网络安全就像一座冰山。大多数领导看到的——令人眼花缭乱、充满指标、精美报告、合规认证和事件响应计划的表单，只是可见的冰山一角。真正的网络安全风险往往隐藏在水面之下，悄无声息地累积在那些，然而却无人敢去质疑，直到事件发生，风险隐患才被揭露出来，然而也只是揭露一个点，并未全面揭露，只待下一个攻击事件爆发而已。

结合国内外报道以及在外交流实践，不难注意到一个规律：领导者认为某些风险在可控范围内，因为这些风险在纸面上看起来处理的不错，甚至有很多单位甚至害怕纸面上暴露问题，引起更高领导的指责而不敢呈现，所以就算是纸面的安全问题，领导层有时也不见得看的是真实的。所以实际上，掩盖了的风险恰恰是最有可能造成业务中断的风险之一。

以下是每个管理团队都应该质疑的五个最顽固的网络安全幻觉，也是领导们在承担网络安全责任过程中，需要考虑的。

1.第三方风险管理（供应链安全）

假设：供应商安全已得到处理，因为供应商已填写调查问卷或发送了SOC2合规性检查表。

现实：第三方入侵是攻击者最常见的入侵方式之一，而且对于最终付出代价的公司来说，这种入侵方式最不易察觉，因为无论你是否留意，你都会承担他们的风险。想想美国大规模的SolarWinds网络攻击，攻击者入侵了该公司的软件，并访问了其企业和政府机构网络。

洞察：供应商声称安全并不意味着它真的安全。大多数组织每年仅对供应商进行一次检查。留下了巨大的漏洞。你需要问自己，否在近乎实时地监控第三方？如果没有，那么你假设的安全级别根本就不存在。同时，供应商是否落实了法定网络安全责任和义务，如果供应商自身网络安全都做的一塌糊涂，你如何指望他给你把网络安全工作做好，难道就是凭借一些表格与破解版的渗透测试工具吗？

2.满足合规等于安全

假设：国外符合NIST、SOC2或ISO，国内的所谓过“等保”，所以感觉我们一定是安全的。

现实：合规工作是基础工作，无论哪个国家的合规框架都是滞后指标，只能反映某个时间点的真实情况。仅此而已。很多经历过审计的人，有人提交了写得漂亮的政策和截图，但这些都无法证明控制措施是否在日常工作中真正发挥作用。这就像一座纸牌屋，外表看似坚固，但稍有压力就会倒塌。

洞察：许多通过合规性审查的组织在实际事件中仍然会失败，因为他们从未测试过这些假设。合规性与韧性不同。如果你把它当作一个复选框，你只是希望一切在关键时刻都能顺利进行。

3.凭证滥用和过度许可

假设：因为有多因素身份验证，所以员工凭证是安全的。

现实：如果攻击者获得一个有效凭证，他们通常可以横向移动数月而不会被任何人察觉。IBM的《2024年数据泄露成本报告》指出，攻击者平均在环境中潜伏204天而不被发现。这意味着攻击者拥有六个月的访问权限，而你却认为一切正常。最大的问题之一是权限过度。在许多小型组织中，IT部门的Joey掌握着所有权限，因为这样更容易设置。如果Joey的账户被盗，就有可能造成灾难性的数据泄露。

洞察：无论MFA多么强大，都不能轻易相信凭证。需要规划攻击者一旦入侵可能采取的行动，并限制其造成的损失。否则，就等于把业务押注于一层永远有效的防御之上。

4.对事件响应过度自信

假设：有一个事件响应计划，所以应急处置就是已经做好了准备。

现实：大多数事件响应计划都只是纸质文件或PowerPoint演示文稿，从未有人实践过。一旦真正发生，场面只会一片混乱。发生事件，就像我递给你们一个着火的篮球。你们不能把它传给别人。你们必须自己出手。如果你从未练习过，你们就会站在那里，双手燃烧，而组织却在你周围崩溃。

洞察：韧性关乎肌肉记忆，即在危机来临时准确知道该做什么。是否认真测试过如果三天内电子邮件无法正常使用会怎样？领导是否知道该给谁打电话、说什么以及如何维持业务正常运转？如果答案是否定的，那么您还没有做好准备。

5.表面指标式样的安全准备

假设：表面式的网络安全指标能让人清楚地了解网络安全实际准备情况。

现实：大多表面指标式样都充斥着特定时间点的统计数据，例如拦截了多少钓鱼邮件，或者修补了多少漏洞。这些数字看起来令人印象深刻，但它们并没有告诉你领导层面未来需要了解的信息：单位最大的网络安全盲点是什么？如果明天业务被入侵，会怎样？很多安全报告，里面充斥着与任何实际业务风险无关的计数和百分比。结果，它们制造了一种虚假的安全感。

洞察：领导层需要减少计数，增加背景信息。提问：如果这个指标发生变化，对我们的财务或运营意味着什么？这个数字背后有什么故事？可能面临什么样的责任处罚？