像黑客一样的思考?黑客思维漫谈

简介:

许多安全行业的资深人士都会给出这样的建议,想要在信息安全道路上更进一步的话,要学会像黑客那样的思考。

像黑客一样的思考?黑客思维漫谈

的确,这个建议听上去非常好。它听上去十分专业和深刻,而且短小精悍适合微博转发,还可以印到T恤上彰显个性。但如果你拿这句话去问一些安全专业人员,它的含义到底是什么?答案可能五花八门。人们对黑客及黑客的想法有着各自的理解,换句话说吧,从传统意义上讲,有大量的安全从业人员从未做过黑客。

说起来容易,做起来难

“像黑客一样的思考”的确让人意识到安全是一种专业技术,但如果你不是一名黑客,也许你永远也不能“像黑客那样的思考”。举个例子:

车祸现场,受伤者躺在地上血流如注,肋骨从胸膛可怕的戳出。这时,有人对你说:别怕,要像“医生一样的思考”。如果你不是医生,这句话有意义吗?

当然,非黑即白的思维方式是不可取的。不是外科医生的话,药剂师或护士也会有所帮助,而一个专业急救人员,更是可以现场“救火”的最佳选择。因此问题来了,到底什么是黑客?黑客思维又是指什么?

黑客思维

许多媒体对黑客的概念局限于网络骗子、小偷、敲诈者等网络罪犯,或是迷途的不良少年。但许多真正理解黑客文化的人士认为,黑客无论其本意还是其蕴含的内在精神,更接近于那些拥有创造力的头脑的人,而不是以违法属性来定义的坏蛋。

记得在去年的网络安全大会上,知道创业的技术副总余弦说道:“其实本质上都是为了能够解决问题的一种思维方式,一种补充思维方式,不是那么板板正正的,而是有其他解决问题的方式去实现目的。”

国外的安全专业人员分别有着类似的看法:

“拥有解决问题或难题的能力和愿望,好奇心,享受挑战,不想被规则限制,寻找打败规则的办法,更高深的黑客则倾向于以系统的观点看待整个社会。”安全顾问杰西卡·巴克洛博士

“有两点:一是试图找出任何事物能够被利用的办法,但这种办法不是这种事物本来的使用目的;二是假定任何系统都可以被入侵,基于这种假定,来推算出会发生什么,恢复计划是什么,隔离方案是什么,该找谁等等。”--白帽子安全实验室副主管罗伯特·汉森

“我更愿意把黑客称做攻击者。如果你无法寄更多的希望在防护上,那么就需要了解攻击者的思想,理解他们的动机,他们攻击的手段、攻击的时间以及攻击的形式,这样才能兵来将挡、水来士淹。不站在攻击者的立场思考的话,将是一个最大的错误。”--佳能欧洲信息安全主管奎特恩·泰勒

像黑客一样的思考?黑客思维漫谈

杰西卡·巴克洛博士

(ISC)2董事会主席威姆·瑞姆斯则表达了更为详细的看法:“具备理解、分析和解决难题的能力,并能跳出常规思维模式,从非常规的角度考虑问题,想常人所不能想,做常人所不能做。并不只是解决技术问题,包括业务问题,甚至是生活问题。安全专业人员更象是工程师,被各种条件所限制。人力、资金、时间、规定、决策等等。只有那些具备黑客思维和业务敏感的安全人员,才能够做到正确的安全防护。”

这些观点阐明了黑客思维,并引出黑客思维在保护机构业务中的关键作用。

在企业或说机构中,有一种普遍的错误观念,业务部门与IT部门是两个完全不同的概念。但实际上,随着数字空间全面渗入人类的生活,机构的业务与安全处处存在交叉。想要做好安全工作,就需要用系统的观点进行全盘考虑,理解业务的管理和运营,核心价值在何处,关键资产是什么,系统弱点在哪里,它能被怎样的利用和如何去保护。安全人员不考虑到这些,则几乎无法抵挡得住黑客的攻击。

试想,如果一个安全人员连自己公司的业务都不了解,又怎能希望他很好去保护它呢?

黑客与自由

诚然,黑客与安全人员有着很大的区别。前者非常独立,总是一个人在不分昼夜的编写代码,测试程序,寻找机会,追逐利益,甚至任性妄为。而后者则是团队的一份子,有着各种规定或纪律的约束,包括资源使用,部门配合,公司政策等。一个从安全角度考虑的想法,即使再优秀再完备,也不得不让位于产品研发,市场推广,战略架构……

作为安全从业人员有着太多的束缚,很难跟的上哪些凭着自己的兴趣和激情自由发挥,并将自己的想法付诸于行动的优秀黑客们。

就在近期国内首次举办的苹果系统越狱黑客大会上,被全球越狱粉丝视作“大神”级的Comex,在回答安全牛记者的提问时承认,自从进入苹果公司工作后,给追求自由和探索欲望的黑客精神带来限制,并对个人的技术能力进步有所阻碍。而安全牛就此进一步发问时,Comex选择了拒绝回答。

像黑客一样的思考?黑客思维漫谈

越狱大会上的Comex

谈到这里,似乎有些无奈。黑客思维只能停留在安全人员的口头上吗?

鸟群的安全机制

有人曾举出一个鸟群自我保护机制的例子。鸟类有着许多天敌,除了能够飞翔以外,它们又是如何避免成为捕食者的口中的美味呢?简单的很,当有危险接近任何一只鸟时,这只鸟会向其他伙伴发出警报,从而避免伤害扩大。

同样,安全从业者也可以学习鸟群的这种警报信息共享的保护机制,共同检测并防止危险的扩大。许多人已经明白,这里谈的是威胁情报。

威胁情报共享机制目前已经成为安全生态系统中的重要一环。

像黑客那样的攻击?

还有一些安全圈子的人士认为,只有参与到黑客攻击的活动中,才能真正的像攻击者一样地思考,并从活动中取得第一手经验,从而更好的实施防御和保护工作。未知攻,焉知防!但这种模式的问题在于,真正的攻击会带来负面影响,其程度有可能超过正面的意义。而且,这种想法的逻辑上也容易遭到诟病。

比如,刑侦人员需要做过罪犯才能理解罪犯的思维模式并破案吗?同理,你能为了做好安全工作的目的而跑去入侵别人的网站吗?如果回答是肯定的,那你就要小心了。这种行为毫无疑问是恶意的,未经事主允许则是违法的。

至此,似乎又到了两难的地步。像黑客那样的思维需要做个黑客(如同像医生那样的思维就要从事医生的工作),而做一个真正的黑客则意味着付诸于一定的黑客行动,否则岂不是纸上谈兵?

一种解决方案

在信息安全培训中,经常会有一些模拟仿真类的课程学习。这种实战性质的教学环境,保证了学员不用参与任何有嫌疑的非法活动,就能将所学到的各种原理应用到日常工作当中。

“每堂课后,讲师都会留下各种作业让学员攻击训练营建立的测试网站,包括密码破解、漏洞扫描、SQL注入、代码分析等。”--星火计划:互联网安全人才训练营课程经理赵毅

近年来逐渐流行的各种攻防夺旗(CTF)赛事也是一个非常不错的黑客技术模拟仿真平台。中国的参赛队伍已经在国际CTF赛事上取得了不俗的成绩,同时国内的网络安全技术对抗联赛XCTF也正在如火如荼中。其中,刚刚落下帷幕的北京选拔赛,共吸引89个国家和地区的1770支战队、近4000位选手报名参赛。

另一种解决方案

在管理人员的许可下,安全人员对内部系统实施的入侵活动,称为渗透测试。它本身并不是一种非常前沿的安全检测手段,但目前渗透测试已经从内部发展到外部,从个人测试发展到小组甚至是群体测试,并形成了一种新兴的安全业务市场--漏洞众测。

漏洞众测的好处是摆脱了内部和单一人员的局限性,在保障受测方安全的情况下,由优秀的白帽子黑客群体进行渗透测试,从而尽可能地从最真实的场景中,集群体专业人员的合力找到系统漏洞。优秀意味着寻找与挖掘漏洞的质量和深度,受到信任则是确保客户的秘密不会被利用和公开。

乌云网创始人方小顿曾表示,漏洞众测的兴趣极大的改观了过去企业与白帽黑客之间的冷战态度,帮助了企业更好的防护恶意黑客的攻击。这意味着企业安全观更加成熟,“对整个安全行业都是好事”。

作者:王小瑞


来源:51CTO

相关文章
|
安全 数据处理
你有学习的态度?黑客很近很近!
黑客们解决问题,建设事物,同时他们信仰自由和无私的双向帮助。要想作为一名黑客被社群认同,你需要体现出自己已经具备了这种态度。而要体现出这种态度,你就得真正相信和赞同这种态度。
|
27天前
|
安全 网络安全 量子技术
揭秘网络安全的盾牌与剑:漏洞、加密与意识的力量
【10月更文挑战第42天】在数字化浪潮中,网络安全成为守护信息资产的关键防线。本文深入探讨了网络防御的三大支柱:安全漏洞识别与修补、加密技术的应用、以及提升个人和组织的安全意识。通过案例分析和策略建议,揭示如何在日益复杂的网络环境中保持警惕,强化防护。
|
4月前
|
SQL 安全 算法
网络安全的盾牌与剑:漏洞、加密与意识的博弈
【8月更文挑战第27天】在数字世界的无垠战场上,网络安全是保护数据的盾牌和攻击威胁的利剑。本文将探索网络防御的三个关键要素:安全漏洞的识别与修补、加密技术的应用以及培养强大的安全意识。我们将通过实际案例分析,揭示如何通过这些工具和策略来构建一个更安全的网络环境。
|
4月前
|
SQL 安全 网络安全
网络安全的盾牌与剑:漏洞、加密与意识的较量
【8月更文挑战第29天】在数字化时代的浪潮中,网络安全成为了保护信息资产的重要战线。本文将深入浅出地探讨网络安全的三大关键要素:安全漏洞、加密技术和用户安全意识。通过分析这些元素如何影响网络环境的安全状态,我们旨在为读者提供一套实用的知识框架,以增强个人和组织在网络空间的防御能力。
|
安全
最危险黑客为避免被引渡努力 曾入侵五角大楼
北京时间6月10日消息,据国外媒体报道,英国电脑黑客加里·麦金农(Gary Mckinnon)为避免被引渡到美国将进行最后努力。麦金农因为被美国称为有史以来最为严重的军事黑客行为而被美方通缉。 被称为“有史以来最大的军事黑客”的加里·麦金农 麦金农律师周二将在伦敦伦敦高等法院为其辩护。
843 0
|
安全 测试技术 Linux
如何成为一名有道德的黑客?
本文讲的是如何成为一名有道德的黑客?,由于近来网络攻击、数据泄漏事件频发,各行各业希望借助道德黑客的能力帮助其保护网络安全的需求日盛。因此,白帽黑客、渗透测试人员以及信息安全分析师成为当今IT行业最高薪的人群之一也就不足为奇了。
1883 0
|
安全 测试技术
道德黑客与黑客教程
本文讲的是 道德黑客与黑客教程,尽管凯文·米特尼克和罗伯特·莫里斯(著名的“莫里斯蠕虫”作者)等全球著名黑客的故事看起来非常有趣,却他们却都以锒铛入狱为结局
2242 0