许多安全行业的资深人士都会给出这样的建议,想要在信息安全道路上更进一步的话,要学会像黑客那样的思考。
的确,这个建议听上去非常好。它听上去十分专业和深刻,而且短小精悍适合微博转发,还可以印到T恤上彰显个性。但如果你拿这句话去问一些安全专业人员,它的含义到底是什么?答案可能五花八门。人们对黑客及黑客的想法有着各自的理解,换句话说吧,从传统意义上讲,有大量的安全从业人员从未做过黑客。
说起来容易,做起来难
“像黑客一样的思考”的确让人意识到安全是一种专业技术,但如果你不是一名黑客,也许你永远也不能“像黑客那样的思考”。举个例子:
车祸现场,受伤者躺在地上血流如注,肋骨从胸膛可怕的戳出。这时,有人对你说:别怕,要像“医生一样的思考”。如果你不是医生,这句话有意义吗?
当然,非黑即白的思维方式是不可取的。不是外科医生的话,药剂师或护士也会有所帮助,而一个专业急救人员,更是可以现场“救火”的最佳选择。因此问题来了,到底什么是黑客?黑客思维又是指什么?
黑客思维
许多媒体对黑客的概念局限于网络骗子、小偷、敲诈者等网络罪犯,或是迷途的不良少年。但许多真正理解黑客文化的人士认为,黑客无论其本意还是其蕴含的内在精神,更接近于那些拥有创造力的头脑的人,而不是以违法属性来定义的坏蛋。
记得在去年的网络安全大会上,知道创业的技术副总余弦说道:“其实本质上都是为了能够解决问题的一种思维方式,一种补充思维方式,不是那么板板正正的,而是有其他解决问题的方式去实现目的。”
国外的安全专业人员分别有着类似的看法:
“拥有解决问题或难题的能力和愿望,好奇心,享受挑战,不想被规则限制,寻找打败规则的办法,更高深的黑客则倾向于以系统的观点看待整个社会。”安全顾问杰西卡·巴克洛博士
“有两点:一是试图找出任何事物能够被利用的办法,但这种办法不是这种事物本来的使用目的;二是假定任何系统都可以被入侵,基于这种假定,来推算出会发生什么,恢复计划是什么,隔离方案是什么,该找谁等等。”--白帽子安全实验室副主管罗伯特·汉森
“我更愿意把黑客称做攻击者。如果你无法寄更多的希望在防护上,那么就需要了解攻击者的思想,理解他们的动机,他们攻击的手段、攻击的时间以及攻击的形式,这样才能兵来将挡、水来士淹。不站在攻击者的立场思考的话,将是一个最大的错误。”--佳能欧洲信息安全主管奎特恩·泰勒
杰西卡·巴克洛博士
(ISC)2董事会主席威姆·瑞姆斯则表达了更为详细的看法:“具备理解、分析和解决难题的能力,并能跳出常规思维模式,从非常规的角度考虑问题,想常人所不能想,做常人所不能做。并不只是解决技术问题,包括业务问题,甚至是生活问题。安全专业人员更象是工程师,被各种条件所限制。人力、资金、时间、规定、决策等等。只有那些具备黑客思维和业务敏感的安全人员,才能够做到正确的安全防护。”
这些观点阐明了黑客思维,并引出黑客思维在保护机构业务中的关键作用。
在企业或说机构中,有一种普遍的错误观念,业务部门与IT部门是两个完全不同的概念。但实际上,随着数字空间全面渗入人类的生活,机构的业务与安全处处存在交叉。想要做好安全工作,就需要用系统的观点进行全盘考虑,理解业务的管理和运营,核心价值在何处,关键资产是什么,系统弱点在哪里,它能被怎样的利用和如何去保护。安全人员不考虑到这些,则几乎无法抵挡得住黑客的攻击。
试想,如果一个安全人员连自己公司的业务都不了解,又怎能希望他很好去保护它呢?
黑客与自由
诚然,黑客与安全人员有着很大的区别。前者非常独立,总是一个人在不分昼夜的编写代码,测试程序,寻找机会,追逐利益,甚至任性妄为。而后者则是团队的一份子,有着各种规定或纪律的约束,包括资源使用,部门配合,公司政策等。一个从安全角度考虑的想法,即使再优秀再完备,也不得不让位于产品研发,市场推广,战略架构……
作为安全从业人员有着太多的束缚,很难跟的上哪些凭着自己的兴趣和激情自由发挥,并将自己的想法付诸于行动的优秀黑客们。
就在近期国内首次举办的苹果系统越狱黑客大会上,被全球越狱粉丝视作“大神”级的Comex,在回答安全牛记者的提问时承认,自从进入苹果公司工作后,给追求自由和探索欲望的黑客精神带来限制,并对个人的技术能力进步有所阻碍。而安全牛就此进一步发问时,Comex选择了拒绝回答。
越狱大会上的Comex
谈到这里,似乎有些无奈。黑客思维只能停留在安全人员的口头上吗?
鸟群的安全机制
有人曾举出一个鸟群自我保护机制的例子。鸟类有着许多天敌,除了能够飞翔以外,它们又是如何避免成为捕食者的口中的美味呢?简单的很,当有危险接近任何一只鸟时,这只鸟会向其他伙伴发出警报,从而避免伤害扩大。
同样,安全从业者也可以学习鸟群的这种警报信息共享的保护机制,共同检测并防止危险的扩大。许多人已经明白,这里谈的是威胁情报。
威胁情报共享机制目前已经成为安全生态系统中的重要一环。
像黑客那样的攻击?
还有一些安全圈子的人士认为,只有参与到黑客攻击的活动中,才能真正的像攻击者一样地思考,并从活动中取得第一手经验,从而更好的实施防御和保护工作。未知攻,焉知防!但这种模式的问题在于,真正的攻击会带来负面影响,其程度有可能超过正面的意义。而且,这种想法的逻辑上也容易遭到诟病。
比如,刑侦人员需要做过罪犯才能理解罪犯的思维模式并破案吗?同理,你能为了做好安全工作的目的而跑去入侵别人的网站吗?如果回答是肯定的,那你就要小心了。这种行为毫无疑问是恶意的,未经事主允许则是违法的。
至此,似乎又到了两难的地步。像黑客那样的思维需要做个黑客(如同像医生那样的思维就要从事医生的工作),而做一个真正的黑客则意味着付诸于一定的黑客行动,否则岂不是纸上谈兵?
一种解决方案
在信息安全培训中,经常会有一些模拟仿真类的课程学习。这种实战性质的教学环境,保证了学员不用参与任何有嫌疑的非法活动,就能将所学到的各种原理应用到日常工作当中。
“每堂课后,讲师都会留下各种作业让学员攻击训练营建立的测试网站,包括密码破解、漏洞扫描、SQL注入、代码分析等。”--星火计划:互联网安全人才训练营课程经理赵毅
近年来逐渐流行的各种攻防夺旗(CTF)赛事也是一个非常不错的黑客技术模拟仿真平台。中国的参赛队伍已经在国际CTF赛事上取得了不俗的成绩,同时国内的网络安全技术对抗联赛XCTF也正在如火如荼中。其中,刚刚落下帷幕的北京选拔赛,共吸引89个国家和地区的1770支战队、近4000位选手报名参赛。
另一种解决方案
在管理人员的许可下,安全人员对内部系统实施的入侵活动,称为渗透测试。它本身并不是一种非常前沿的安全检测手段,但目前渗透测试已经从内部发展到外部,从个人测试发展到小组甚至是群体测试,并形成了一种新兴的安全业务市场--漏洞众测。
漏洞众测的好处是摆脱了内部和单一人员的局限性,在保障受测方安全的情况下,由优秀的白帽子黑客群体进行渗透测试,从而尽可能地从最真实的场景中,集群体专业人员的合力找到系统漏洞。优秀意味着寻找与挖掘漏洞的质量和深度,受到信任则是确保客户的秘密不会被利用和公开。
乌云网创始人方小顿曾表示,漏洞众测的兴趣极大的改观了过去企业与白帽黑客之间的冷战态度,帮助了企业更好的防护恶意黑客的攻击。这意味着企业安全观更加成熟,“对整个安全行业都是好事”。
作者:王小瑞
来源:51CTO
