21、构建有效防御：企业网络安全的挑战与策略

构建有效防御：企业网络安全的挑战与策略

1. 攻防的升级态势

在网络安全领域，每一种防御能力都对应着攻击者可能用来突破它的工具、技术或流程。不存在“完美”或“牢不可破”的防御，防御措施只需足以抵御预期攻击者的资源即可。企业应持续监控整个防御体系，以便及时察觉攻击是否突破了每一层防御边界。

大多数现实世界中的攻击采用相对简单的方法，如鱼叉式网络钓鱼、利用已公开的漏洞、窃取凭证和入侵网站等。攻击者很少使用零日漏洞利用、突破管理程序、破解强加密或获取物理访问权限等高级攻击手段，因为基本方法就已足够有效，且实施起来更简单、成本更低。因此，企业在高级防御（如数据加密和高安全性硬件）上的许多投资可能会被浪费，因为企业仍易受到更基本形式的攻击。

在设计企业防御时，应确保基本防御能力正常运行后，再投资于先进技术。

2. 安全面临的业务挑战

2.1 安全与生产力的矛盾

安全和生产力往往相互对立，这导致了两者之间的显著矛盾。安全措施通常会增加成本、减缓进度并增加操作步骤。虽然供应商常声称其安全技术“无缝集成”且“对用户不可见”，但实际情况很少如此。安装、升级和操作这些技术都需要人力投入。

特别是限制系统和数据访问的技术，需要持续投入精力来授予和撤销访问权限。当人们等待访问权限时，会产生实际的生产力损失。这种损失可能看似较小，但对于一家年收入 10 亿美元的公司来说，安全措施使生产力降低 1%，每年就会导致 1000 万美元的生产力损失，这些成本会迅速累积。

安全成本可以通过避免安全事件发生所节省的成本来抵消，但与购买安全措施的显著成本相比，这种成本避免的实际价值存在争议。例如，企业每年花费 1