安全意识训练的重点往往是勒索软件攻击、网络钓鱼和社会工程攻击，因为攻击者经常使用这些技术。企业往往过于自信，这种意识培训实际上可以改变员工行为的程度。太多的企业采用顺序的方法。他们通常每年通过第三方进行一两次培训，以确保员工参加培训，然后把它抛在脑后，直到下一个培训期到来。这显然远远不够。说实话，完全是浪费时间。专注于即时安全培训会好很多，可以改变员工的行为，让他们以更安全的方式工作。许多企业的应用安全培训和意识仍然落后于《纽约时报》。随着应用程序发布速度的加快，开发人员和工程师通常没有时间参加培训。即使他们挤出时间学习，这些人也只会专注于他们自己的技术堆栈，安全在很大程度上成为事后考虑。

大多数企业仍然缺乏安全专业知识，尤其是在全栈项目中。这导致非安全人员在创建或更新应用程序时几乎没有安全指南。敏捷方法论和开发运维实践造成的开发发布时间线压缩，以及安全设计审查或威胁建模演练等安全培训和意识能够产生效果的时间。缺乏时间一直是一个安全挑战，但发展生命周期中的安全左移是不可避免的；安全不能总是事后考虑。从组织的角度来看，为什么不在早期阶段建立安全？提前预防比安全事件或数据泄露后补救省钱多了。但这确实需要给开发人员留出时间进行培训和学习，也需要开发人员愿意这样做。意识一蹴而就的。

仅仅购买新工具并不能保护企业的安全。

企业往往认为只要购买最新最热门的安全工具，就能保证安全，但事实并非如此。优秀人才的招聘和保留并不容易，因此企业购买的新工具在相当大程度上管理不当，管理员经常错误地配置这些工具。安全团队需要问自己：我们真的使用最新版本吗？我们真的充分利用了新产品的所有功能吗？更新过程中是否重写了一些规则？很多人认为安全问题可以通过购买来解决。但不幸的是，在大多数情况下，最初安装产品的人已经离开了。这就是为什么有时候可能会有1000条规则放在那里，现任管理员都不敢碰。他们害怕一旦移动，他们会失去一些非常重要的东西。更改一行代码会导致整个系统崩溃。即使你没有经历过，你也听说过很多。企业还需要员工具备软技能：遵守规则，阅读文件，向管理层报告/沟通问题。此外，许多人会认为所有这些新产品都必须完全集成。这也是扩展检测和响应（XDR）兴起的原因之一，因为XDR基本上包括端点、网络和云威胁检测和响应的预集成解决方案。但无论如何，安全问题总是一个难题。因此，托管安全服务仍在发展，甚至顶级供应商也在不断推出托管服务。他们意识到，无论他们的产品平台多么集成和有效，越来越多的CISO都希望尽可能多地管理外包技术。这一趋势可能随着时间的推移而稳步发展。