像黑客一样的思考?黑客思维漫谈

简介:

许多安全行业的资深人士都会给出这样的建议,想要在信息安全道路上更进一步的话,要学会像黑客那样的思考。

像黑客一样的思考?黑客思维漫谈

的确,这个建议听上去非常好。它听上去十分专业和深刻,而且短小精悍适合微博转发,还可以印到T恤上彰显个性。但如果你拿这句话去问一些安全专业人员,它的含义到底是什么?答案可能五花八门。人们对黑客及黑客的想法有着各自的理解,换句话说吧,从传统意义上讲,有大量的安全从业人员从未做过黑客。

说起来容易,做起来难

“像黑客一样的思考”的确让人意识到安全是一种专业技术,但如果你不是一名黑客,也许你永远也不能“像黑客那样的思考”。举个例子:

车祸现场,受伤者躺在地上血流如注,肋骨从胸膛可怕的戳出。这时,有人对你说:别怕,要像“医生一样的思考”。如果你不是医生,这句话有意义吗?

当然,非黑即白的思维方式是不可取的。不是外科医生的话,药剂师或护士也会有所帮助,而一个专业急救人员,更是可以现场“救火”的最佳选择。因此问题来了,到底什么是黑客?黑客思维又是指什么?

黑客思维

许多媒体对黑客的概念局限于网络骗子、小偷、敲诈者等网络罪犯,或是迷途的不良少年。但许多真正理解黑客文化的人士认为,黑客无论其本意还是其蕴含的内在精神,更接近于那些拥有创造力的头脑的人,而不是以违法属性来定义的坏蛋。

记得在去年的网络安全大会上,知道创业的技术副总余弦说道:“其实本质上都是为了能够解决问题的一种思维方式,一种补充思维方式,不是那么板板正正的,而是有其他解决问题的方式去实现目的。”

国外的安全专业人员分别有着类似的看法:

“拥有解决问题或难题的能力和愿望,好奇心,享受挑战,不想被规则限制,寻找打败规则的办法,更高深的黑客则倾向于以系统的观点看待整个社会。”安全顾问杰西卡·巴克洛博士

“有两点:一是试图找出任何事物能够被利用的办法,但这种办法不是这种事物本来的使用目的;二是假定任何系统都可以被入侵,基于这种假定,来推算出会发生什么,恢复计划是什么,隔离方案是什么,该找谁等等。”--白帽子安全实验室副主管罗伯特·汉森

“我更愿意把黑客称做攻击者。如果你无法寄更多的希望在防护上,那么就需要了解攻击者的思想,理解他们的动机,他们攻击的手段、攻击的时间以及攻击的形式,这样才能兵来将挡、水来士淹。不站在攻击者的立场思考的话,将是一个最大的错误。”--佳能欧洲信息安全主管奎特恩·泰勒

像黑客一样的思考?黑客思维漫谈

杰西卡·巴克洛博士

(ISC)2董事会主席威姆·瑞姆斯则表达了更为详细的看法:“具备理解、分析和解决难题的能力,并能跳出常规思维模式,从非常规的角度考虑问题,想常人所不能想,做常人所不能做。并不只是解决技术问题,包括业务问题,甚至是生活问题。安全专业人员更象是工程师,被各种条件所限制。人力、资金、时间、规定、决策等等。只有那些具备黑客思维和业务敏感的安全人员,才能够做到正确的安全防护。”

这些观点阐明了黑客思维,并引出黑客思维在保护机构业务中的关键作用。

在企业或说机构中,有一种普遍的错误观念,业务部门与IT部门是两个完全不同的概念。但实际上,随着数字空间全面渗入人类的生活,机构的业务与安全处处存在交叉。想要做好安全工作,就需要用系统的观点进行全盘考虑,理解业务的管理和运营,核心价值在何处,关键资产是什么,系统弱点在哪里,它能被怎样的利用和如何去保护。安全人员不考虑到这些,则几乎无法抵挡得住黑客的攻击。

试想,如果一个安全人员连自己公司的业务都不了解,又怎能希望他很好去保护它呢?

黑客与自由

诚然,黑客与安全人员有着很大的区别。前者非常独立,总是一个人在不分昼夜的编写代码,测试程序,寻找机会,追逐利益,甚至任性妄为。而后者则是团队的一份子,有着各种规定或纪律的约束,包括资源使用,部门配合,公司政策等。一个从安全角度考虑的想法,即使再优秀再完备,也不得不让位于产品研发,市场推广,战略架构……

作为安全从业人员有着太多的束缚,很难跟的上哪些凭着自己的兴趣和激情自由发挥,并将自己的想法付诸于行动的优秀黑客们。

就在近期国内首次举办的苹果系统越狱黑客大会上,被全球越狱粉丝视作“大神”级的Comex,在回答安全牛记者的提问时承认,自从进入苹果公司工作后,给追求自由和探索欲望的黑客精神带来限制,并对个人的技术能力进步有所阻碍。而安全牛就此进一步发问时,Comex选择了拒绝回答。

像黑客一样的思考?黑客思维漫谈

越狱大会上的Comex

谈到这里,似乎有些无奈。黑客思维只能停留在安全人员的口头上吗?

鸟群的安全机制

有人曾举出一个鸟群自我保护机制的例子。鸟类有着许多天敌,除了能够飞翔以外,它们又是如何避免成为捕食者的口中的美味呢?简单的很,当有危险接近任何一只鸟时,这只鸟会向其他伙伴发出警报,从而避免伤害扩大。

同样,安全从业者也可以学习鸟群的这种警报信息共享的保护机制,共同检测并防止危险的扩大。许多人已经明白,这里谈的是威胁情报。

威胁情报共享机制目前已经成为安全生态系统中的重要一环。

像黑客那样的攻击?

还有一些安全圈子的人士认为,只有参与到黑客攻击的活动中,才能真正的像攻击者一样地思考,并从活动中取得第一手经验,从而更好的实施防御和保护工作。未知攻,焉知防!但这种模式的问题在于,真正的攻击会带来负面影响,其程度有可能超过正面的意义。而且,这种想法的逻辑上也容易遭到诟病。

比如,刑侦人员需要做过罪犯才能理解罪犯的思维模式并破案吗?同理,你能为了做好安全工作的目的而跑去入侵别人的网站吗?如果回答是肯定的,那你就要小心了。这种行为毫无疑问是恶意的,未经事主允许则是违法的。

至此,似乎又到了两难的地步。像黑客那样的思维需要做个黑客(如同像医生那样的思维就要从事医生的工作),而做一个真正的黑客则意味着付诸于一定的黑客行动,否则岂不是纸上谈兵?

一种解决方案

在信息安全培训中,经常会有一些模拟仿真类的课程学习。这种实战性质的教学环境,保证了学员不用参与任何有嫌疑的非法活动,就能将所学到的各种原理应用到日常工作当中。

“每堂课后,讲师都会留下各种作业让学员攻击训练营建立的测试网站,包括密码破解、漏洞扫描、SQL注入、代码分析等。”--星火计划:互联网安全人才训练营课程经理赵毅

近年来逐渐流行的各种攻防夺旗(CTF)赛事也是一个非常不错的黑客技术模拟仿真平台。中国的参赛队伍已经在国际CTF赛事上取得了不俗的成绩,同时国内的网络安全技术对抗联赛XCTF也正在如火如荼中。其中,刚刚落下帷幕的北京选拔赛,共吸引89个国家和地区的1770支战队、近4000位选手报名参赛。

另一种解决方案

在管理人员的许可下,安全人员对内部系统实施的入侵活动,称为渗透测试。它本身并不是一种非常前沿的安全检测手段,但目前渗透测试已经从内部发展到外部,从个人测试发展到小组甚至是群体测试,并形成了一种新兴的安全业务市场--漏洞众测。

漏洞众测的好处是摆脱了内部和单一人员的局限性,在保障受测方安全的情况下,由优秀的白帽子黑客群体进行渗透测试,从而尽可能地从最真实的场景中,集群体专业人员的合力找到系统漏洞。优秀意味着寻找与挖掘漏洞的质量和深度,受到信任则是确保客户的秘密不会被利用和公开。

乌云网创始人方小顿曾表示,漏洞众测的兴趣极大的改观了过去企业与白帽黑客之间的冷战态度,帮助了企业更好的防护恶意黑客的攻击。这意味着企业安全观更加成熟,“对整个安全行业都是好事”。

作者:王小瑞


来源:51CTO

相关文章
|
2月前
|
安全 网络安全 数据安全/隐私保护
网络安全的盾牌与剑:漏洞、加密与意识
【10月更文挑战第35天】在这个数字化不断深入的时代,网络安全成了保护我们数据和隐私的重要屏障。本文将深入浅出地探讨网络安全中的漏洞发现、加密技术的应用以及提升个人安全意识的重要性,旨在为读者提供一扇了解和防御网络威胁的窗口。从黑客如何利用漏洞发起攻击,到如何使用加密技术保护数据,再到为何培养良好的安全习惯对抵御网络犯罪至关重要,我们将一一解析。让我们携手构建一个更安全的网络环境。
|
3月前
|
SQL 安全 算法
网络安全的盾牌与剑:漏洞防御与加密技术的实战应用
【9月更文挑战第30天】在数字时代的浪潮中,网络安全成为守护信息资产的关键防线。本文深入浅出地探讨了网络安全中的两大核心议题——安全漏洞与加密技术,并辅以实例和代码演示,旨在提升公众的安全意识和技术防护能力。
|
4月前
|
存储 安全 算法
网络安全的盾牌与剑:漏洞、加密技术及安全意识的探索
【9月更文挑战第13天】在数字时代的浪潮下,网络安全成为保护信息资产的前线。本文将深入探讨网络安全的三个关键领域:网络漏洞的识别与防御、加密技术的运用与挑战、以及提升个人与企业的安全意识。通过分析实际案例和最新研究成果,我们将揭示如何构建一道坚固的防线,以抵御日益狡猾的网络攻击。
41 1
|
4月前
|
安全 网络安全 API
网络安全的盾牌与剑:漏洞防御与加密技术的较量
【9月更文挑战第26天】在数字世界的无垠沙场,网络安全成了守卫数据宝藏的坚固盾牌和锋利之剑。本文将深入剖析网络安全的两大关键领域:安全漏洞与加密技术,揭示它们如何影响我们的网络环境。我们将从漏洞的诞生谈起,探索它们是如何成为黑客的利器,同时也将了解加密技术如何成为保护信息安全的坚固堡垒。此外,提升个人和组织的网络安全意识同样至关重要,因此,我们还将讨论如何通过教育和实践来增强这种意识。让我们携手,共同构建一个更安全的网络环境。
|
5月前
|
安全 网络安全 数据安全/隐私保护
网络安全的盾牌与剑:漏洞、加密与安全意识的博弈
【8月更文挑战第28天】在数字世界的无垠战场上,网络安全成为保护数据宝藏的盾牌与剑。本文将深入探讨网络安全的三大支柱:漏洞挖掘、加密技术和安全意识培养。我们将从黑客的角度出发,揭示网络攻击的手段,再通过加密技术的介绍,展示如何加固防御。最后,我们将强调安全意识的重要性,因为最强大的技术也无法抵御无意识的一击。文章旨在为非专业人士提供一把理解网络安全复杂性的钥匙,同时为技术人员提供实战中的思考与启示。
|
5月前
|
安全 算法 网络安全
网络安全的盾牌与剑:漏洞、加密与意识的三重奏
【8月更文挑战第26天】在数字化时代的交响乐中,网络安全是不可或缺的乐章。本文将揭示网络世界的安全漏洞,探索加密技术的奥秘,并强调培养安全意识的重要性。通过深入浅出的解释和生动的案例,我们旨在提升公众对网络安全的认识,共同构筑一道坚不可摧的数字防线。
|
5月前
|
SQL 安全 算法
网络安全的盾牌与剑:漏洞、加密与意识的博弈
【8月更文挑战第27天】在数字世界的无垠战场上,网络安全是保护数据的盾牌和攻击威胁的利剑。本文将探索网络防御的三个关键要素:安全漏洞的识别与修补、加密技术的应用以及培养强大的安全意识。我们将通过实际案例分析,揭示如何通过这些工具和策略来构建一个更安全的网络环境。
|
4月前
|
安全 网络安全 数据安全/隐私保护
《网络安全的盾牌与剑:漏洞、加密技术与安全意识》
【9月更文挑战第13天】在数字化浪潮中,网络安全的重要性不言而喻。本文将深入浅出地探讨网络安全领域的三大核心要素:网络漏洞、加密技术和安全意识。我们将从基础概念出发,逐步深入到实际应用和案例分析,揭示这些要素在保护信息安全中的关键作用。通过阅读本文,读者将获得对网络安全的全面认识,并学会如何在日常生活中提高自身的安全防护能力。
|
5月前
|
SQL 存储 安全
网络安全的盾牌与剑:漏洞防御与加密技术的博弈
【8月更文挑战第31天】 在数字世界的无垠战场上,网络安全漏洞犹如潜伏的地雷,而加密技术则是保护数据的坚固盾牌。本文将深入探讨网络安全中的漏洞防御策略和加密技术的应用,通过实战案例分析,揭示安全意识的重要性,并提供实用的代码示例,帮助读者构建更为坚实的网络防线。
|
安全 网络安全
黑客渗透测试用社会工程学的奥秘
黑客往往对世界有自己独特的视角。当恶意攻击无法通过纯粹的计算机技术达到目的时,高超的情商将取代智商成为进一步打开突破口的武器,研究这些恶意攻击的安全人员也将跟进这些特殊而神秘的手段,从而在长期内形成安全领域独树一帜的理论:社会工程学(SocialEngineering)。本章将带读者揭开社会工程学的奥秘,欣赏它的风采,并介绍一些社会工程学的常用技巧。如果将这些技能运用到日常生活中,也能帮助你在学习、生活、工作中获得一些意想不到的优势。
225 0
黑客渗透测试用社会工程学的奥秘

热门文章

最新文章