誤區1：網絡很復雜，我不會理解它。

現實：無需成為技術專家即可做出明智的網絡安全決策。

?我們每天都在做出安全決策（例如，是否打開警報），而不一定知道警報的工作原理。董事會定期做出財務或風險決策，而無需了解每個賬戶或發票的詳細信息。董事會應依靠其網絡安全專家提供見解，以便董事會能夠就網絡安全做出明智的決定。

誤區2：網絡攻擊很復雜，我無法做任何事情來阻止它們。

現實：采取有條不紊的網絡安全方法并實施相對較小的更改可以大大降低組織的風險。?

絕大多數攻擊仍然基于眾所周知的技術（例如網絡釣魚電子郵件），可以防御這些技術。一些威脅可能非常復雜，使用先進的方法來闖入防御非常完善的網絡，但我們通常只能在民族國家的攻擊中看到這種程度的承諾和專業知識。大多數組織不太可能成為這種類型的持續努力的目標，即使是那些組織也會發現，即使是最復雜的攻擊者也會從最簡單，最便宜的選擇開始，以免暴露他們的高級方法。

?誤區3：因為網絡攻擊是有針對性的，所以我沒有風險。

現實：許多網絡攻擊都是機會主義的，任何組織都可能受到這些非針對性攻擊的影響。

?大多數網絡攻擊本質上是無針對性和機會主義的，攻擊者希望利用系統中的弱點（或漏洞），而不考慮該系統屬于誰。這些可能與有針對性的攻擊一樣具有破壞性;WannaCry對全球組織的影響-從航運到NHS-就是一個很好的例子。如果您已連接到互聯網，那么您就面臨此風險。這種非針對性攻擊的趨勢不太可能改變，因為每個組織-包括組織-都會對攻擊者有價值，即使這只是您在勒索軟件攻擊中可能支付的錢。

?以下網絡安全漏洞調查的結果顯示了有多少組織受到網絡攻擊以及組織如何應對這種風險。報告全文提供了進一步的資料。

網絡攻擊如何運作？

提高對網絡安全的理解的一個好方法是查看網絡攻擊如何工作的示例，以及組織采取哪些措施來緩解它們。查看組織內發生的事件是一個很好的起點。

一般來說，網絡攻擊有4個階段：

• 調查-調查和分析有關目標的現有信息，以識別潛在的脆弱性。
• 交付-在系統中達到在系統中擁有初始立足點的點。
• 違規-利用漏洞獲得某種形式的未經授權的訪問。
• 影響-在系統內執行實現攻擊者目標的活動。?

防御網絡攻擊

了解網絡安全防御的關鍵是，它們需要分層并包括一系列措施，從技術解決方案到用戶教育再到有效的政策。上面的信息圖給出了防御示例，這些防御措施將幫助組織抵御常見的網絡攻擊。

我們關于實施有效網絡安全措施的部分提供了更多詳細信息和問題，您可以使用這些細節和問題來了解有關自己組織的防御措施的更多信息。