摘要: 亡羊补牢的故事,大家都很熟悉 牧羊人发现羊被狼叼走了,就修补羊圈 避免羊群的继续损失 但故事到这里并未结束 不久之后羊圈又出现窟窿,羊被叼走 牧羊人再次修补羊圈,如此周而复始 现存的羊带来的收益完全可以弥补羊丢失造成的损失 故“亡羊补牢”的故事在不断上演这...
亡羊补牢的故事,大家都很熟悉
牧羊人发现羊被狼叼走了,就修补羊圈
避免羊群的继续损失
但故事到这里并未结束
不久之后羊圈又出现窟窿,羊被叼走
牧羊人再次修补羊圈,如此周而复始
现存的羊带来的收益完全可以弥补羊丢失造成的损失
故“亡羊补牢”的故事在不断上演
这个故事中的两种身份,牧羊人与羊
牧羊人,拥有战略决定权,最重视整体收益
羊,作为被支配者,只有0%或100%两种结局
显然,“亡羊补牢”战略对“羊”来讲是非常残酷的
传统网络安全战略是亡羊补牢的真实写照
发现漏洞,修补,再次发现漏洞,再次修补……
在网络安全建设上,国家是典型的牧羊人,其关心的是每年国家安全建设水平是否有所提高,受到安全攻击的整体受损比例是否下降。国家网络安全战略无法估计到少数企业在安全攻击中是否受损和具体受损程度。
企业显然就是羊圈里的羊,要么运气好,没有被选择吃掉,要么运气不好,被狼选择,严重受损甚至于倒闭。
在社会生活中,能够扮演“牧羊人”角色的只是少数,绝大部分都是被支配的“羊”。既然“亡羊补牢”传统网络安全战略下的部分企业受损不可避免,作为企业,更应该做的是——自救。
安全是相对的,不安全是绝对的
面对感知到的网络安全威胁
企业该如何“补牢”?
跑的更快或者更加强壮,让狼不会选择你
像乌龟一样穿上一层堡垒,让狼没有办法下口
对自身数据安全的保护,是企业在“亡羊补牢”游戏规则下的一种明智选择。如果说,传统安全战略保护的是羊圈,那数据安全保护的就是羊圈里的羊。(对应上图,可以是这样理解的)
对企业风险管理的基础是数据。不管是企业内部的运营状况、客户状况、客户信息或者其它外部情况,这些都是数据。但随着互联网的普及、社交网络的发达和数据价值的持续提升,数据安全面临前所未有的挑战。基于业务安全构建的由外而内的传统防御策略正在逐渐失效,原先处于网络深处的数据库和数据直接暴露在狼口之下。
企业在重新审视信息安全保护战略的基础上,需要围绕核心敏感数据,构建全新的信息安全防御体系。
也就是说,传统牧羊人的思维是,尽量减少羊圈中羊的损失,美创提倡“让羊学会自我保护”。
在无法改变“亡羊”的现状下,“补牢”自己是必然的选择。
