你的企业是否还在依赖早已过时的安全方法或技术?以下是一些应该被淘汰的过时安全做法。

1. 仅依赖边界安全

大型油轮运营商国际海道公司(International Seaways)的CIO兼CISO阿米特·巴苏(Amit Basu)指出，如今大多数工作环境都基于云端，通常采用远程办公，且高度分散，“过去那种固定边界的安全做法根本不适用”。

巴苏表示，在云优先、混合办公的环境中，用户和数据既存在于传统边界内，也存在于传统边界外，仅依赖边界安全会使企业极易受到横向移动攻击、勒索软件攻击和数据泄露的威胁，他建议采用零信任策略，即无论位置如何，都永不信任、始终验证。

2. 采用合规驱动的安全方法

数据安全服务公司Bedrock Security的首席安全官乔治·格尔乔(George Gerchow)表示，太多团队让合规性主导其安全计划，更关注于走过场，而非克服实际的网络安全挑战，他指出，许多企业努力达到合规标准，却仍遭遇严重的数据泄露事件。原因何在?格尔乔说，这些企业将监管要求置于消除实际安全风险之上。“这种以治理、风险管理和合规(GRC)为导向的思维已经过时且低效。”

格尔乔认为，合规驱动的安全会让人产生一种虚假的安全感，同时分散了应对实际威胁的精力。

他说：“我见过大型GRC团队整天忙着回答客户问卷、应对审计，而不是保护数据、管理访问控制或监测新出现的威胁。”

Bedrock Security发布的《2025年企业数据安全信心指数》显示，82%的安全负责人表示存在严重的可见性缺口，65%的人表示定位敏感数据需要数天甚至数周时间。“合规并不能解决这些问题，”他说，“它往往只是在记录问题。”

格尔乔表示，企业必须回归核心安全原则：深度数据防御、零信任以及持续自适应风险与信任评估(CARTA)，以实现持续监测。

3. 依赖传统VPN

IT服务公司CDW的全球安全战略负责人巴克·贝尔(Buck Bell)表示，传统VPN效率低下、操作繁琐，难以管理且容易出现长时间故障。“它们无法满足现代工作场所的需求，尤其是当领导者希望为其团队提供更无缝、灵活的资源访问方式时，无论团队成员是在办公室还是远程办公。”

贝尔指出，依赖传统VPN技术存在重大风险，因为这些技术并不总能得到定期更新和补丁，可能会使企业暴露于网络威胁之下。“此外，传统系统无法扩展，因为VPN难以满足成长型企业不断变化的安全需求，随着攻击面的扩大，这带来了诸多挑战。”

贝尔说，更好的方法是采用安全访问服务边缘(SASE)并树立零信任思维。“这些策略通过验证每个试图访问网络资源的用户和设备来增强安全性，”他解释道。贝尔补充说，这种方法减少了许多VPN所依赖的猜测和假设。“它为远程工作者提供了更好、更安全的访问方式，为企业的数据提供了一种主动防护方法。”

4. 认为终端检测与响应(EDR)就能提供充分保护

网络安全技术提供商NopalCyber的首席解决方案架构师米歇尔·萨胡恩(Michel Sahyoun)表示，尽管终端检测与响应(EDR)解决方案相比传统防病毒保护有了显著进步，但在当今的威胁形势下，仅依赖这一方法是不够的。

他指出，EDR擅长监测和响应基于终端的活动，利用行为分析，并采用威胁狩猎技术来检测复杂攻击，然而，攻击者越来越多地完全绕过终端，转而针对云环境、网络设备和嵌入式系统。

萨胡恩说，过度依赖EDR可能会造成严重的安全漏洞。“虽然终端可能得到了很好的保护，但攻击者仍可能在云环境、网络基础设施或嵌入式系统中悄无声息地活动，访问敏感数据或横向移动而不触发EDR警报。”他补充说，过度依赖EDR可能导致入侵行为长时间未被发现、数据泄露或勒索软件攻击，而企业却对此一无所知。

萨胡恩指出，攻击者可以利用OAuth令牌未经授权地访问云平台，如Microsoft 365、Google Workspace或AWS，而无需与EDR监控的终端进行交互。

“同样，网络设备和物联网设备往往缺乏强大的监控或取证能力，成为了安全盲点。”他说。与此同时，由于日志记录有限、付费可见性功能以及缺乏全面的检测内容，云环境进一步增加了检测难度。“这种向利用信任关系、身份和API的转变，使得仅依赖EDR的以终端为中心的方法显得力不从心。”

5. 使用短信进行双因素认证

微软安全的高级安全保障负责人阿帕娜·希马特拉姆卡(Aparna Himmatramka)表示，基于短信的双因素认证曾被视为比单纯基于密码的认证更安全的选择，但现在人们已经认识到它容易受到多种攻击手段的影响。

她指出，电信基础设施在设计时并未考虑安全性。“除此之外，即使到了今天，蜂窝网络仍在使用可能被利用的过时协议，而且运营商之间转移电话号码的过程缺乏严格的身份验证。”

希马特拉姆卡说，另一种与蜂窝网络相关的危险是SIM卡交换攻击，这是许多犯罪分子常用的一种手段，他们说服移动运营商将受害者的电话号码转移到他们控制的设备上，从而拦截认证码。

6. 依赖本地部署的SIEM系统

Bedrock Security的格尔乔同时也是安全咨询公司IANS Research的教员，他表示，本地部署的安全信息和事件管理(SIEM)工具会导致警报疲劳，而且往往不具备云感知能力，这迫使企业要么以高昂的成本移动和存储大量数据，要么冒着遗漏保护云部署所需关键日志的风险。

“如果我要为日志支付高昂的费用，我就不得不做出选择——这就像是在拿我的安全态势赌博。”他指出。

格尔乔说，许多企业由于担心将敏感数据放在云端而坚持使用本地部署的SIEM系统。“但说实话，这种担忧已经过时了——是时候向前看了。”

7. 让终端用户在安全文化中被动参与

安全、云和协作解决方案提供商XTIUM的首席技术顾问凯文·沙利文(Kevin Sullivan)表示，现实情况是，在任何安全系统中，人都是最薄弱的环节。“坏人只需要成功一次，就能在一次攻击中针对数百万人、流程和系统，”他指出，“而好人则必须每天、每次都要做到万无一失。”

沙利文说，没有人认为自己会成为网络钓鱼攻击的受害者，但人们却不断中招。“你只需要在错误的时间、错误的地点‘逮到’一个用户，”他警告说，“利用LinkedIn、Facebook和各种其他来源轻易获取的信息，采用先进的社会工程学手段，攻击的复杂程度前所未有。”

沙利文认为，主动安全才是解决之道。对于任何企业来说，配备正确的安全工具和实践都很重要，但开展安全意识培训，教育并赋能用户，使其成为保护数据、系统和业务运营的积极参与者，则至关重要。

他说：“如果没有对持续教育、准备和参与的持续承诺，尽管企业在安全工具、解决方案和策略上投入巨资，但最终仍可能失败。受过良好教育、准备充分的用户群体是第一道也是最强的防线。”