“亂中求簡;求同存異;困難中潛藏機(jī)遇。”

這通常被稱為愛因斯坦的領(lǐng)導(dǎo)法則，它描述了在各種企業(yè)部署進(jìn)行安全部署時(shí)面臨的挑戰(zhàn)。顯然部署過程中會(huì)出現(xiàn)雜亂，紛爭和困難，但是真正的安全專家知道如何從紛繁中找出模式化的東西，化繁為簡。

“技術(shù)發(fā)展就像是病態(tài)罪犯手中的斧子。”

有一種錯(cuò)誤的觀念認(rèn)為投入較多的硬件，軟件，小部件和人力就可以解決所有問題。在大多數(shù)情況下，最基本的做法應(yīng)該是先理清順序，但這其實(shí)也是大多數(shù)安全部署存在的問題。以索尼被黑事件為例，如果在開發(fā)上多投入些，就可以通過簡單的Input-Sanitation Function來捕獲SQL注入。

“任何自作聰明的傻子都可能把小麻煩變得更大更復(fù)雜更棘手。智者的點(diǎn)撥和大膽一些才能扭轉(zhuǎn)局面。”

有時(shí)候，少即是多。復(fù)雜性和擴(kuò)展就是導(dǎo)致不安全的原因之一。因此，簡化流程反而可以避免很多嚴(yán)重的安全問題。但是這需要嫻熟的技巧才行，而這也帶我們進(jìn)入下一個(gè)思考：

“盡可能進(jìn)行簡化不是單純以簡單為目標(biāo)。”

另一層意思可以理解為，復(fù)雜與否也是按照需要來，不能單純以復(fù)雜為目的。應(yīng)該有可用于策略評(píng)估的一套高標(biāo)準(zhǔn)和一套低標(biāo)準(zhǔn)。這樣是否太簡單而不能解決你的問題?安全進(jìn)程真的需要20個(gè)步驟嗎?又或者這些進(jìn)程只是為了敷衍客戶讓他們覺得沒有白花錢?

“我們不能用創(chuàng)建時(shí)的思路來解決問題。”

筆者認(rèn)為這是愛因斯坦上述想法中最有價(jià)值的一條。“當(dāng)你只有錘子的時(shí)候，所有的問題看起來都像釘子。”這句話是對(duì)其智慧的更好詮釋。極少有人會(huì)意識(shí)到自己陷入這個(gè)境地，更不用說去承認(rèn)自己處于這個(gè)境地并放手把任務(wù)交由其他人完成或是采取一種不同的，新穎的或有風(fēng)險(xiǎn)的方法。人們趨向于回避自己不了解的問題或是自以為是。

“創(chuàng)新的秘訣在于了解如何隱藏自己的資源。”

不要重蹈覆轍。很多專家花時(shí)間寫指導(dǎo)和最佳實(shí)例。你大可以好好利用。

“不能通過武力實(shí)現(xiàn)和平。和平只能通過理解來實(shí)現(xiàn)。”

讓用戶合作比強(qiáng)制他們順從要簡單有效得多。應(yīng)該對(duì)可能導(dǎo)致數(shù)據(jù)泄露或惹上官司的惡意行為進(jìn)行監(jiān)控。生產(chǎn)監(jiān)控不是一項(xiàng)安全任務(wù)，對(duì)設(shè)備健康狀況的監(jiān)控不應(yīng)在SOC中完成。你可能會(huì)因?yàn)閳?jiān)持而給安全姿態(tài)帶來威脅。

“唯一影響我學(xué)習(xí)的因素是我所受的教育。”

大企業(yè)強(qiáng)調(diào)安全培訓(xùn)，喜歡用PPT或是在線視頻的方式來進(jìn)行培訓(xùn)。傳統(tǒng)的安全培訓(xùn)可以很好地滿足服從性和安全規(guī)則，然而用戶并不了解安全，所以有些東西不會(huì)如想象的那樣脫穎而出。用戶在受到智力挑戰(zhàn)時(shí)才記得牢。這意味著，互動(dòng)式對(duì)話，例如，將工作之外與用戶相關(guān)的部分結(jié)合起來比讓用戶看無聊的幻燈片會(huì)有效果得多。

“有兩件事情是無窮盡的：宇宙與人類的愚蠢;我對(duì)宇宙并不完全了解。”

不要低估愚蠢的力量。嘗試讓你的策略直觀易懂，在把策略部署到產(chǎn)品之前對(duì)各類用戶進(jìn)行大量測試。這樣就可以在產(chǎn)品出現(xiàn)問題前發(fā)覺可能存在的誤解。

“自詡為真理和真知評(píng)判者的人會(huì)被上帝嘲笑。”

傾聽用戶的聲音——他們或許對(duì)黑客技術(shù)并不了解，但是通過他們你會(huì)知道哪些是較難通過的屏障，哪些是容易被攻擊的薄弱環(huán)節(jié)。另外，你也難保不漏掉一個(gè)安全問題，所以也可以選擇接受第三方的常規(guī)審查。

“不是所有重要的事情都會(huì)被考慮進(jìn)來，也不是所有考慮到的事情就是重要的。”

有趨勢表明對(duì)于標(biāo)準(zhǔn)的倚重有些過頭。標(biāo)準(zhǔn)的作用其實(shí)有限，特別是在有著緊急屬性和不可預(yù)料的第三方介入時(shí)。只能依靠并使用那些可提供較好防御的標(biāo)準(zhǔn)，要避免那些華而不實(shí)的管理報(bào)告。而若想對(duì)一些理所當(dāng)然的現(xiàn)象提出質(zhì)疑，最好的方法就是展現(xiàn)它出故障的時(shí)候會(huì)出現(xiàn)什么情況。

希望這些可以給大家?guī)硪恍﹩l(fā)。更重要的是想傳遞給大家一種想法，即安全專家不單單是技術(shù)師而已，其涉獵要遠(yuǎn)遠(yuǎn)超出IT范疇。

原文地址：http://www.securityweek.com/einstein-security-procedures-and-processes