APT攻击出现后，改写了防御观念与做法，企业或单位，如果没有痛定思痛跟着调整，那就是根本不知道被攻陷了。 

    以渗透测试为例，国内有三种服务厂家，有以人工为主用手工打造的服务、有以大量接单之标准化服务模式、更甚者有以接单为主交完报告就结案，这里面的差别就是价格与质量。 

    以价格为主的厂家，当然，人力素质不够、以工具扫一扫、出报告结案。该找的问题没找出来、如何改善更不知，做了等于没做。 

    与一家精致服务的资安厂商聊到，什么样的公司，愿意付较高费用买专业服务，答案是靠网络生活的电商公司、游戏公司、IoT设备商。几乎没有政府及金融，究其因，这些是标案市场，一堆人竞价围攻。或甚至承办理解他们的价值，长官们或采购部门出不起钱。另一种情况是，有些单位政策规定，两次服务必须用不同的厂家。这种种是不是很吊诡? 

    话题来到客户为何会找上他们? 答案是客户之前做的没有效果。这让我非常好奇，为何客户会知道没有效果? 原因有两个，一个是PT才刚做完，就被攻陷；或是，被外部资源告知他们系统仍然有漏洞。 

    另一个矛盾现象依然在国内存在，就是做PT服务的厂家，与提供SOC服务厂家是同一家。虽然是不同的团队，但这里面存在多少公正客观性。做是做了，『效果』究竟应该如何被看待? 

    这些种种让我对比到，人生重病时，一定多方打听医生，甚至至少让两位医师都看过了，才来决定下一步该怎么做。个人面对生命的存续时，是如此高度关注，企业生命的存续，竟然如此轻忽。 

    说到APT攻击，早期侦九队李相臣队长的一句话，深刻在心中『资安就该像警察一样不停的巡守』。问题是，现在各企业有多少巡守能量? 

    个人深信面对APT的新挑战，需要更多的资源，更清晰的战略。把该做的真正做好，面对现在的新挑战，半套防御其实如同没有防御。

     对于一个IT管理者而言，始终牢记安全防护始于起点，时刻掌握网络安全发展趋势是保障信息系统安全的关键。在如今错综复杂的信息安全环境中，坚持做好自身信息系统安全防护，做好网络安全全生命周期管理，将让你在未来的网络信息化发展大潮中利于不败之地。

   振宏网内安准入控制——网络安全的通行证