基本安全意识得大力加强

安全意识培训的重点往往围绕勒索软件攻击、网络钓鱼和社会工程攻击，因为这些技术是攻击者常会利用的。

企业往往过于自信此类意识培训能够实际改变员工行为的程度了。太多企业采用的是照单划勾的方法，往往每年通过第三方搞个一两次培训，确保员工都参加了这个培训，然后就将之抛诸脑后，直到下一次培训期到了再走一次过场。

这显然远远不够，老实说，完全是在浪费时间。专注即时安全培训会好上很多，能够改变员工的行为，让他们以更具安全思维的方式工作。

很多企业的应用安全培训和意识仍落后于时代。随着应用发布节奏加快，开发人员和工程师往往根本没有时间参加培训。即使挤出时间学习，这些人也只会专注自己的技术栈，安全在很大程度上沦为了一项事后考虑。

大多数企业仍然缺乏安全专业知识，尤其是在“全栈”工程这方面。这就造成非安全人员在创建或更新应用时几乎没有安全指南。敏捷方法论和开发运维实践导致的开发和发布时间线压缩，也没给安全设计审查或威胁建模演练等安全培训和意识本可以产生成效的方面留下多少时间。

缺乏时间一直是一项安全挑战，但开发生命周期中的安全左移不可避免;安全不能一直是事后考虑，从组织的角度考虑，为什么不前期构建安全呢?

事前预防可比安全事件或数据泄露发生后再补救省钱多了。但这确实需要给开发人员留出时间来培训和学习，也需要开发人员愿意这么做。意识培训不是一朝一夕之功。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!