪称有史以来最复杂的入侵事件，一个高级黑客组织攻破了在安全方面长期受到赞誉的安全公司RSA。黑客的攻击点集中在几种未打补丁的旧软件上。然后发送了一份带有恶意代码的电子表格文件，最终突破了公司的防御体系。

之后的调查显示，RSA的员工在打开恶意信息的过程中至少收到了5次警告提醒。这些消息告诉他们收到的信息有可能是恶意的，而且在每一个警告窗口下，用户都需要选择不同的答案来绕过报警。但攻击者依然偷到了RSA公司可信级非常高的身份认证密钥，并利用获得的信息盗取他们的终极目标。包括美国军工巨头诺斯洛普格鲁曼公司和洛克希德马丁。

这个故事告诉我们，即便企业对漏洞的检测和修补已经做到极致，但也可能因无法保证商业合作伙伴的安全而被黑客击败。

黑客的得天独厚的优势在于，他只需要使用扫描工具尽可能多的记录你系统中的设备和软件信息或称指纹，然后等待某个厂商发布关键补丁。不论企业在修补漏洞方面做得多快多好，他们也不大可能比得上伺机而动并在短时间内一剑封喉的刺客。

　　四、魔高一丈

防御者，顾名思义，是被动的。在数字空间中，防守者始终慢于攻击者。IT和安全行业往往需要两到三年时间来彻底解决一个新的威胁，而攻击者在此之前就会转移到新的攻击形式上。

回溯上个世纪的80年代末，引导区病毒曾大行其道。之后人们花了几年的时间才具备重启电脑前拔出软盘的操作意识和习惯。事实上，直到软驱消亡，引导区病毒才随之而去。但现在的USB自启动病毒，做的是同样的事情。而早在90年代流行的宏病毒让我们花了十年时间告诉人们不要随便打开文件附件，尤其是在来历不明的情况下。但如今我们还在提醒人们理解这种安全操作习惯。

攻击者会对他们的攻击技术作出稍许改动，以便再次得手。举例而言，我们警告人们注意假的反病毒信息，但他们却被假的硬盘压缩程序所骗。我们警告人们注意更新操作系统的版本，而攻击者们却转而对知名的浏览器下手。

如今，大多数的攻击都从入侵网站上开始。人们有可能被一个其天天登录的网站所入侵。虽然各种安全意识教育都在告诉人们不要随便打开链接或可执行文件，也不要向未受信任的人或网站提交自己的登录信息。但需要多长时间才能教会人们彻底理解这些东西，仍然不得而知。

我们还没来得及学会如何阻止攻击者利用我们的电脑，他们就已经转而攻击移动设备了。在PC世界中上演的几乎每一个威胁都正在移动世界中重复。更糟的是，我们很难把经验教训从一个平台转移到另一个平台上。物联网(IOT)的普及只会加速情况的恶化。智能电视、汽车、烤面包机、可穿戴设备等，一切都会成为攻击的目标。

　　五、轻重混淆

计算机防御中的最大问题之一就是无法恰当地评估威胁的优先级。一家公司也许有100种入侵方法，但其中几种方法被黑客用来利用的可能性要远大于其它所有的方法。这就在评级最严重的威胁与最可能发生的威胁之间建立了一道鸿沟，而成功的防护往往属于把注意力集中在后者的企业身上。

如果让IT安全人员列出在公司中部署的所有防御策略，以及相关的经费和运行项目所耗用的人力资源，然后再列出公司最可能被入侵的途径。两者相比你会发现，这两者的答案很难统一。要是连安全人员在哪儿出了问题的都无法形成一致思路的话，又如何能期更有效地保护整个企业环境呢？

一般情况下，安全维护人员列出的头号问题是打补丁。对此而言，企业可能会有成百上千个需要打补丁的软件和系统，而攻击者经常用到的往往只是其中的两三个。但是又有多少公司会只将注意力放在那两三个软件上，而忽略其它的软件呢？几乎没有。

可以说社会工程问题仅次于补丁问题。许多企业的IT部门或保密部门都在抱怨员工的信息安全意识培训项目总是处于预算紧张的状况，因而无法定期给员工灌输最新威胁的知识以及应对技巧。大多数安全培训教育都是些过时的东西，又怎能跟得上“天才”黑客那些花样百处和与时俱进的手段呢？

好的信息安全意识培训会告诉员工企业实际使用的反病毒软件是什么或看起来像什么，以帮助用户辨别自己是否遇到了假冒的安全软件。还会告诉员工，他们更有可能被自己信任的网站感染，提醒他们不要运行来自任何网页的陌生可执行文件。与此同时，又有多少课程会通知那些总是成为入侵事件导火索的员工，以及告诉他们如何避免被入侵呢？

好的信息安全意识培训是安全防护体系极为重要甚至是最为重要的一环。

　　六、匿名之痛

企业购买的每个安全解决方案都只运行在一组特定的平台上，针对一组特定的威胁。就像打地鼠一样，这些软件只会盯着其中几个洞下手，解决威胁的方式也称不上完美。与此同时，狡猾的黑客却换了一个地方挖了一个新的洞。这是一场数字版打地鼠游戏，防御者永远不会赢。

在每一次攻击的背后，一个最基本的问题仍然没有得到解决。那就是网络身份的普遍匿名性。任何人都可以发送网络数据包，而服务器会不加甄别地把响应包传送回去。任何人都可以向你发送一封电子邮件，声称自己是某个谁。即，任何人都可以声称自己是任何人。这意味着，作恶的人很难被识别出来。只要这种情况延续，我们永远不可能战胜恶意的黑客。

虽然匿名也有好处。很多事例表明，相对的个人隐私应当得到保证，对于论坛和其它一些网络体系，保持参与者的匿名性可以带给运营方好处。这也是社会的一个基本真理，在此不予展开。

但很多人对无法确认身份的邮件感到恐惧，还有人由于收到了骚扰信息或针对人身的威胁而选择退出社交网络。更重要的是，如果我们有办法让参加在线交易的各方选择匿名性的具体程度，以决定交易是否继续进行，网络犯罪很可能会随之下跌，而识别甚至是起诉网络犯罪分子终将成为可能。

当然，在这方面没有什么一站式解决方案。这需要各方面的协同努力，不仅包括安全解决方案提供商，也需要大部分网民和用户的参与。然而我们都有足够的动机来作出这样的努力。防止成为僵尸网络的一分子，告别垃圾邮件，消灭恶意软件……

如果我们把关注点放在正确的防御方式上，这种局面可以发生。

(责任编辑：安博涛)