相信每家企业都有安全预算，但这些钱是不是花在点子上了？恐怕没有一个精确的衡量指标，要想花费有的放矢就要知己知彼，否则就是花了冤枉钱。

安全投入回报难觅

由微软联合调研机构公布的一项数据显示，2019年全球的网络安全市场整体规模超过1240亿美元，但另一项数据却是全球企业用户因网络攻击所损失的资金达到1万亿美元。与此同时，这些企业对于安全投入的信心也在日益衰退，更多的企业宣传并没有在投入中看到应有的效果。

企业预防要自知

对于企业CIO来说，云安全依然是重大挑战。赛门铁克的调研数据显示，企业CIO对企业所采用的云应用数量并不了解。当被问及这一问题时，大多数受访者认为自身企业所采用的云应用数量最多为40个，但企业的实际应用数量已接近1000个。

这种认知上的差距，可能会令员工在未采取足够政策和流程的情况下使用云端技术，增加使用云端应用程序的风险。赛门铁克预计，云中的安全风险正在逐渐加大，除非CIO能够严格控制企业内部所使用的云应用，否则未来将面临严重的安全威胁。

谁也不敢保证完全安全

此外，安全人员也很难明确在安全投资上带来的回报。相较被攻击之后的疲于应对，有完善的安全机制无疑要更好。有些人可能会选择大规模部署网络基础设施，但这种办法只能拖延黑客的攻击进度，并不能解决问题。与之相比的话，还不如去“屏蔽”那些区域性或者说临时性的地址段，减少受攻击的风险面。

从表面上看， 虽然通用型的勒索软件攻击有下降的趋势，但这些威胁却变得更有针对性。对于很多安全事件来说，没有及时安装补丁和钓鱼类的电子邮件仍是主要漏洞。近年来，电子邮件已经成为网络攻击者实施感染的首选途径，对用户的安全构成了严重威胁。

赛门铁克曾指出，电子邮件中包含恶意链接或附件的比例为1:131——成为五年来最高比率。此外，商务电邮攻击骗局通过向用户发送精心编排的钓鱼邮件进行攻击——攻击者每天将超过400家企业作为攻击目标，并在过去三年内从企业中诈骗超过30亿美元。

威胁溯源一直是难题

而没有安装补丁的漏洞则在于，会为劫持软件带来可乘之机，黑客通过发送的电子邮件、恶意链接等附件让系统感染病毒，也有通过网络脚本运行的恶意程序，对此不少浏览器都开发了拦截功能。不过，黑客又找到了加密劫持的新方式，这种攻击行为可以秘密运行，入侵后会慢慢消耗系统资源，缩短其运行寿命，对设备造成连锁攻击，而且就算被发现，在追溯攻击源头时也较为困难。

环境复杂性提供难防

随着黑客攻击的复杂性提高，站在安全产品供应商的角度，很多销售人员也难以去评估某款产品到底能否客户带来何种价值，专注于应用程序的已知良好行为的概念也曾尝试落地，但挑战始终在于无法全面理解应用程序。要知道，单一的设备已经无法对抗黑客的高级攻击，因此很多企业会找安全厂商来进行网络安全运营，包括监控、分析、响应，甚至高级情报。

例如在云环境中，IaaS在敏捷性、可扩展性、创新性和安全性等为企业带来优势，同时也带来了风险，简单的错误即可导致严重的数据泄露。传统控制措施难以与IaaS层面以上的安全控制良好对接，造成混乱、错误和设计问题，用户无法高效应用控制措施，并忽略新的控制措施。

结束语

企业的安全策略要根据不同的应用环境具有针对性，并且要明确内部的需求到底是怎样的，否则就难免花了冤枉钱。