在趋势科技CloudSec2015采访了前美国中央情报局(CIA)技术长(CTO) BobFlores先生后深深的感受到——安全真的不是买了设备、买了服务那么简单的事情!

　　坏消息

　　前美国中央情报局(CIA)技术长(CTO) BobFlores先生在趋势科技CloudSec2015网络安全大会上说的第一句话就是“这里有一个不好的消息”，如今恶意软件在呈现泛滥的趋势，攻击者一方面可以在很短时间内实施入侵，也会耐心潜伏起来。防护力薄弱的企业，分分钟的时间内就会面临各类恶意入侵、数据外泄等安全风险。

　　调查数据显示，99%的漏洞在一年内可以被利用，76%的漏洞在2年可以被利用，9%的漏洞在10年还可以被利用。用户对于给漏洞打补丁这件事儿还是不够积极。76%的企业没有安全应急预案，其需要花费超过200天的时间去制定有效的安全应急预案。23%的收件人会打开钓鱼邮件，有11%的人会点开钓鱼邮件里的问题附件。另外，DDoS类攻击虽然极难防范，但其在所有攻击里所在比例反倒很小。

　　美国人事管理局被入侵案例里，有2100万的用户资料被盗。而实际上这一入侵事件早已经发生，但被发现却很晚。其入侵检测系统虽然能够发现入侵，却没有有效的安全防护去阻断攻击，而且其数据也没有进行相关的安全加密防护。

　　攻击者都是谁?

　　Bob表示，成功的攻击主要由是有组织的攻击团体所发起。而且要注意，产业链相关企业很可能会成为恶意攻击的跳板。

　　现在的恶意程序非常狡猾，所以要通过沙盒、蜜罐、大数据分析等技术进行应对，但这些远远不够，还需要专业的安全团队，并提高人们的安全意识。而通过共享安全情报则能够提高整体安全防护水平。

　　Bob建议用户，首先要确定自己所最需要保护的目标，然后据此来制定安全防护策略，部署安全防线。还要不停的对公司员工进行安全教育，告诉他们哪些邮件不能看，当发现问题时应该找谁来处理。而且这是一个需要持续进行的工作，因为攻击者有着明确的目标，其会施尽手段不达目的不罢休。所以防护者也要做好持久战的准备，并对重点目标实施重点防护。

　　“公司要建立好安全应急小组，人力、法务、公关之间也要形成良好的应对机制，并进行桌面以及正式的演练，使得每个人都知道安全事件发生时需要怎样去做。”另外告诉你一个秘诀，让公司的老板认可安全防护会更有利于公司的网络安全建设。

　　怎么才能最好的规划安全预算?首先要做好计划，确定安全防护的深度，同时参考各类相关标准。企业安全需要计算好ROI(投资回报率)，做好安全评估，辨识出公司的核心安全需求，并做3-5年的预期。而且每年都要根据业务发展情况、安全威胁情况重新进行评估。可惜的是，目前只有很少的安全预算是花费在安全应急预案上，这远远不够。

　　应对恶意攻击让每个人都成为安全专家

　　Bob在其网络安全职业生涯里遭遇了“好多”让人头疼的恶意攻击，其中有两类让Bob印象最为深刻。“零日攻击是最难防御的，需要尽快的应变。”现在人们正在研究各类新型安全技术——比如通过观察智能电话电量的变化——来试图能够及时发现恶意攻击行为。另外，人的行为不可预测——人心难测，来自企业内部的攻击也十分难于判断、防御。比如人员临时的工作变动，却可能被安全系统判定为异常。

　　责任编辑：DJ编辑