一些安全行業巨頭揮舞四肢、使勁強調，警告參加2012年信息安全世界會議和博覽會(the 2012 InfoSec World Conference and Expo)的與會者，單純依靠科技來確保網絡安全是一個非常不可取的IT安全策略。

一些安全界的知名人士：Tenable網絡安全公司(位于哥倫比亞馬里蘭州)的首席安全官Marcus Ranum，Lares咨詢公司(位于丹佛)的創始人和首席安全顧問Chris Nickerson，以及一位前Verizon的風險分析師、目前擔任一家金融機構運營風險部門主任的Alex Hutton，他們都直言不諱的對與會者表示，他們在保護公司網絡方面是失敗的，而且，如果他們不擺脫滿足合規性的心態、不了解他們的業務是如何工作的、不更為積極主動進行安全防護，他們將繼續失敗。專家小組說道，與其購買另一臺自動化安全設備，首席信息安全官應該弄清楚自己公司的核心資產是什么，并聘請和培養人才來分析他們的系統日志、保護公司的核心數據。

“安全這東西不是火箭那類難度的科學，它注重的是細節，”Ranum說道，“安全產業有一個趨勢，即將一些東西從聰明人的手里轉移到蠢人的進程。處理大數據是救不了你的，真正救你的是那些檢查大數據的人。”

與會者：很難接受演講者說的話

據會議的組織者說，該會議中有一部分是輕松的討論，而大多數是設定好的話題，這是為了給聽眾們一些真相，盡管那些話就像苦不堪言的藥，實在令人難以下咽。在一個同與會者進行問答的環節中，當Nickerson要求一位聽眾解釋自己公司的使命時，該聽眾說不出來，他在麥克風前啞口無言。

“我認為你們應該試著去保護對公司重要的東西。你必須去問問題，”Nickerson面對與會者這樣說道，“如果只是同質化(homogenous)，說我可以保護所有東西，這就是個失敗的策略。當你用這種思路工作、試圖保護整個企業時，那就太瘋狂了。”

對于那些試圖運用合規標準或其他模式來保護企業，而沒有基于企業的業務定制合適模式的首席信息安全官們，Nickerson抨擊了他們。標準化和同質化注定是失敗的策略，他補充道。

“我們應該通過計劃的第一步，承認我們有問題，然后試著解決并從中學習，”Nickerson說道，“在學習一般戰斗規則方面我們已經失敗了，我們現在要保護的東西是基于某些人的標準竭盡所能的保護那些東西。而不是根據自己的能力范圍(什么能做什么不能做)。”

作為與會者，一位不愿透露姓名的IT安全主管表示，小組成員們坦率和毫無歉意的語氣可能讓一些安全專業人士感到受辱。他說道，許多負責企業安全計劃運營的人是在有限的IT員工和經費條件下努力監視并保護關鍵系統的。

“我們是被企業業務本身所約束和限制的，我認為我們已經盡了最大努力通過手上僅有的工具完成工作，”與會者說道，“對我們大多數人來說，大幅度改變總體方案然后向高層管理人員證明的成本太高了。”

反威脅業務發展

此外，小組成員還以他們的觀點，解釋了一些企業如何正確的實施安全。Hutton介紹了他公司的海量數據倉庫。該公司幾乎所有的東西都關系到其數據倉庫，它捕獲MAC地址并關聯來自不同系統的日志數據來跟蹤用戶、檢測異常行為。

該公司基本上把IT人員從安裝者和維護者變成了反威脅業務專家，他說道。但大多數企業與此相反，它們專注于購買技術，以滿足一個特定的合規目標。

“你的威脅主要來自審計師和監控者，因為你的大部分時間都花在這上面了，”Hutton說，“我們測量一切，除了對行為進行統計分析，我們什么都不做。”

在回答與會者的問題時，Ranum說道，沒有一個企業把安全做得很好。有一些政府機構是“深刻知道的”。他解釋道，找到一個安全法寶是非常隨機的。目前正在做的一些最好的信息安全企業有生物技術方面的巨頭Amgen和化妝和身體護理零售商玫琳凱，后者依靠其產品的獨立經銷商賺錢。

據Ranum，企業最大的憂慮之一是顧問人員從其他咨詢公司挖走客戶。所以企業已經設計了一個數據庫，不允許一個人去查詢客戶資料。“他們發現了數據管理問題，解決該問題，然后繼續向前。”