許多安全行業(yè)的資深人士都會給出這樣的建議，想要在信息安全道路上更進一步的話，要學會像黑客那樣的思考。

[[131465]]

的確，這個建議聽上去非常好。它聽上去十分專業(yè)和深刻，而且短小精悍適合微博轉(zhuǎn)發(fā)，還可以印到T恤上彰顯個性。但如果你拿這句話去問一些安全專業(yè)人員，它的含義到底是什么?答案可能五花八門。人們對黑客及黑客的想法有著各自的理解，換句話說吧，從傳統(tǒng)意義上講，有大量的安全從業(yè)人員從未做過黑客。

說起來容易，做起來難

“像黑客一樣的思考”的確讓人意識到安全是一種專業(yè)技術，但如果你不是一名黑客，也許你永遠也不能“像黑客那樣的思考”。舉個例子：

車禍現(xiàn)場，受傷者躺在地上血流如注，肋骨從胸膛可怕的戳出。這時，有人對你說：別怕，要像“醫(yī)生一樣的思考”。如果你不是醫(yī)生，這句話有意義嗎?

當然，非黑即白的思維方式是不可取的。不是外科醫(yī)生的話，藥劑師或護士也會有所幫助，而一個專業(yè)急救人員，更是可以現(xiàn)場“救火”的最佳選擇。因此問題來了，到底什么是黑客?黑客思維又是指什么?

黑客思維

許多媒體對黑客的概念局限于網(wǎng)絡騙子、小偷、敲詐者等網(wǎng)絡罪犯，或是迷途的不良少年。但許多真正理解黑客文化的人士認為，黑客無論其本意還是其蘊含的內(nèi)在精神，更接近于那些擁有創(chuàng)造力的頭腦的人，而不是以違法屬性來定義的壞蛋。

記得在去年的網(wǎng)絡安全大會上，知道創(chuàng)業(yè)的技術副總余弦說道：“其實本質(zhì)上都是為了能夠解決問題的一種思維方式，一種補充思維方式，不是那么板板正正的，而是有其他解決問題的方式去實現(xiàn)目的。”

國外的安全專業(yè)人員分別有著類似的看法：

“擁有解決問題或難題的能力和愿望，好奇心，享受挑戰(zhàn)，不想被規(guī)則限制，尋找打敗規(guī)則的辦法，更高深的黑客則傾向于以系統(tǒng)的觀點看待整個社會。”安全顧問杰西卡·巴克洛博士

“有兩點：一是試圖找出任何事物能夠被利用的辦法，但這種辦法不是這種事物本來的使用目的;二是假定任何系統(tǒng)都可以被入侵，基于這種假定，來推算出會發(fā)生什么，恢復計劃是什么，隔離方案是什么，該找誰等等。”--白帽子安全實驗室副主管羅伯特·漢森

“我更愿意把黑客稱做攻擊者。如果你無法寄更多的希望在防護上，那么就需要了解攻擊者的思想，理解他們的動機，他們攻擊的手段、攻擊的時間以及攻擊的形式，這樣才能兵來將擋、水來士淹。不站在攻擊者的立場思考的話，將是一個最大的錯誤。”--佳能歐洲信息安全主管奎特恩·泰勒

[[131466]]

杰西卡·巴克洛博士

(ISC)2董事會主席威姆·瑞姆斯則表達了更為詳細的看法：“具備理解、分析和解決難題的能力，并能跳出常規(guī)思維模式，從非常規(guī)的角度考慮問題，想常人所不能想，做常人所不能做。并不只是解決技術問題，包括業(yè)務問題，甚至是生活問題。安全專業(yè)人員更象是工程師，被各種條件所限制。人力、資金、時間、規(guī)定、決策等等。只有那些具備黑客思維和業(yè)務敏感的安全人員，才能夠做到正確的安全防護。”

這些觀點闡明了黑客思維，并引出黑客思維在保護機構業(yè)務中的關鍵作用。

在企業(yè)或說機構中，有一種普遍的錯誤觀念，業(yè)務部門與IT部門是兩個完全不同的概念。但實際上，隨著數(shù)字空間全面滲入人類的生活，機構的業(yè)務與安全處處存在交叉。想要做好安全工作，就需要用系統(tǒng)的觀點進行全盤考慮，理解業(yè)務的管理和運營，核心價值在何處，關鍵資產(chǎn)是什么，系統(tǒng)弱點在哪里，它能被怎樣的利用和如何去保護。安全人員不考慮到這些，則幾乎無法抵擋得住黑客的攻擊。

試想，如果一個安全人員連自己公司的業(yè)務都不了解，又怎能希望他很好去保護它呢?

黑客與自由

誠然，黑客與安全人員有著很大的區(qū)別。前者非常獨立，總是一個人在不分晝夜的編寫代碼，測試程序，尋找機會，追逐利益，甚至任性妄為。而后者則是團隊的一份子，有著各種規(guī)定或紀律的約束，包括資源使用，部門配合，公司政策等。一個從安全角度考慮的想法，即使再優(yōu)秀再完備，也不得不讓位于產(chǎn)品研發(fā)，市場推廣，戰(zhàn)略架構……

作為安全從業(yè)人員有著太多的束縛，很難跟的上哪些憑著自己的興趣和激情自由發(fā)揮，并將自己的想法付諸于行動的優(yōu)秀黑客們。

就在近期國內(nèi)首次舉辦的蘋果系統(tǒng)越獄黑客大會上，被全球越獄粉絲視作“大神”級的Comex，在回答安全牛記者的提問時承認，自從進入蘋果公司工作后，給追求自由和探索欲望的黑客精神帶來限制，并對個人的技術能力進步有所阻礙。而安全牛就此進一步發(fā)問時，Comex選擇了拒絕回答。

[[131467]]

越獄大會上的Comex

談到這里，似乎有些無奈。黑客思維只能停留在安全人員的口頭上嗎?

鳥群的安全機制

有人曾舉出一個鳥群自我保護機制的例子。鳥類有著許多天敵，除了能夠飛翔以外，它們又是如何避免成為捕食者的口中的美味呢?簡單的很，當有危險接近任何一只鳥時，這只鳥會向其他伙伴發(fā)出警報，從而避免傷害擴大。

同樣，安全從業(yè)者也可以學習鳥群的這種警報信息共享的保護機制，共同檢測并防止危險的擴大。許多人已經(jīng)明白，這里談的是威脅情報。

威脅情報共享機制目前已經(jīng)成為安全生態(tài)系統(tǒng)中的重要一環(huán)。

像黑客那樣的攻擊?

還有一些安全圈子的人士認為，只有參與到黑客攻擊的活動中，才能真正的像攻擊者一樣地思考，并從活動中取得第一手經(jīng)驗，從而更好的實施防御和保護工作。未知攻，焉知防!但這種模式的問題在于，真正的攻擊會帶來負面影響，其程度有可能超過正面的意義。而且，這種想法的邏輯上也容易遭到詬病。

比如，刑偵人員需要做過罪犯才能理解罪犯的思維模式并破案嗎?同理，你能為了做好安全工作的目的而跑去入侵別人的網(wǎng)站嗎?如果回答是肯定的，那你就要小心了。這種行為毫無疑問是惡意的，未經(jīng)事主允許則是違法的。

至此，似乎又到了兩難的地步。像黑客那樣的思維需要做個黑客(如同像醫(yī)生那樣的思維就要從事醫(yī)生的工作)，而做一個真正的黑客則意味著付諸于一定的黑客行動，否則豈不是紙上談兵?

一種解決方案

在信息安全培訓中，經(jīng)常會有一些模擬仿真類的課程學習。這種實戰(zhàn)性質(zhì)的教學環(huán)境，保證了學員不用參與任何有嫌疑的非法活動，就能將所學到的各種原理應用到日常工作當中。

“每堂課后，講師都會留下各種作業(yè)讓學員攻擊訓練營建立的測試網(wǎng)站，包括密碼破解、漏洞掃描、SQL注入、代碼分析等。”--星火計劃：互聯(lián)網(wǎng)安全人才訓練營課程經(jīng)理趙毅

近年來逐漸流行的各種攻防奪旗(CTF)賽事也是一個非常不錯的黑客技術模擬仿真平臺。中國的參賽隊伍已經(jīng)在國際CTF賽事上取得了不俗的成績，同時國內(nèi)的網(wǎng)絡安全技術對抗聯(lián)賽XCTF也正在如火如荼中。其中，剛剛落下帷幕的北京選拔賽，共吸引89個國家和地區(qū)的1770支戰(zhàn)隊、近4000位選手報名參賽。

另一種解決方案

在管理人員的許可下，安全人員對內(nèi)部系統(tǒng)實施的入侵活動，稱為滲透測試。它本身并不是一種非常前沿的安全檢測手段，但目前滲透測試已經(jīng)從內(nèi)部發(fā)展到外部，從個人測試發(fā)展到小組甚至是群體測試，并形成了一種新興的安全業(yè)務市場--漏洞眾測。

漏洞眾測的好處是擺脫了內(nèi)部和單一人員的局限性，在保障受測方安全的情況下，由優(yōu)秀的白帽子黑客群體進行滲透測試，從而盡可能地從最真實的場景中，集群體專業(yè)人員的合力找到系統(tǒng)漏洞。優(yōu)秀意味著尋找與挖掘漏洞的質(zhì)量和深度，受到信任則是確?？蛻舻拿孛懿粫焕煤凸_。

烏云網(wǎng)創(chuàng)始人方小頓曾表示，漏洞眾測的興趣極大的改觀了過去企業(yè)與白帽黑客之間的冷戰(zhàn)態(tài)度，幫助了企業(yè)更好的防護惡意黑客的攻擊。這意味著企業(yè)安全觀更加成熟，“對整個安全行業(yè)都是好事”。

原文地址：http://www.aqniu.com/neo-points/7246.html