苍井空一区二区三区,男人天堂AV黄色

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

像黑客一樣的思考?黑客思維漫談

許多安全行業(yè)的資深人士都會(huì)給出這樣的建議，想要在信息安全道路上更進(jìn)一步的話，要學(xué)會(huì)像黑客那樣的思考。

成都創(chuàng)新互聯(lián)主要業(yè)務(wù)有網(wǎng)站營(yíng)銷策劃、網(wǎng)站制作、做網(wǎng)站、微信公眾號(hào)開發(fā)、微信小程序開發(fā)、H5技術(shù)、程序開發(fā)等業(yè)務(wù)。一次合作終身朋友，是我們奉行的宗旨；我們不僅僅把客戶當(dāng)客戶，還把客戶視為我們的合作伙伴，在開展業(yè)務(wù)的過程中，公司還積累了豐富的行業(yè)經(jīng)驗(yàn)、成都營(yíng)銷網(wǎng)站建設(shè)資源和合作伙伴關(guān)系資源，并逐漸建立起規(guī)范的客戶服務(wù)和保障體系。

的確，這個(gè)建議聽上去非常好。它聽上去十分專業(yè)和深刻，而且短小精悍適合微博轉(zhuǎn)發(fā)，還可以印到T恤上彰顯個(gè)性。但如果你拿這句話去問一些安全專業(yè)人員，它的含義到底是什么?答案可能五花八門。人們對(duì)黑客及黑客的想法有著各自的理解，換句話說吧，從傳統(tǒng)意義上講，有大量的安全從業(yè)人員從未做過黑客。

說起來容易，做起來難

“像黑客一樣的思考”的確讓人意識(shí)到安全是一種專業(yè)技術(shù)，但如果你不是一名黑客，也許你永遠(yuǎn)也不能“像黑客那樣的思考”。舉個(gè)例子：

車禍現(xiàn)場(chǎng)，受傷者躺在地上血流如注，肋骨從胸膛可怕的戳出。這時(shí)，有人對(duì)你說：別怕，要像“醫(yī)生一樣的思考”。如果你不是醫(yī)生，這句話有意義嗎?

當(dāng)然，非黑即白的思維方式是不可取的。不是外科醫(yī)生的話，藥劑師或護(hù)士也會(huì)有所幫助，而一個(gè)專業(yè)急救人員，更是可以現(xiàn)場(chǎng)“救火”的最佳選擇。因此問題來了，到底什么是黑客?黑客思維又是指什么?

黑客思維

許多媒體對(duì)黑客的概念局限于網(wǎng)絡(luò)騙子、小偷、敲詐者等網(wǎng)絡(luò)罪犯，或是迷途的不良少年。但許多真正理解黑客文化的人士認(rèn)為，黑客無論其本意還是其蘊(yùn)含的內(nèi)在精神，更接近于那些擁有創(chuàng)造力的頭腦的人，而不是以違法屬性來定義的壞蛋。

記得在去年的網(wǎng)絡(luò)安全大會(huì)上，知道創(chuàng)業(yè)的技術(shù)副總余弦說道：“其實(shí)本質(zhì)上都是為了能夠解決問題的一種思維方式，一種補(bǔ)充思維方式，不是那么板板正正的，而是有其他解決問題的方式去實(shí)現(xiàn)目的?！?/p>

國(guó)外的安全專業(yè)人員分別有著類似的看法：

“擁有解決問題或難題的能力和愿望，好奇心，享受挑戰(zhàn)，不想被規(guī)則限制，尋找打敗規(guī)則的辦法，更高深的黑客則傾向于以系統(tǒng)的觀點(diǎn)看待整個(gè)社會(huì)?！卑踩檰柦芪骺āぐ涂寺宀┦?/p>

“有兩點(diǎn)：一是試圖找出任何事物能夠被利用的辦法，但這種辦法不是這種事物本來的使用目的;二是假定任何系統(tǒng)都可以被入侵，基于這種假定，來推算出會(huì)發(fā)生什么，恢復(fù)計(jì)劃是什么，隔離方案是什么，該找誰等等?！?-白帽子安全實(shí)驗(yàn)室副主管羅伯特·漢森

“我更愿意把黑客稱做攻擊者。如果你無法寄更多的希望在防護(hù)上，那么就需要了解攻擊者的思想，理解他們的動(dòng)機(jī)，他們攻擊的手段、攻擊的時(shí)間以及攻擊的形式，這樣才能兵來將擋、水來士淹。不站在攻擊者的立場(chǎng)思考的話，將是一個(gè)最大的錯(cuò)誤。”--佳能歐洲信息安全主管奎特恩·泰勒

杰西卡·巴克洛博士

(ISC)2董事會(huì)主席威姆·瑞姆斯則表達(dá)了更為詳細(xì)的看法：“具備理解、分析和解決難題的能力，并能跳出常規(guī)思維模式，從非常規(guī)的角度考慮問題，想常人所不能想，做常人所不能做。并不只是解決技術(shù)問題，包括業(yè)務(wù)問題，甚至是生活問題。安全專業(yè)人員更象是工程師，被各種條件所限制。人力、資金、時(shí)間、規(guī)定、決策等等。只有那些具備黑客思維和業(yè)務(wù)敏感的安全人員，才能夠做到正確的安全防護(hù)?！?/p>

這些觀點(diǎn)闡明了黑客思維，并引出黑客思維在保護(hù)機(jī)構(gòu)業(yè)務(wù)中的關(guān)鍵作用。

在企業(yè)或說機(jī)構(gòu)中，有一種普遍的錯(cuò)誤觀念，業(yè)務(wù)部門與IT部門是兩個(gè)完全不同的概念。但實(shí)際上，隨著數(shù)字空間全面滲入人類的生活，機(jī)構(gòu)的業(yè)務(wù)與安全處處存在交叉。想要做好安全工作，就需要用系統(tǒng)的觀點(diǎn)進(jìn)行全盤考慮，理解業(yè)務(wù)的管理和運(yùn)營(yíng)，核心價(jià)值在何處，關(guān)鍵資產(chǎn)是什么，系統(tǒng)弱點(diǎn)在哪里，它能被怎樣的利用和如何去保護(hù)。安全人員不考慮到這些，則幾乎無法抵擋得住黑客的攻擊。

試想，如果一個(gè)安全人員連自己公司的業(yè)務(wù)都不了解，又怎能希望他很好去保護(hù)它呢?

黑客與自由

誠(chéng)然，黑客與安全人員有著很大的區(qū)別。前者非常獨(dú)立，總是一個(gè)人在不分晝夜的編寫代碼，測(cè)試程序，尋找機(jī)會(huì)，追逐利益，甚至任性妄為。而后者則是團(tuán)隊(duì)的一份子，有著各種規(guī)定或紀(jì)律的約束，包括資源使用，部門配合，公司政策等。一個(gè)從安全角度考慮的想法，即使再優(yōu)秀再完備，也不得不讓位于產(chǎn)品研發(fā)，市場(chǎng)推廣，戰(zhàn)略架構(gòu)……

作為安全從業(yè)人員有著太多的束縛，很難跟的上哪些憑著自己的興趣和激情自由發(fā)揮，并將自己的想法付諸于行動(dòng)的優(yōu)秀黑客們。

就在近期國(guó)內(nèi)首次舉辦的蘋果系統(tǒng)越獄黑客大會(huì)上，被全球越獄粉絲視作“大神”級(jí)的Comex，在回答安全牛記者的提問時(shí)承認(rèn)，自從進(jìn)入蘋果公司工作后，給追求自由和探索欲望的黑客精神帶來限制，并對(duì)個(gè)人的技術(shù)能力進(jìn)步有所阻礙。而安全牛就此進(jìn)一步發(fā)問時(shí)，Comex選擇了拒絕回答。

越獄大會(huì)上的Comex

談到這里，似乎有些無奈。黑客思維只能停留在安全人員的口頭上嗎?

鳥群的安全機(jī)制

有人曾舉出一個(gè)鳥群自我保護(hù)機(jī)制的例子。鳥類有著許多天敵，除了能夠飛翔以外，它們又是如何避免成為捕食者的口中的美味呢?簡(jiǎn)單的很，當(dāng)有危險(xiǎn)接近任何一只鳥時(shí)，這只鳥會(huì)向其他伙伴發(fā)出警報(bào)，從而避免傷害擴(kuò)大。

同樣，安全從業(yè)者也可以學(xué)習(xí)鳥群的這種警報(bào)信息共享的保護(hù)機(jī)制，共同檢測(cè)并防止危險(xiǎn)的擴(kuò)大。許多人已經(jīng)明白，這里談的是威脅情報(bào)。

威脅情報(bào)共享機(jī)制目前已經(jīng)成為安全生態(tài)系統(tǒng)中的重要一環(huán)。

像黑客那樣的攻擊?

還有一些安全圈子的人士認(rèn)為，只有參與到黑客攻擊的活動(dòng)中，才能真正的像攻擊者一樣地思考，并從活動(dòng)中取得第一手經(jīng)驗(yàn)，從而更好的實(shí)施防御和保護(hù)工作。未知攻，焉知防!但這種模式的問題在于，真正的攻擊會(huì)帶來負(fù)面影響，其程度有可能超過正面的意義。而且，這種想法的邏輯上也容易遭到詬病。

比如，刑偵人員需要做過罪犯才能理解罪犯的思維模式并破案嗎?同理，你能為了做好安全工作的目的而跑去入侵別人的網(wǎng)站嗎?如果回答是肯定的，那你就要小心了。這種行為毫無疑問是惡意的，未經(jīng)事主允許則是違法的。

至此，似乎又到了兩難的地步。像黑客那樣的思維需要做個(gè)黑客(如同像醫(yī)生那樣的思維就要從事醫(yī)生的工作)，而做一個(gè)真正的黑客則意味著付諸于一定的黑客行動(dòng)，否則豈不是紙上談兵?

一種解決方案

在信息安全培訓(xùn)中，經(jīng)常會(huì)有一些模擬仿真類的課程學(xué)習(xí)。這種實(shí)戰(zhàn)性質(zhì)的教學(xué)環(huán)境，保證了學(xué)員不用參與任何有嫌疑的非法活動(dòng)，就能將所學(xué)到的各種原理應(yīng)用到日常工作當(dāng)中。

“每堂課后，講師都會(huì)留下各種作業(yè)讓學(xué)員攻擊訓(xùn)練營(yíng)建立的測(cè)試網(wǎng)站，包括密碼破解、漏洞掃描、SQL注入、代碼分析等?！?-星火計(jì)劃：互聯(lián)網(wǎng)安全人才訓(xùn)練營(yíng)課程經(jīng)理趙毅

近年來逐漸流行的各種攻防奪旗(CTF)賽事也是一個(gè)非常不錯(cuò)的黑客技術(shù)模擬仿真平臺(tái)。中國(guó)的參賽隊(duì)伍已經(jīng)在國(guó)際CTF賽事上取得了不俗的成績(jī)，同時(shí)國(guó)內(nèi)的網(wǎng)絡(luò)安全技術(shù)對(duì)抗聯(lián)賽XCTF也正在如火如荼中。其中，剛剛落下帷幕的北京選拔賽，共吸引89個(gè)國(guó)家和地區(qū)的1770支戰(zhàn)隊(duì)、近4000位選手報(bào)名參賽。

另一種解決方案

在管理人員的許可下，安全人員對(duì)內(nèi)部系統(tǒng)實(shí)施的入侵活動(dòng)，稱為滲透測(cè)試。它本身并不是一種非常前沿的安全檢測(cè)手段，但目前滲透測(cè)試已經(jīng)從內(nèi)部發(fā)展到外部，從個(gè)人測(cè)試發(fā)展到小組甚至是群體測(cè)試，并形成了一種新興的安全業(yè)務(wù)市場(chǎng)--漏洞眾測(cè)。

漏洞眾測(cè)的好處是擺脫了內(nèi)部和單一人員的局限性，在保障受測(cè)方安全的情況下，由優(yōu)秀的白帽子黑客群體進(jìn)行滲透測(cè)試，從而盡可能地從最真實(shí)的場(chǎng)景中，集群體專業(yè)人員的合力找到系統(tǒng)漏洞。優(yōu)秀意味著尋找與挖掘漏洞的質(zhì)量和深度，受到信任則是確?？蛻舻拿孛懿粫?huì)被利用和公開。

烏云網(wǎng)創(chuàng)始人方小頓曾表示，漏洞眾測(cè)的興趣極大的改觀了過去企業(yè)與白帽黑客之間的冷戰(zhàn)態(tài)度，幫助了企業(yè)更好的防護(hù)惡意黑客的攻擊。這意味著企業(yè)安全觀更加成熟，“對(duì)整個(gè)安全行業(yè)都是好事”。

原文地址：http://www.aqniu.com/neo-points/7246.html

分享名稱：像黑客一樣的思考?黑客思維漫談
文章地址：http://m.jiaoqi3.com/article/dpjssgi.html

新聞中心

其他資訊