|
“亂中求簡;求同存異;困難中潛藏機(jī)遇�����。”
這通常被稱為愛因斯坦的領(lǐng)導(dǎo)法則��,它描述了在各種企業(yè)部署進(jìn)行安全部署時面臨的挑戰(zhàn)。顯然部署過程中會出現(xiàn)雜亂�����,紛爭和困難��,但是真正的安全專家知道如何從紛繁中找出模式化的東西�,化繁為簡。
“技術(shù)發(fā)展就像是病態(tài)罪犯手中的斧子��。”
有一種錯誤的觀念認(rèn)為投入較多的硬件�,軟件,小部件和人力就可以解決所有問題���。在大多數(shù)情況下�����,最基本的做法應(yīng)該是先理清順序�,但這其實(shí)也是大多數(shù)安全部署存在的問題����。以索尼被黑事件為例,如果在開發(fā)上多投入些���,就可以通過簡單的Input-Sanitation Function來捕獲SQL注入����。
“任何自作聰明的傻子都可能把小麻煩變得更大更復(fù)雜更棘手。智者的點(diǎn)撥和大膽一些才能扭轉(zhuǎn)局面�����。”
有時候�,少即是多�。復(fù)雜性和擴(kuò)展就是導(dǎo)致不安全的原因之一。因此���,簡化流程反而可以避免很多嚴(yán)重的安全問題�。但是這需要嫻熟的技巧才行�,而這也帶我們進(jìn)入下一個思考:
“盡可能進(jìn)行簡化不是單純以簡單為目標(biāo)。”
另一層意思可以理解為�����,復(fù)雜與否也是按照需要來��,不能單純以復(fù)雜為目的��。應(yīng)該有可用于策略評估的一套高標(biāo)準(zhǔn)和一套低標(biāo)準(zhǔn)。這樣是否太簡單而不能解決你的問題?安全進(jìn)程真的需要20個步驟嗎?又或者這些進(jìn)程只是為了敷衍客戶讓他們覺得沒有白花錢?
“我們不能用創(chuàng)建時的思路來解決問題��。”
筆者認(rèn)為這是愛因斯坦上述想法中最有價值的一條����。“當(dāng)你只有錘子的時候,所有的問題看起來都像釘子���。”這句話是對其智慧的更好詮釋�。極少有人會意識到自己陷入這個境地��,更不用說去承認(rèn)自己處于這個境地并放手把任務(wù)交由其他人完成或是采取一種不同的���,新穎的或有風(fēng)險的方法�����。人們趨向于回避自己不了解的問題或是自以為是���。
“創(chuàng)新的秘訣在于了解如何隱藏自己的資源。”
不要重蹈覆轍����。很多專家花時間寫指導(dǎo)和最佳實(shí)例��。你大可以好好利用�。
“不能通過武力實(shí)現(xiàn)和平�����。和平只能通過理解來實(shí)現(xiàn)���。”
讓用戶合作比強(qiáng)制他們順從要簡單有效得多����。應(yīng)該對可能導(dǎo)致數(shù)據(jù)泄露或惹上官司的惡意行為進(jìn)行監(jiān)控�����。生產(chǎn)監(jiān)控不是一項(xiàng)安全任務(wù)�����,對設(shè)備健康狀況的監(jiān)控不應(yīng)在SOC中完成�����。你可能會因?yàn)閳?jiān)持而給安全姿態(tài)帶來威脅����。
“唯一影響我學(xué)習(xí)的因素是我所受的教育。”
大企業(yè)強(qiáng)調(diào)安全培訓(xùn)���,喜歡用PPT或是在線視頻的方式來進(jìn)行培訓(xùn)����。傳統(tǒng)的安全培訓(xùn)可以很好地滿足服從性和安全規(guī)則��,然而用戶并不了解安全�,所以有些東西不會如想象的那樣脫穎而出。用戶在受到智力挑戰(zhàn)時才記得牢���。這意味著��,互動式對話�����,例如�,將工作之外與用戶相關(guān)的部分結(jié)合起來比讓用戶看無聊的幻燈片會有效果得多�����。
“有兩件事情是無窮盡的:宇宙與人類的愚蠢;我對宇宙并不完全了解。”
不要低估愚蠢的力量�����。嘗試讓你的策略直觀易懂���,在把策略部署到產(chǎn)品之前對各類用戶進(jìn)行大量測試����。這樣就可以在產(chǎn)品出現(xiàn)問題前發(fā)覺可能存在的誤解�����。
“自詡為真理和真知評判者的人會被上帝嘲笑�。”
傾聽用戶的聲音——他們或許對黑客技術(shù)并不了解,但是通過他們你會知道哪些是較難通過的屏障����,哪些是容易被攻擊的薄弱環(huán)節(jié)�。另外,你也難保不漏掉一個安全問題�����,所以也可以選擇接受第三方的常規(guī)審查。
“不是所有重要的事情都會被考慮進(jìn)來��,也不是所有考慮到的事情就是重要的�����。”
有趨勢表明對于標(biāo)準(zhǔn)的倚重有些過頭�����。標(biāo)準(zhǔn)的作用其實(shí)有限�,特別是在有著緊急屬性和不可預(yù)料的第三方介入時。只能依靠并使用那些可提供較好防御的標(biāo)準(zhǔn)����,要避免那些華而不實(shí)的管理報告。而若想對一些理所當(dāng)然的現(xiàn)象提出質(zhì)疑�,最好的方法就是展現(xiàn)它出故障的時候會出現(xiàn)什么情況。
希望這些可以給大家?guī)硪恍﹩l(fā)�����。更重要的是想傳遞給大家一種想法��,即安全專家不單單是技術(shù)師而已�����,其涉獵要遠(yuǎn)遠(yuǎn)超出IT范疇。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)����!虛擬主機(jī)域名注冊頂級提供商�����!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
