应立即终止的 7 种过时的安全实践

国际海运公司International Seaways的首席信息官兼首席信息安全官Amit Basu指出：当今工作环境多基于云端、远程化且高度分布式，"保护固定边界的旧模式已完全不适用"。

 

Basu表示，在云优先的混合办公环境中，用户与数据既存在于传统边界内外，仅靠边界防护将使企业极易遭受横向移动攻击、勒索软件及数据窃取。他建议采用零信任原则，无论用户或资源位于何处。都永不信任并始终验证。
 

数据安全服务公司 Bedrock Security 的首席安全官 George Gerchow 表示，太多的团队让合规性来驱动他们的安全计划，更关注"打勾"而非解决实际挑战。许多企业虽满足合规标准仍遭严重入侵，根源在于将监管要求置于真实风险之上。这种GRC（治理、风险与合规）驱动思维已过时且功能失调。

 

Gerchow认为合规性驱动的安全会造成一种虚假的保护感，同时分散资源，使其无法专注于实际威胁。"我目睹大型GRC团队终日填写客户问卷、应付审计，而非保护数据、管理访问控制或监控新兴威胁。"

 

根据 Bedrock Security 的《2025企业数据安全信心指数》，82%的安全负责人承认存在重大可见性缺口，65%表示定位敏感数据需数天甚至数周。

 

"合规无法解决这些问题，往往只是记录问题。"Gerchow强调企业必须回归核心安全原则：数据深度防御、零信任及持续自适应风险信任评估（CARTA）。
 

IT 服务公司 CDW 的全球安全战略主管 Buck Bell 指出，传统 VPN 效率低下且繁琐，其难以管理并容易出现大量停机。“它们无法满足现代工作场所的需求，尤其是当领导者希望为团队提供无缝、灵活的资源访问时。”。
 

传统VPN技术因缺乏定期更新修补而构成重大风险，且"无法随组织扩张而扩展，难以满足演进的安全需求，在攻击面扩大时引发挑战"。Bell主张转向安全访问服务边缘（SASE）并采用零信任思维："这些策略通过验证每个访问网络资源的用户设备来增强安全"，减少VPN依赖的猜测假设，"为远程工作者提供更优更安全的访问路径，主动守护组织数据"。
 

网络安全技术提供商 NopalCyber 的首席解决方案架构师 Michel Sahyoun 指出，尽管端点检测和响应较传统杀毒软件显著进步，但在当今威胁环境中仅依赖 EDR 是不够的。
 

EDR 擅长利用行为分析和威胁狩猎来监控、响应基于端点的活动并检测复杂攻击，但攻击者正越来越多地完全绕过端点，转而瞄准云环境、网络设备和嵌入式系统。Sahyoun 警告，过度依赖 EDR 会产生关键漏洞：“即使端点防护良好，攻击者仍可在云环境、网络基础设施或嵌入式系统中潜伏、窃取数据或横向移动而不触发 EDR 警报，这可能导致长期入侵、数据泄露或勒索攻击却浑然不觉。”
 

攻击者可利用OAuth令牌未经授权访问Microsoft 365、Google Workspace或AWS等云平台，完全避开EDR监控端点。同样，缺乏强监控或取证能力的网络设备与IoT设备也成为盲区。同时，云环境则因有限日志、付费可见性功能及缺乏全面检测进一步加剧发现难度。Sahyoun 道："随着攻击向利用信任关系、身份及API的转移使得EDR以端点为中心的方案孤立无援。”
 

Microsoft Security 高级安全保障主管 Aparna Himmatramka 表示，基于短信的双因素身份验证（2FA），曾被视为较单独密码认证的重大安全改进，但如今却被证实存在多重攻击向量。
 

"电信基础设施从未以安全为设计目标，且当今蜂窝网络仍使用可被利用的过时协议，运营商间号码转移流程缺乏严格身份验证。"另一威胁是SIM卡劫持攻击——罪犯诱使运营商将受害者号码转移至其控制设备，从而截获验证码。
 

Bedrock Security 的首席安全官 George Gerchow指出，本地化SIEM工具导致告警疲劳且通常不感知云环境，迫使企业高价迁移存储海量数据，或冒险遗漏保护云部署的关键日志。
 

“若为日志支付天价费用，我将被迫选择性存储——这是在用安全态势赌博。” 针对许多组织因担忧敏感数据而固守本地 SIEM，Gerchow坦言：“老实说，是时候该向前看了。”
 

安全云协作方案商XTIUM首席技术顾问Kevin Sullivan强调："任何安全体系中人都是最弱环节。攻击者只需成功一次，就能在单次攻击中锁定百万人群、流程及系统；防御方却必须时刻保持完美。"
 

“没有人会承认自己会成钓鱼攻击受害者，但人们却持续中招。”Sullivan警告，"通过社交平台获取信息，结合高级社工手段，目前攻击复杂度已达空前水平。"
 

Sullivan主张：“部署安全工具与实践固然重要，但培养用户安全意识使其主动守护数据、系统及业务运营才是关键。若缺乏持续教育、准备及参与，企业即便重金投入安全工具方案也注定失败。训练有素的用户群体是最坚固的第一防线。"