像黑客一样思考

很多人对琳达·麦卡锡以前的经历充满了兴趣:“你以前是个黑客吧?”她现任安全产品公司赛门铁克的CTO办公室执行安全顾问,该职位似乎是“从良”以后的事情。“我知道你们说的黑客是指那些跑到别人电脑里面偷东西和搞破坏的人。这样的话,我告诉你们,我是白客!”麦卡锡为自己辩护,打趣说,“我看起来也不像一个黑客呀。”

“我是白客”

说起“黑客”(Hacker),人们觉得很酷又有点感觉复杂。广义的讲,“黑客”这个诞生于上世纪60年代的词汇原本代表那一群热爱科技和自由、喜欢钻研互联网与电脑技术、熟悉操作系统和互联网漏洞的IT技术精英,于是有了“黑客精神”这样的充满了激情的词汇。但特别是在国内,“黑客”这个词语在大部分人心目中就直接等于破坏者和恐怖分子,这实际上是“狭义上的黑客”(Cracker)。于是,麦卡锡以“白客”自居。

有一段时间,麦卡锡的工作曾经是每天尝试侵入各种各样的网络。但她不是为了搞破坏或者炫耀自己的能力,而是受雇于一些公司去检测它们系统的安全性。

早些时候,麦卡锡在Sun 公司做一些教学工作,她所教授的内容包括硬件架构、系统管理和安全。在这些专业的IT技术领域里,安全问题当中的“灰色”领域引起了她的注意。例如这个“灰色”领域是如何针对某个系统的漏洞对它发起攻击,侵入到这个系统中,并在其中获得很大的访问权。这自然是不能在课堂上教授的内容,不过激起了麦卡锡的浓厚兴趣。

由于麦卡锡在“灰色”领域的研究经历,加上她所受过的教育和正在负责的培训工作,Sun公司的内部审计组决定聘用她来做这种侵入性的系统测试工作。她的职责就是去检查这家公司分布在世界各地的网络的安全性,看看能不能去突破侵入到这些系统中,借此找到系统的弱点,发现让它变得安全的方法。结合她当时为其它很多公司高层管理人士教授安全课程的职务,麦卡锡也开始为更多的公司提供这样的“入侵服务”。她从教学的角度来做一些入侵,希望籍此让她的学生们——那些高管人员理解他们公司的漏洞将如何被黑客利用,将构成怎样的威胁。

“从保护系统的角度来说,我觉得这项工作是非常激动人心的。我可以在其中对未来可能出现的状况进行前瞻性的思考,确保自己的思路是领先于黑客的,至少是领先好几步的。”麦卡锡这样评价自己曾经的“黑客”工作。

事实上,相比之下一个真正黑客要做的技术工作比一个安全人员要轻松许多。安全问题实际上就是黑客与安全人员之间的“不对称”战争,防御要比攻击更困难和复杂。不论现在的企业装备了如何精良的“铜墙铁壁”,安全公司又如何为他们出谋划策,就好像伊拉克战争中“来复枪打下直升机”一样,虽然其真实性有待考证,但没人否认其可能性。而且,这种可能性如今正在变得越来越大。麦卡锡说:“我在六、七年前为Sun工作时侵入一个系统所需要的时间比现在长多了,因为当时我要花更多的时间来开发具体的入侵工具。而现在这样的工具都可以在互联网上下载到。”因此,现在市面上有很多“二流”黑客,他们通过从网上下载的黑客工具来扮演黑客的角色,非常“方便”。

但作为安全人员,麦卡锡的工作就不仅仅是入侵攻击那么简单了。她必须通过这种设身处地的作法来最终了解黑客要做什么,并为此做好准备,而这在现实当中是相当困难。不过,麦卡锡多年攻击他人网络的经历已经给她的思维模式带来了巨大的改变。她可以像黑客一样思考。

企业中的“游说者”

在加州的一家公司里,麦卡锡正在为他们的首席安全官做一些事情。这家公司在入侵检测方面只有一种基于签名的身份管理产品。麦卡锡在它的_blank">防火墙外安装了一个基于协议的入侵检测的测试程序,三十天内一共识别出了八万次攻击,而这个小小的测试程序还仅仅是“抓”到了所有攻击中的一部分。此前这家公司由于资金不足忽略了安全问题,麦卡锡通过其它一些现身说法的例子和那个自制的测试程序说服了该公司的高层,最终在安全方面拨款几百万美元来加强其入侵检测能力。

这正是麦卡锡心目中最能体现自我价值的工作方式。在实际工作中的情况是这样的,入侵他人系统的经历确实给麦卡锡带来了丰富的技术积累,但是她在今天要面对的安全威胁速度更快、结构性更强、技术含量更高、破坏性更大,她并没有太多时间把现在遇到的突发性问题与过去自己所做的入侵实况作对比。相对于解决突发事件,她更多的是借助自己的经验去设想未来可能遇到的威胁、未来的攻击将会是怎样的,而这些才是最能说服那些身处险境而不自知的人的最佳材料。

“这一点是非常重要的,如果高管人员没有被说服,他们就不会对这些实际已经存在的安全问题投入资金。这些人平时总是忙于一些具体的业务问题。”麦卡锡说,“我过去那段与众不同的工作经历让我可以把安全看成一个业务问题来对待,而不仅仅是计算机电脑问题。” 事实证明,“黑客”的经历帮助麦卡锡更好地与公司高层沟通安全问题,也能轻松地与家庭用户沟通。

现在,麦卡锡更关注的是如何更快地拿出安全产品来,更好地完成教育工作,“特别是在教育工作方面,我同样要确保我的思路具有领先于黑客的前瞻性思考”。她目前在赛门铁客公司的CTO下面工作,首席技术官办公室每天迎来的各种不同的新项目都是由麦卡锡着手来操作的。除此之外,她还在赛门铁克公司内部启动一些新的商业计划,比如赛门铁克出版社。在这个由首席技术官领导的出版社中,麦卡锡参与了大部分的工作,协助出版社不断在市场上推出一些安全方面的、同时面向企业高管和技术人员的最新著述。

麦卡锡正在通过各种途径来展开她的“游说”工作。除了外出演讲和授课,她写作了《信息安全——企业抵御风险之道》一书。这本书的主旨是讲述如何构建世界级信息安全组织,而麦卡锡依旧是借助她满腹的典型案例来阐述安全专家的看法。刚开始计划写这本书的时候,麦卡锡的蓝图跟现在出版的成品完全不是一回事,她在签约以后突然意识到以前的思路不对,因为她以前计划的那本书“不能很快地帮助公司的高层管理人员去解决安全问题”,于是重头开始。这样一来,留给麦卡锡的时间就只有六个月了,她还不能丢掉她的全职工作,赛门铁克同期又给她分派了一个全新的项目——实施某个新的安全产品。因此,她只能花去大量的业余时间来写书。

不论是写书还是教课,麦卡锡真正希望的就是“能从根本上改变人们对信息安全的思考方式”。就好像前面提到的那家每个月遭受八万多次攻击却不自知的加州公司,麦卡锡也许正看着这样的人和公司着急,思维模式是个首要问题。她说她的未来工作计划首先就是要把赛门铁克出版社建成安全领域最大的出版社,然后自己再出一本书。

时间: 2024-09-18 02:05:14

像黑客一样思考的相关文章

像黑客一样思考问题

Jeremy Poteet正在观看着他做安全工作的候选人网站上线.就在16分钟后,该网站遭到攻击.但是这个高度受关注的网站巧妙地规避了这些攻击,以及随之而来的其他攻击,因为Proteet已经预见到会发生此类攻击,并已经做出了对策. 他是怎么知道的呢?很简单,他是一个黑客,像黑客一样思考问题,并且知道黑客使用的工具--这是保护公司不被攻击的最有效方法.作为App防御的首席安全官,Poteet这一类黑客俗称为白帽子黑客或安全研究员--他们挖掘系统漏洞,指出哪里会有麻烦发生.黑帽子黑客是相反的一类--

攻防对抗中,企业如何像黑客一样思考

安全是一个博弈对抗的过程,网络安全的本质是攻防对抗.攻击者会不断寻找防护方的弱点,防护方也需要不断研究黑客思维,探索应对黑客攻击的方法,提升安全防护的能力和效率. 安全圈向来不安全,每天发生的泄露.攻击事件不胜枚举,全球各大知名公司纷纷上榜.黑客攻击手段日益精进.多变是不可否认的现实,如今,我们不敢妄言有哪个安全产品是永远不会被攻破的. SafeBreach公司CEO Guy Bejerano 表示: "企业需要改变自身的思维方式,通过模拟黑客攻击来不断地锻炼自己的安全防御和运营团队."

如何像黑客一样思考

如何像黑客一样思考 责任编辑:editor004 作者:谭思编译 |  2016-09-24 21:41:11 本文摘自:腾讯科技 黑客也许是世界上最酷的工作之一了,与忍者.海盗和超级间谍并列. 当我还是个小孩子的时候,我希望自己成为印第安纳·琼斯(indiana jones)或詹姆斯·邦德(James Bond),因为他们桀骜不驯,而且善于战斗. 后来,一个叫"匿名者(Anonymous)"--在纽约叫做"蒙面复仇者(Masked Avengers)"--的黑客组

像黑客一样思考,像安全专家一样做事

用不同的视角看待问题,安全威胁也会不同.我们在对应用系统进行安全构建时也是如此.虽然,我们有通用的漏洞列表和其他以最佳实践形式存在的指导材料可供参考,然而,要真正保护我们的软件,我们需要从黑客的视角对应用程序进行认真考虑,然后以安全专家的身份去解决其中的问题. 一.像黑客一样思考 要像黑客一样思考,就要不仅仅是考虑技术方面的攻击,还要考虑以下一些其他方面的事情: 1.黑客要对我们进行攻击的动机是什么?他们想得到什么? 2.黑客是否会有针对性对我们发起攻击,还是投机取巧分子在网上胡打乱撞,碰巧发现

这位教授专门教学生黑客是如何思考的

现在很多商学院都在教授网络安全,但有一位教授不走寻常路.米歇尔·雷蒙德发现自己被黑的那天已经深深印在了她脑子里.这位西班牙IE商学院一年级生才刚刚坐下来准备上她2年课程中数字创新这门课的第一堂课. 讲堂前面的白板上贴着一溜儿选了何塞·埃斯特韦斯教授课的同学照片,雷蒙德女士,前摩根史坦利投资公司财富管理高管,从中认出了几位老朋友. 当埃斯特韦斯教授问她为什么凌晨3点还不睡觉的时候,她才恍然大悟--原来自己被教授给黑了. "当他对我说,他可以通过收集到的信息访问我的个人银行账户时,我是真的担心了.&

黑客 vs 工程师

笔者之所以翻译这篇文章,是因长久以来笔者有感于工程师与黑客之间误解,有些黑客瞧不起工程师的死板,工程师则看不上黑客的傲气.事实上,在软件项目管理过程中,安全仅仅是软件测试阶段的一个测试环节.源于思维角度的不同和性格特征的使然,笔者相信,优秀的工程师同样也是不逊的黑客,优秀的黑客却未必是优秀的工程师,这正是工程师和黑客需要相互了解.学习之处,读过全文,或许你会对黑客.工程师.创业有新的认识和了解. 看待这个世界最简单的方式是莫过于二元世界观,一个人可以放言"这个世界上只有两种人--"并将

天行健,君子以自强不息——访首代著名黑客季昕华

benjurry,季昕华,中国首代黑客代表人物之一,被称为"计算机天才",精通数据库安全.无线安全.IDS.有意思的是,网名benjurry,原来是"笨极了"的音译,熟悉的人都叫他笨笨,这位叫做"笨笨的计算机天才"现供职于华为安全部,从事技术性工作."天行健,君子以自强不息."这是季昕华的人生座右铭,并且一直自强不息,不断努力向目标奋进!也就是这样,从一个默默无闻的农家子弟奋斗到今天的成功!迈向成功的第一步采访时季昕华给我的第

如何成为一名黑客 FROM ERIC RAYMOND

如何成为一名黑客 作者:Eric Raymond翻译 waterbird [AKA] ------什么是黑客? Jargon File中对"黑客"一词给出了很多个定义,大部分定义都涉及高超的编程技术,强烈的解决问题和克服限制的欲望.如果你想知道如何成为一名黑客,那么好,只有两方面是重要的.(态度和技术) 长久以来,存在一个专家级程序员和网络高手的共享文化社群,其历史可以追溯到几十年前第一台分时共享的小型机和最早的ARPAnet实验时期. 这个文件的参与者们创造了"黑客&quo

如何成为一名有道德的黑客?

本文讲的是如何成为一名有道德的黑客?,由于近来网络攻击.数据泄漏事件频发,各行各业希望借助道德黑客的能力帮助其保护网络安全的需求日盛.因此,白帽黑客.渗透测试人员以及信息安全分析师成为当今IT行业最高薪的人群之一也就不足为奇了. 如今,市场对道德黑客的需求日增,但是如果你想从事这一行业却又技能欠缺的话,我想你需要一个好的课程来提升自身的能力.好消息是,现在就有这样一组在线学习课程,可供各个阶段的道德黑客使用.它将指导你完成作为一名道德黑客必须具备的各项技能. 该课程共45小时,包含384场深度讲