以下5個事實，是很多計算機安全風險和漏洞利用背后的根源。如果你現(xiàn)在能很好地理解它們，未來你就能領先同行一步。

　　事實1. 每家公司都被黑了

　　每當最新大型數(shù)據泄露事件曝出，人們可能會覺得，涉事公司肯定是在計算機安全方面做得不好。下一次重大黑客事件發(fā)生，造成數(shù)百萬客戶記錄被盜或上千萬美元損失時，你應該想的是，“每家公司都被黑了。這不過是媒體當前正在熱炒的一起而已?！?/p>

　　每家公司都被某惡意黑客完全掌握，或很容易被黑客掌控。事實就是如此。當然，完全沒有互聯(lián)網，且硬盤每天收工時得放入保險箱的絕密軍事設施除外。這里說的只是普通企業(yè)或小公司。

　　評估公司網絡安全狀態(tài)的時候，大多數(shù)情況下，都會有不止一名黑客隱身在被評估公司網絡某處。尤其是最近10年，甚至會有幾組黑客藏匿數(shù)年之久。典型案例是一家公司同時有8個黑客小組盯上，其中幾組在其網絡中遨游了有10年之久。

　　該案例很有意思，因為該公司尋求安全評估的原因之一，是有個他們并不想打的軟件補丁，無論他們怎么選擇，都會被打上。該黑客組織實在等不了這家受害公司自己建設安全環(huán)境了，因為越來越多的黑客小組正在涌入。當黑客都比你自己更關心安全，那問題就大了。

　　得到合法授權后，普通滲透測試員往往能在1小時之內，就可突破防護進入被評估公司網絡內部。已經做過滲透測試，并按安全建議加強了防護的公司，滲透時間可能會長一些。頂級滲透測試員侵入公司的速度還會更快，更別提坐擁無數(shù)零日漏洞的國家支持黑客了。

　　全世界的計算機，安全防護都很糟糕。都不需要零日漏洞利用，東摸摸西碰碰，找個容易侵入的弱點就可以。大多數(shù)公司在保護計算機安全上遠不足夠。很多都是說得好聽，但一旦落到實處，例如完善補丁、應用那些控制程序、斷網等，就都不愿意去做了，至少目前是這樣。

　　事實2. 大多數(shù)公司不知道自己最容易被侵入的方式

　　5%-20%的IT安全員工能猜出自家公司最易被侵入的方式，但找不到任何數(shù)據來支持自己的論點。這意味著最少也有80%的IT安全員工覺得是其他什么因素。其他IT員工和公司其他部門的人，就更沒頭緒了。如果一家公司絕大多數(shù)人都不知道最大的威脅是什么，何談有效防護?

　　昭示最大威脅的數(shù)據這種東西是不存在的。你可能會覺得，花個幾百萬美元，往事件日志管理系統(tǒng)里灌入無數(shù)事件，“最大的威脅是什么”這種問題，答案自現(xiàn)。然而并不是。這個問題永遠都沒那么容易解答，尤其是你連問都沒問的時候。

　　事實3. 真正的威脅和感知到的威脅之間是天差地別的

　　你最大的潛在威脅和最大的實際漏洞利用之間，隔著一條馬里亞納海溝。懂得其間差別的安全防御者，其價值堪比珍寶。

　　每年都有5000-7000個新漏洞利用出現(xiàn)，且十幾年來一直保持這個頻度。其中1/4到1/3被標記為高危。這意味著，執(zhí)行漏洞掃描軟件或查看補丁管理報告，你總會發(fā)現(xiàn)有成噸的“高優(yōu)先級”漏洞等待修復。一口吃不成胖子，每次能專注修復的也就那么幾個。于是，如果你的報告中有20個第一優(yōu)先級漏洞需要修復，你該怎么辦?

　　從會對你當前環(huán)境造成最嚴重破壞的開始，然后是最有可能的元兇。最大的敵人，未必是排序最高的漏洞。都無所謂。關鍵性排序，是按造成傷害的可能性來排的。真正的傷害，未來最有可能的傷害，勝過猜測。理解這一點，應該會改變作為計算機安全防御者的很多操作。

　　事實4. 防火墻和殺毒軟件沒那么重要

　　今天的很多威脅，都是客戶一端的威脅，是由終端用戶引發(fā)的。也就是說，這些威脅已然穿過了所有防火墻(比如網絡和主機防火墻)，抵達了用戶的桌面電腦。威脅一旦滲透到這一步，防火墻也就提供不了什么價值了。

　　傳統(tǒng)防火墻的主要價值，是阻止對現(xiàn)有脆弱服務的未授權連接。如果你的服務很健壯，防火墻可能就提供不了太多價值。這并不是說它們就沒有任何價值。防火墻可以，也確實在提供價值，尤其是智能深度包檢測防火墻。事實只不過是，大多數(shù)威脅不再是它們阻止的東西，于是，它們曾經的巨大價值，也就煙消云散了。

　　殺毒軟件沒什么價值，因為哪款殺軟都很難對所有新興惡意軟件100%有效。但凡看到什么“100%”的評分，別信。這種測試都是在受控環(huán)境下進行的，測試環(huán)境中的惡意軟件才沒有像現(xiàn)實世界中那么頻繁地更新呢?，F(xiàn)實世界中，你遭遇到的惡意程序先頭部隊，不過是個下載器，用來下載能繞過所有殺軟的全新惡意軟件的。

　　事實5. 100%昭示風險的2個問題

　　十幾年來，被漏洞利用的兩大最可能原因，就是沒打補丁的軟件，以及誘騙某人安裝不該安裝的東西的社會工程事件。這2個問題幾乎擔起了近100%的風險。說世界上所有其他漏洞利用類型加到一起才占1%的風險，或許有點牽強。但可以說，如果你不解決好這2個最大的問題，其他問題就都不重要了。

　　1個沒打補丁的軟件程序，往往承載著90%多的Web漏洞利用。社會工程又占了剩下的大部分。請一定確保自己的關注重點落在正確的問題上。