最薄弱环节的吸引力

为了更好地理解最薄弱环节原理，让我们来看一个假设的场景。想象一下，你的任务是将一件珍贵的艺术收藏品从一个破旧的偏远仓库转移到城市中心一个高度安全的银行保险库。你签了一个装甲运输服务来运输物品。

现在，假设有一个罪犯刚刚抓住这一迫在眉睫的举动，并打算窃取艺术品。他们战略的核心将是确定最佳的攻击地点和时间。在这种情况下，他们可能不愿冒险抵抗银行保险库或装甲运输服务。远程仓库可能是他们的最佳选择。这是最薄弱的环节。

网络犯罪分子的资源有限

黑客没有无限的资源和时间可支配。他们希望将精力用在他们工作中最容易获得最快收益的领域。攻击者会直奔阻力最小的路径。他们会攻击看起来最弱的安全控制，而不是看起来最强的安全控制。

无论是一个躲在地下室的少年黑客，还是一个由国家支持的复杂黑客组织，其原理都是一样的。他们将寻找最薄弱的环节，并试图从这一点突破组织的防御。当有更容易进入的方法时，没有人会故意花费时间和金钱试图渗透IT基础设施中戒备森严的部分。只有当他们无法突破最薄弱的环节时，他们才会去探索更具挑战性的选择。

最弱的环节不一定能获取最大收益

即使这样的链接比您组织的安全基础结构中的高度安全元素所获得的回报更少，也会出现最弱链接的优先级。想一想。银行持有的现金比当地的便利店多得多。抢劫银行肯定会在财务上更有利可图。但是，与便利店的保护措施较弱相比，普通抢劫者很难渗透到银行的先进安全技术上。便利店是更容易受到攻击并成功逃脱的目标。

人并不总是最薄弱的环节

从安全角度来看，最终用户，技术支持人员或基础架构管理员等通常被认为是最薄弱的环节，这个论点是有道理的。然而，人类由于决策的不可预测性和易受社会工程的影响而变得脆弱，最薄弱的环节也可能是安全功能或特征。