安全無(wú)界限 愛(ài)因斯坦對(duì)安全進(jìn)程的啟示

這通常被稱(chēng)為愛(ài)因斯坦的領(lǐng)導(dǎo)法則，它描述了在各種企業(yè)部署進(jìn)行安全部署時(shí)面臨的挑戰(zhàn)。顯然部署過(guò)程中會(huì)出現(xiàn)雜亂，紛爭(zhēng)和困難，但是真正的安全專(zhuān)家知道如何從紛繁中找出模式化的東西，化繁為簡(jiǎn)。

“技術(shù)發(fā)展就像是病態(tài)罪犯手中的斧子。”

有一種錯(cuò)誤的觀念認(rèn)為投入較多的硬件，軟件，小部件和人力就可以解決所有問(wèn)題。在大多數(shù)情況下，最基本的做法應(yīng)該是先理清順序，但這其實(shí)也是大多數(shù)安全部署存在的問(wèn)題。以索尼被黑事件為例，如果在開(kāi)發(fā)上多投入些，就可以通過(guò)簡(jiǎn)單的Input-Sanitation Function來(lái)捕獲SQL注入。

“任何自作聰明的傻子都可能把小麻煩變得更大更復(fù)雜更棘手。智者的點(diǎn)撥和大膽一些才能扭轉(zhuǎn)局面。”

有時(shí)候，少即是多。復(fù)雜性和擴(kuò)展就是導(dǎo)致不安全的原因之一。因此，簡(jiǎn)化流程反而可以避免很多嚴(yán)重的安全問(wèn)題。但是這需要嫻熟的技巧才行，而這也帶我們進(jìn)入下一個(gè)思考：

“盡可能進(jìn)行簡(jiǎn)化不是單純以簡(jiǎn)單為目標(biāo)。”

另一層意思可以理解為，復(fù)雜與否也是按照需要來(lái)，不能單純以復(fù)雜為目的。應(yīng)該有可用于策略評(píng)估的一套高標(biāo)準(zhǔn)和一套低標(biāo)準(zhǔn)。這樣是否太簡(jiǎn)單而不能解決你的問(wèn)題?安全進(jìn)程真的需要20個(gè)步驟嗎?又或者這些進(jìn)程只是為了敷衍客戶(hù)讓他們覺(jué)得沒(méi)有白花錢(qián)?

“我們不能用創(chuàng)建時(shí)的思路來(lái)解決問(wèn)題。”

筆者認(rèn)為這是愛(ài)因斯坦上述想法中最有價(jià)值的一條。“當(dāng)你只有錘子的時(shí)候，所有的問(wèn)題看起來(lái)都像釘子。”這句話是對(duì)其智慧的更好詮釋。極少有人會(huì)意識(shí)到自己陷入這個(gè)境地，更不用說(shuō)去承認(rèn)自己處于這個(gè)境地并放手把任務(wù)交由其他人完成或是采取一種不同的，新穎的或有風(fēng)險(xiǎn)的方法。人們趨向于回避自己不了解的問(wèn)題或是自以為是。

“創(chuàng)新的秘訣在于了解如何隱藏自己的資源。”

不要重蹈覆轍。很多專(zhuān)家花時(shí)間寫(xiě)指導(dǎo)和最佳實(shí)例。你大可以好好利用。

“不能通過(guò)武力實(shí)現(xiàn)和平。和平只能通過(guò)理解來(lái)實(shí)現(xiàn)。”

讓用戶(hù)合作比強(qiáng)制他們順從要簡(jiǎn)單有效得多。應(yīng)該對(duì)可能導(dǎo)致數(shù)據(jù)泄露或惹上官司的惡意行為進(jìn)行監(jiān)控。生產(chǎn)監(jiān)控不是一項(xiàng)安全任務(wù)，對(duì)設(shè)備健康狀況的監(jiān)控不應(yīng)在SOC中完成。你可能會(huì)因?yàn)閳?jiān)持而給安全姿態(tài)帶來(lái)威脅。

“唯一影響我學(xué)習(xí)的因素是我所受的教育。”

大企業(yè)強(qiáng)調(diào)安全培訓(xùn)，喜歡用PPT或是在線視頻的方式來(lái)進(jìn)行培訓(xùn)。傳統(tǒng)的安全培訓(xùn)可以很好地滿足服從性和安全規(guī)則，然而用戶(hù)并不了解安全，所以有些東西不會(huì)如想象的那樣脫穎而出。用戶(hù)在受到智力挑戰(zhàn)時(shí)才記得牢。這意味著，互動(dòng)式對(duì)話，例如，將工作之外與用戶(hù)相關(guān)的部分結(jié)合起來(lái)比讓用戶(hù)看無(wú)聊的幻燈片會(huì)有效果得多。

“有兩件事情是無(wú)窮盡的：宇宙與人類(lèi)的愚蠢;我對(duì)宇宙并不完全了解。”

不要低估愚蠢的力量。嘗試讓你的策略直觀易懂，在把策略部署到產(chǎn)品之前對(duì)各類(lèi)用戶(hù)進(jìn)行大量測(cè)試。這樣就可以在產(chǎn)品出現(xiàn)問(wèn)題前發(fā)覺(jué)可能存在的誤解。

“自詡為真理和真知評(píng)判者的人會(huì)被上帝嘲笑。”

傾聽(tīng)用戶(hù)的聲音——他們或許對(duì)黑客技術(shù)并不了解，但是通過(guò)他們你會(huì)知道哪些是較難通過(guò)的屏障，哪些是容易被攻擊的薄弱環(huán)節(jié)。另外，你也難保不漏掉一個(gè)安全問(wèn)題，所以也可以選擇接受第三方的常規(guī)審查。

“不是所有重要的事情都會(huì)被考慮進(jìn)來(lái)，也不是所有考慮到的事情就是重要的。”

有趨勢(shì)表明對(duì)于標(biāo)準(zhǔn)的倚重有些過(guò)頭。標(biāo)準(zhǔn)的作用其實(shí)有限，特別是在有著緊急屬性和不可預(yù)料的第三方介入時(shí)。只能依靠并使用那些可提供較好防御的標(biāo)準(zhǔn)，要避免那些華而不實(shí)的管理報(bào)告。而若想對(duì)一些理所當(dāng)然的現(xiàn)象提出質(zhì)疑，最好的方法就是展現(xiàn)它出故障的時(shí)候會(huì)出現(xiàn)什么情況。

希望這些可以給大家?guī)��?lái)一些啟發(fā)。更重要的是想傳遞給大家一種想法，即安全專(zhuān)家不單單是技術(shù)師而已，其涉獵要遠(yuǎn)遠(yuǎn)超出IT范疇。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]