深刻理解：網絡安全與醫療保健之間的內在邏輯！

從90年代初到現在，我們見證了互聯網從撥號連接到高速云計算的長足進步。企業在不斷變換的技術迷宮中游走的同時還需抵御四面八方涌來的網絡攻擊。然而，網絡安全領域發展了30年，企業如今仍受困于1995年剛接入互聯網時遇到的那些問題。

通過電子郵件攻擊用戶、經由拒絕服務攻擊活動破壞可用性，以及利用應用程序漏洞入侵系統，仍舊是攻擊者無往而不利的慣用策略。

甚至直到今天，即便安全意識提升，即使數據泄露事件頻頻見諸報端，企業領導和開發人員仍沒學會在新技術和必要的安全之間取得平衡。企業仍舊著重功能和產品上市時間，而不是確保安全和產品行為可預測。這就造成基礎設施薄弱，攻擊者能夠持續成功利用，日常取得豐碩“戰果”。

于是問題來了：全球每年花在信息安全和風險管理產品與服務上的支出預計高達1883億美元，為什么網絡安全損失還在逐年增加？

治標不治本

幾十年來，供應商一直在向市場灌輸網絡安全問題的解決方案在于技術的理念。于是，一個又一個技術解決方案陸續面世。同樣的觀點也讓人們覺得吃片藥就能減肥——不是健康飲食或者加強鍛煉，而是花錢就能讓問題消失的輕松速效解決方案。

安全預算方面的增長表明這種思路非常普遍，可導致不斷超支的惡性循環。事實上，雖然很多技術有其價值，但網絡安全問題源于漏洞。

就跟中途停藥和用繃帶包扎骨折一樣，毫無計劃地采用技術會引發對不完善系統的迷之自信。很多企業枉顧夯實基礎防護而聚焦閃亮新鮮攻擊，這種重點錯置造成受害文化持續，漏洞更是永無止境。

安全成本高企和網絡攻擊破壞力巨大不是什么新鮮事，這都是多年來忽視基本安全策略和最佳實踐的連帶傷害。越來越多的安全投資花在了分析師、供應商、媒體報道和從業者好奇心所推動的時尚防護技術上。

不斷變換的工具和重點還導致資深安全主管身心俱疲，產生職業倦怠，進一步加劇了網絡安全人才短缺的情況。為應對一直延續的漏洞問題和與日俱增的安全壓力，我們需要換個角度看待網絡安全問題，認識到企業的成功仰賴健康的安全態勢。

網絡安全治未病

企業應像普通人對待自身健康一樣考慮自己的安全實踐，專注保持健康而非每看到一個安全癥狀都找片新藥吃下去。醫生告誡的類似原則同樣適用于網絡安全韌性：管住嘴、邁開腿、定期體檢。

安全方面的基本食物類別是預防、檢測、響應和修復。應根據企業的具體需求恰當平衡好每個方面。預防措施不足，檢測、響應和修復就會應接不暇。響應不力，安全事件就會一直拖延。企業安全計劃應只攝入自己所需且自家團隊能夠消化利用的。超量攝入，你的預算將不堪重負。

網絡安全訓練意味著定期進行意識培訓、桌面推演、執業認證、資產清單核查和滲透測試。團隊需了解各自最新的角色和職責。只要肯花時間經常鍛煉安全力量，你的響應就會更快、更有針對性，企業也能少受安全事件干擾。

一年一度的體檢大家都煩，但這確實是了解身體是否如自己所想那么健康的好方法。最好找時間過一遍你的安全計劃，確保計劃仍舊是平衡的。還要讓團隊仔細檢查關鍵控制措施和相關標準及最佳實踐的合規情況。時不時地聽聽他人的意見，找跟自己業務不搭界的第三方來審視一下自己的安全狀況。網絡安全健康狀況良好意味著要查找哪怕最微小的指征，這些指征表明可能遺漏了什么東西。用不了多久，被遺漏的盲點就會讓你陷入全部努力付諸東流的風險之中。

如果確實病了……

攻擊能力層出不窮，威脅形勢豐富多樣的當下，維持有韌性的可信安全系統很是復雜。據估計，每天檢測出的新惡意軟件超過25萬個。我們需要像醫療保健行業應對不斷變化的流行病挑戰一樣診斷和處理新問題。

醫療系統能夠緊跟新出現的疾病和變異疾病，因為有專家專注單一病癥，確定識別和診斷的最佳方法。還有另一組專家專注于盡早解決問題的治療方法。其他人則開發支持診斷和治療的專業設備，同時，醫院和整個醫療保健生態為患者提供支持。

只要我們了解自己的公司，清楚自己可能面臨的威脅，我們就可以開始過上幾十年來一直追求的可預算、可預測的健康企業網絡安全生活。重視網絡健康，我們就可以治愈過去30年來困擾行業的根本問題，而不再僅僅處理一個個癥狀和攻擊。