现在在信息安全这个行业,总有一群人用“养寇自重”的思维来巩固自己的地位,以及以此来要挟企业给资源,这些人动不动就大肆宣扬某某大企业又中勒索病毒了,又遭受多大多大的损失了。

事实上,这群人就是我前面说的不懂信息安全,并且只知搞渗透测试和攻防演练的那群人,但是这群人根本不懂,仅仅依靠渗透测试和攻防演练这种单一措施,根本就挡不住外部的攻击,也根本无法降低相关的风险。

事实上,那些被爆出来的遭受勒索病毒攻击的企业,都算是比较大的企业,在渗透测试和攻防演练都是投入了不少资源的,可是为什么还是会遭受攻击呢?原因我在之前已经说过了,简单一点说,就是方向错了,除非企业能够不计成本向渗透测试和攻防演练方面去投入,例如像互联网大平台企业,还有银行企业那样去不计成本养一堆渗透测试和攻防演练方面的顶尖高手,并且每年付费几亿,几十亿,甚至几百亿去向安全厂商购买相关的服务和产品,才有可能能够达到预期的效果。