我在一个客户的基础设施中发现了一个漏洞，它可能导致中断和数据丢失。当被要求进行一次性成本计算时，客户同意每次可能花费超过 100 万英镑，因此我提出了一个成本低于 10 万英镑的补救计划。

他们拒绝了，因为 100 万英镑低于他们的较低风险门槛——他们有更大的风险来组建他们的团队。

但是企业的有效风险决策是返回安全团队的正确答案，所以这很好。

到目前为止，我得到的最常见的借口是古老的“我们会解决它，现在让它工作”。

这种心态的各种原因包括：

• 紧急项目：他们只需要一个几乎没有打磨过的原型就可以让运营正常运行，其余的被认为是“不产生收入”，因此只能退居二线。工作场所的喧嚣意味着这项至关重要的工作会被排得越来越远，直到被遗忘。
• 资金不足：与上述类似，时间就是金钱，公司可能缺乏现金来支付开发商费用。
• 无知：我仍然感到惊讶的是，在这个行业多年的 PHP 开发人员不了解 CSRF 攻击、密码盐、准备好的语句和 MD5 之外的哈希算法等概念。不是他们懒惰，而是他们相当聪明。他们只是不知道，直到你被破坏，你才会自己遇到对它的需求。
• 傲慢：大多数人也倾向于接受“我只是一家小公司，为什么会有人入侵我们？” 心态，认为它们太小，不值得黑客花时间。这种将黑客视为“无所不能、无所不知的计算之神”的看法使人们相信他们忙于入侵索尼和白宫之类的公司，而无暇顾及 Bob 的折扣汽车零件。事实是，Bob 的 Discount Car Parts 可能很容易被淘汰，可能会落入自动渗透测试甚至是 rouge 竞争对手（相信我，我已经看到类似的业务发生过这种情况！）。幕后是各种好吃的东西：抄送号码、电子邮件地址、个人信息、免费产品订单……
• 缺乏审计：大多数开发人员（甚至我自己！）都认为他们是安全方面的能手，但我们根本无法判断，直到它失败。缓解这种情况的一种方法是通过独立承包商进行安全审计，但它们昂贵、耗时、“不必要”……这些人知道如何像黑客一样思考，而你的工作是像软件开发人员一样思考。
• Developer Pride/Ego：别笑，我已经看到了。一些开发人员对自己太高大上，以至于他们拒绝实施安全性，因为他们要么可以通过其他方式简单地击败他们（“伙计，如果他们攻击我，我会去他们家砸死他们”），或者他们拒绝让某人出现并可能告诉他们，他们不亚于上帝给 IT 世界的礼物（与上面的“缺乏审计”有关）。

我想听听您听到的用户、经理或公司用户不想实施更安全的策略/程序/产品的具体原因。

这是我总是得到的：

我们从来没有遇到过问题，所以我们不需要它。

我很难提出反对的论据，尽管它可能是无知的。

我想你唯一能做的就是证明系统是脆弱的，这可能很困难。但有时，他们是对的——系统相对安全，不需要额外的措施，或更重要的是（对他们而言），值得付出实施成本。在这种情况下，你必须证明它物有所值，这又是一件很困难的事情。

这是“最好”的理由吗？也许不是，但它肯定很常见。

让我们以密码为例。安全最佳实践将让我们使用最小长度的密码，包含字母、数字、特殊字符等，并且不容易被猜到。此外，它们对于特定站点应该是唯一的，并且每 30 或 90 天更改一次。最后，如果密码被泄露或泄露，应立即通知安全人员并立即更改密码。哦，永远不要写下你的密码。

从安全的角度来看，这是一个很好的建议，但在现实世界中几乎是行不通的。你能记住那么多密码吗？我真的有100个。

此外，您是否有过分心或匆忙将站点 X 的密码输入到站点 Y 的登录框中的情况？我敢打赌，如果人们是诚实的，你会发现这种情况一直在发生。您是否立即更改了两个站点的密码？