当前位置:安全行业动态 → 正文

开锁与网络安全的5个相通之处

责任编辑:editor006 作者:nana |来源:企业网D1Net  2017-04-09 22:13:41 本文摘自:安全牛

安全是个复杂互联的网络。这个包罗万象的领域中有很多细分门类,但有些经验是跨界适用的。物理安全很大程度上可被视为网络安全超然元素的代表。无论数字安全还是物理安全世界,都依赖相同的基本原则。虽然可能需要不同的工具和技术才能真正理解,开锁匠确实有些经验是可以教给网络安全从业者的。

1. 行为准则

开锁匠首先要学的,就是开锁的两大基本原则。首先,别碰未经主人允许的锁。这是开锁的行规,是好奇与法律之间差异的备忘。大多数地方都有对开锁职业的法律监管,所以道德开锁匠必须时刻记得自己那点小爱好可能招致的残酷后果。相同的原则适用于网络安全从业者。都必须遵从法律行事。

第二条准则相对不那么直接易懂。别撬正在使用中的锁。开锁匠需要认识到,自己是在破坏手头那把锁的安全。挑战设备核心本质的时候,总是带有毁坏设备的风险。职业锁匠会遇到需要撬在用的锁,这条原则作为破坏安全危险的提醒而存在。

白帽黑客知道,如果非必要测试网络安全,网络可被破坏,文件会被侵染,公司会遭遇宕机……安全测试自带固有风险。你在做的一切所产生的后果,必须总是正面的。

2. 兴趣即能力

锁匠总在找新方法开锁。厂商总在推出产品修复新漏洞。最终结果就是一个动态研究的领域。锁匠必须保持知识和技术总是处在最前沿,只要不能解析新设备,就会被时代无情抛弃,只要学不会避开锁头的最新方法,下一波演进会把你抛得更远。要搏击不断变化的浪潮,锁匠必须对工作兴趣满满。

兴趣是最好的老师,往往还能激发你去学习更多东西。没有兴趣,就没有了让锁匠学习必要知识以保住地位的动力。电子和软件安全飞速变化,不保证兴趣,太容易被时代甩下,甚至仅仅是脱离实践一段时间,技能也会萎缩衰退。

开锁是门很容易过时的技术,啥都不干,你的能力就作废了。锁匠自己清楚,失去兴趣不仅意味着落后,还意味着之前所有都蒸发了。兴趣越浓厚,技术越安全。

3. 啥都能被打开

锁就是用来开的。它也能关,但不能永远关着。让正确的人进入的锁才是锁。谁都不让进,那必然是把坏掉的锁。锁匠知道这是所有安全领域的固有缺陷。锁的意义,不在于让所有人都进不来,而是让正确的人能进来。你要做的,就是让锁为你开启——即便在不应该开启的时候。但是,锁头未必要按既定方式打开。锁匠知道锁头终会被打开,没什么东西是完全安全的。

这就是保持锁匠不断研磨自身的教义,但有时也会引发沮丧。你不能再因为自己做不到,或者当前还没人能做到,就说“做不到”。网络安全专家必须清楚,自己做的或者尝试绕过的任何东西,从一开始就是有漏洞的。

每把锁都有钥匙,钥匙工作方式能告诉你精炼绕过方式所需的所有知识。

4. 每个敌人的进攻方法都想到

开锁方法多种多样。你可以拆了它,把每个部件弄下来,用梳镐、撞匙等工具。如果真的想进去,直接切了,或者用锤子砸烂都行。重点是,最复杂的方法往往不是进门的方法。作为锁匠,就是尝试哪种办法能行。对付以前从未见过的锁头时,像新人一样不断测试。锁孔里转动无碍了吗?那就可以开始更准确的实验了。

太多人告诉你换位思考,但极少有人跟你说要把每一个可能进攻你系统的人都考虑到。这能防止你局限在自己的思维中。像看过YouTube视频教程的罪犯一样思考能扩展思路,帮助料敌机先,防范真正的威胁。有人可能就是很走运,你的部分工作就是找出他们需要多走运才能登堂入室。

作为专家,就是要能够以专业领域内各个层次的人的思考角度出发想问题。这才是专家优势所在。锁匠能像每一种偷儿一样对锁下手,网络安全人员也需要能够理解黑帽子的思路想法。

5. 耐心

开锁必须十分专注且耐心。太急躁容易导致弄坏工具,甚至直接把锁废了。不过,最好情况下,不耐烦仅仅是让开锁过程大幅延长而已。越急躁,越容易忽略某些东西。越耐心,失误越少。

锁头会隐晦地透露给锁匠一些信息,所谓的反馈。轻微的滴答声,内部机制的运转等等,都会出卖装置隐藏的秘密。耐心让你可以注意到这些微小的信号。

可以快,但不能是赶工那种快。在网络安全上,向时间投降只会让事情更麻烦,而这是失败的一大诱因。时间框架不是问题,思想态度才是。越是时间紧,越不能匆忙行事。缺乏耐心的锁匠,成功只能靠运气。事情总会花去它该花费的时间。即便要用到六种不同方法,你也必须一种种冷静运用。

精明管理时间,要知道:失去冷静是全盘皆输的捷径。

结论

不同安全领域能相互学习的经验很多。锁匠看待自身道德责任的态度,对深入理解安全漏洞查找的意义也有帮助。它还能提供对自身领域固有缺陷的认知,赋予你像每一个试图侵害系统的人一样思考的能力,让你能够清醒耐心地搞定自身责任。有了这些深入了解,你就能成为更全面发展的安全专家了。

关键字:网络安全YouTube

本文摘自:安全牛

x 开锁与网络安全的5个相通之处 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

开锁与网络安全的5个相通之处

责任编辑:editor006 作者:nana |来源:企业网D1Net  2017-04-09 22:13:41 本文摘自:安全牛

安全是个复杂互联的网络。这个包罗万象的领域中有很多细分门类,但有些经验是跨界适用的。物理安全很大程度上可被视为网络安全超然元素的代表。无论数字安全还是物理安全世界,都依赖相同的基本原则。虽然可能需要不同的工具和技术才能真正理解,开锁匠确实有些经验是可以教给网络安全从业者的。

1. 行为准则

开锁匠首先要学的,就是开锁的两大基本原则。首先,别碰未经主人允许的锁。这是开锁的行规,是好奇与法律之间差异的备忘。大多数地方都有对开锁职业的法律监管,所以道德开锁匠必须时刻记得自己那点小爱好可能招致的残酷后果。相同的原则适用于网络安全从业者。都必须遵从法律行事。

第二条准则相对不那么直接易懂。别撬正在使用中的锁。开锁匠需要认识到,自己是在破坏手头那把锁的安全。挑战设备核心本质的时候,总是带有毁坏设备的风险。职业锁匠会遇到需要撬在用的锁,这条原则作为破坏安全危险的提醒而存在。

白帽黑客知道,如果非必要测试网络安全,网络可被破坏,文件会被侵染,公司会遭遇宕机……安全测试自带固有风险。你在做的一切所产生的后果,必须总是正面的。

2. 兴趣即能力

锁匠总在找新方法开锁。厂商总在推出产品修复新漏洞。最终结果就是一个动态研究的领域。锁匠必须保持知识和技术总是处在最前沿,只要不能解析新设备,就会被时代无情抛弃,只要学不会避开锁头的最新方法,下一波演进会把你抛得更远。要搏击不断变化的浪潮,锁匠必须对工作兴趣满满。

兴趣是最好的老师,往往还能激发你去学习更多东西。没有兴趣,就没有了让锁匠学习必要知识以保住地位的动力。电子和软件安全飞速变化,不保证兴趣,太容易被时代甩下,甚至仅仅是脱离实践一段时间,技能也会萎缩衰退。

开锁是门很容易过时的技术,啥都不干,你的能力就作废了。锁匠自己清楚,失去兴趣不仅意味着落后,还意味着之前所有都蒸发了。兴趣越浓厚,技术越安全。

3. 啥都能被打开

锁就是用来开的。它也能关,但不能永远关着。让正确的人进入的锁才是锁。谁都不让进,那必然是把坏掉的锁。锁匠知道这是所有安全领域的固有缺陷。锁的意义,不在于让所有人都进不来,而是让正确的人能进来。你要做的,就是让锁为你开启——即便在不应该开启的时候。但是,锁头未必要按既定方式打开。锁匠知道锁头终会被打开,没什么东西是完全安全的。

这就是保持锁匠不断研磨自身的教义,但有时也会引发沮丧。你不能再因为自己做不到,或者当前还没人能做到,就说“做不到”。网络安全专家必须清楚,自己做的或者尝试绕过的任何东西,从一开始就是有漏洞的。

每把锁都有钥匙,钥匙工作方式能告诉你精炼绕过方式所需的所有知识。

4. 每个敌人的进攻方法都想到

开锁方法多种多样。你可以拆了它,把每个部件弄下来,用梳镐、撞匙等工具。如果真的想进去,直接切了,或者用锤子砸烂都行。重点是,最复杂的方法往往不是进门的方法。作为锁匠,就是尝试哪种办法能行。对付以前从未见过的锁头时,像新人一样不断测试。锁孔里转动无碍了吗?那就可以开始更准确的实验了。

太多人告诉你换位思考,但极少有人跟你说要把每一个可能进攻你系统的人都考虑到。这能防止你局限在自己的思维中。像看过YouTube视频教程的罪犯一样思考能扩展思路,帮助料敌机先,防范真正的威胁。有人可能就是很走运,你的部分工作就是找出他们需要多走运才能登堂入室。

作为专家,就是要能够以专业领域内各个层次的人的思考角度出发想问题。这才是专家优势所在。锁匠能像每一种偷儿一样对锁下手,网络安全人员也需要能够理解黑帽子的思路想法。

5. 耐心

开锁必须十分专注且耐心。太急躁容易导致弄坏工具,甚至直接把锁废了。不过,最好情况下,不耐烦仅仅是让开锁过程大幅延长而已。越急躁,越容易忽略某些东西。越耐心,失误越少。

锁头会隐晦地透露给锁匠一些信息,所谓的反馈。轻微的滴答声,内部机制的运转等等,都会出卖装置隐藏的秘密。耐心让你可以注意到这些微小的信号。

可以快,但不能是赶工那种快。在网络安全上,向时间投降只会让事情更麻烦,而这是失败的一大诱因。时间框架不是问题,思想态度才是。越是时间紧,越不能匆忙行事。缺乏耐心的锁匠,成功只能靠运气。事情总会花去它该花费的时间。即便要用到六种不同方法,你也必须一种种冷静运用。

精明管理时间,要知道:失去冷静是全盘皆输的捷径。

结论

不同安全领域能相互学习的经验很多。锁匠看待自身道德责任的态度,对深入理解安全漏洞查找的意义也有帮助。它还能提供对自身领域固有缺陷的认知,赋予你像每一个试图侵害系统的人一样思考的能力,让你能够清醒耐心地搞定自身责任。有了这些深入了解,你就能成为更全面发展的安全专家了。

关键字:网络安全YouTube

本文摘自:安全牛

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^