很多时候，公司的网站被入侵、数据泄漏等，并不是安全部门的人不上心，而着实是没办法。他们仅仅是在一个烂布上缝缝补补而已。

0x00

钓鱼？YYDS

很多时候，不是技术不够先进，也不是公司不舍得给安全部门预算，而仅仅是有人为了200块钱的优惠券而点了一封钓鱼邮件，成功的干翻了每年花近百万买的防火墙。

很多时候，往往是因为对网络安全培训不够重视（或者仅仅是因为不在乎），甚至一些理论上不应该受骗的人（比如各种管理层），也会犯下这种低级错误。

边缘化的安全团队

安全不仅仅是技术问题，更是一种组织上的问题。没有管理层的支持和参与，安全团队再怎么努力也是白费。

有太多公司，安全团队被边缘化，安全措施得不到有效执行。或者一些手持大量用户敏感数据的公司，甚至没有安全团队，用户的隐私如何保障？

表面功夫

很多公司所谓的安全，只是符合XXX安全标准，认为只要通过了各类合规认证，那我们的公司就是安全的。但现实是，合规只是安全的基础，后面需要持续地行动和投入。

第三方风险

很多公司会忽略第三方供应商的安全问题，但是它们往往是攻击者的重点攻击对象。比如之前的超大型数据泄漏，就是通过第三方供应商泄漏的。

技术债务

这属于开发和安全的battle了，很多公司使用的技术框架还是远古时代的，而开发为了稳定性考虑，不愿意升级，但是这些老旧技术又往往存在大量的安全漏洞，成为网络安全的隐患。

那开发不愿意升级，安服仔们又能有什么办法呢？

地位低下的安服仔们

安全部门一般是属于成本部门，也就是花钱的部门，而像一些利润部门，也就是给公司带来收益的部门，很多时候他们可以无视公司的安全规定，而不会被问责。

毕竟人家在公司内地位高。而这种情况，往往会导致破窗效应。

过度依赖技术

很多公司虽然会舍得给安全部门花钱，但是只是买买买，买了一堆的贵得要死的软件和设备，而忽略了人的因素。即不进行安全宣讲，也不进行安全培训。

只能说，钱不是这么花的。

0x01

安全做得好的公司千篇一律，出现问题的公司各有不同。有一说一，这其实并不仅仅只是一个安全部门可以解决的问题，就像前几年在互联公司流行的中台一样，需要从组织上，至上而下的进行推动，并给予他们足够的权限。

不知道各位师傅们还有遇到过哪些问题或者神坑？

加个星标关注不迷路 ★ 更多原创文章第一时间推送!
点赞，在看，分享，我都可以的