Kevin Beaver是Principle Logic LLC的創始人和首席顧問，他有16年的IT和信息安全的工作經驗。在進入信息安全服務行業前，他的工作曾經涉及衛生保健、電子商務、金融和教育行業的信息技術和安全。他擅長的領域包括網絡和無線網絡安全、信息安全評估和事故回應。 Kevin是Technology Association of Georgia的Information Security Society創始人和主席，而且是幾家大學和企業的IT顧問團成員。他在Southern Polytechnic State University獲得了計算機工程技術的碩士學位，在Georgia Tech獲得技術管理的博士學位。Kevin還獲得了CISSP、MCSE、Master CNE和IT Project+等證書。

根據最近Dimension Data的調查顯示，超過半數的網絡設備要么正在老化要么已經過時，這意味著它們構成了安全風險。那么，企業該如何將設備的年齡(以及供應商提供的支持水平)納入考慮范圍內，以評估其安全性呢?

Kevin Beaver：這確實是個有意思的發現，而且這個數據很大，這與現在企業中仍然存在已不受支持的Windows XP屬于類似的情況。

我認為現階段我們看到的是網絡和IT的成熟化，與此同時也看到了用于解決相關安全漏洞的解決方案的停滯化。這突出了信息安全面臨的兩個長期挑戰：

1. 缺乏基于風險的方法

2. 管理層沒有提供足夠的支持和預算來部署必要的系統

有些人可能認為，當你從大視角來看時，這些網絡設備問題只是行進道路中的小顛簸。但只有你了解自身的具體情況。這些道路顛簸不僅會讓你無法確保安全性，還可能打亂你的計劃以致其最終失敗。想想Heartbleed、拒絕服務攻擊等，當網絡系統不安全時，會發生不好的事情。這也許不會直接導致信息丟失，但可能會讓你的網絡崩潰。

在安全風險評估中，不僅需要考慮設備的年齡，還應該考慮它給網絡和企業整體帶來的風險水平。這應該包括已知的和易于利用的漏洞，無論制造商是否仍然提供更新，以及你的維護協議是否已經到期。攻擊者可能利用一切事物，包括老舊的路由器、交換機和看似牢靠的防火墻。

現在還存在的問題是，很多企業網絡中已經過時的物理安全系統可能被攻擊者利用。你應該找出安全問題，然后采取適當的措施來部署補償控制，否則，你將不得不面臨相應的風險。當然，這些也可能并不會成為問題，但還是要做好未雨綢繆，以確保管理層作出最后的決定。