如今，各公司在網絡安全上的花費比以往任何時候都多，大量新的安全系統也擋不住黑客們的攻擊，而且攻擊勢頭越來越猛，對公司造成更大的財務和生意上的損失。

　　我認為，之所以會出現這種情況，是因為企業正在以錯誤的方式對待網絡安全。

　　盡管從邏輯上講，一家公司在網絡安全系統上的投入越多，就會被保護的更好，但這兩者之間并沒有必然的關聯。更重要的是：增加網絡安全支出往往會產生意想不到的效果，會給人一種虛假的安全感。

　　為了真正保護自己，企業需要放下這樣一種觀念：花的錢越多，實施的安全系統越多，得到的保護就越好。真正的安全要站在黑客的角度看待IT系統，并在系統的最脆弱的地方實施嚴格的保護。思考黑客最有可能使用的方法，公司最重要的資產才能得到保護。

　　對于許多企業來說，需要調整視角，并重新考慮“安全”對他們意味著什么。以下的步驟至關重要:

　　分析和優先排序數字資產

　　防御黑客攻擊最好是從業務角度分析企業的資產以及黑客攻擊的潛在成本開始。例如，當一個站點從備份中恢復，并且客戶抱怨缺乏社交媒體訪問權限時，企業需要花費大量精力來阻止這種攻擊，這種攻擊會使企業離線數小時。與此同時，對于那種包含了未使用或舊應用程序的服務器，就不用擔心被黑客攻擊了。

　　如果一個企業的資源有限，那么這些資源應該分配到哪里就很清楚了。因此，關于決定應該首先保護哪些資產，必須要看他們對業務的重要性以及擁有多少價值。這些都需要企業領導者來做決定，而不僅僅是IT團隊。

　　像黑客一樣思考

　　了解黑客的心理非常重要。黑客們尋找的是能夠提供低阻力、高質量的資產。如果他們在包含客戶數據或知識產權的服務器上發現一個“明顯的”錯誤配置，他們就會攻擊這個服務器，并且很大程度上會成功。

　　為了防止黑客攻擊，企業應將大部分安全工作、資源和預算用于保護服務器，并為訪問它設置盡可能多的障礙。多個防御層會導致黑客攻擊服務器需要花費大量時間、精力，因此黑客很有可能將目標轉移到容易攻擊的目標上。企業的首要任務應該是為關鍵資產設置防御，以便轉移黑客的注意力。

　　不斷反思并作出調整

　　“花錢防御”態度的一個弱點是，人們傾向于相信，企業花了這么多錢的安全系統能夠解決黑客入侵問題。但是黑客構成的威脅也在不斷變化著，許多現有的安全系統還沒有測試是否能夠抵御黑客威脅。

　　許多網絡安全計劃沒有考慮到需要經常修改和測試的問題。一個好的安全計劃需要不斷地檢驗和更新。大多數企業都在計劃并執行著一個長期計劃，且沒有建立持續進行更新防御系統所需的敏捷性和靈活性。這一點是必須改變的。

　　網絡攻擊的細節及其補救措施可能讓人眼花繚亂。考慮到當今IT系統的規模和影響范圍，即使是最能干的安全團隊也不可能將所有黑客擋在門外。花錢也解決不了這個問題;為了保護自己，企業盡可能提高網絡安全投資的效率而把錢花在刀刃上，才能確保他們的重要資產得以保護。