2020年Mandiant安全有效性报告基于针对11个部门的企业生产环境的攻击模拟。测试涵盖了123种攻击技术，目标环境支持了超过9亿消费者。

在测试中，只有9％的攻击产生了安全报警，而53％的成功入侵未被发现。渗透成功后，仅检测到四分之一以上的攻击，而现有安全工具仅阻止了33％的漏洞攻击。

专家认为，在许多情况下，安全防护工具并未得到优化配置，可能是由于默认配置未更改，安全事件不能匹配安全信息和事件管理解决方案，或者由于基础架构更改，更改后没有进行部署调整，所以无法检测到攻击行为。

研究人员发现，只有4％的扫描探测会生成报警，并且针对勒索软件和渗透尝试的测试表明，在超过2/3的案例中，安全控制措施无法阻止或检测到威胁。

此外，有65％的时间安全工具无法检测或阻止绕过策略的尝试，而只有15％的时间产生报警。

对于恶意文件传输，仅在29％的时间内检测到它们，并在37％的时间内阻止了它们，但是将近一半被遗漏，并且不到四分之一产生报警。

97％的C&C攻击未生成任何报警，而安全解决方案错过了39％的尝试攻击，在内网漫游时情况也类似。

在报告中，一家财富500强公司发现，虽然其安全解决方案检测到了事件，但由于使用UDP代替TCP来发送数据，而这些事件的数据却没有归入安全信息和事件管理解决方案（SIEM）。配置错误的负载均衡服务器会丢弃所有UDP流量。

在另一个示例中，保险公司的安全工具配置错误，并允许超过三分之一的恶意文件传输尝试，并且被阻止的尝试未在SIEM中触发任何报警。

Mandiant 安全验证团队高级副总裁克里斯•基（Chris Key）说：“每个组织都希望获得可靠的数据，这些数据能告诉他们，他们的安全投资是否能带来真正的价值，并保护他们不会成为下一个主要的网络攻击新闻。”。

“我们的研究表明，虽然大多数公司都认为自己受到了保护，但事实是，他们更多的时候并没有受到保护。”克里斯•基（Chris Key）说。

事实上，网络安全防护工具比如WAF，IPS等，如果配置不当，不及时升级就等同于装饰品，漏洞每天都在产生，如果设备一直不升级，停留在去年的漏洞库防护水平，新的攻击特征匹配不上，目标服务器等同于没有防护，防护工具等同于bypass，起不到任何作用。

经常能看到有些单位的机房防护设备齐全，该买的，能买的都买了，但是服务器还是被攻击篡改了。

原因一般有三：

• 1.产品本身的检测能力差。

• 2.配置不当，比如某些防护策略未开启。

• 3.设备过期，从不升级。