很多人对琳达·麦卡锡以前的经历充满了兴趣:“你以前是个黑客吧?”她现任安全产品公司赛门铁克的CTO办公室执行安全顾问,该职位似乎是“从良”以后的事情。“我知道你们说的黑客是指那些跑到别人电脑里面偷东西和搞破坏的人。这样的话,我告诉你们,我是白客!”麦卡锡为自己辩护,打趣说,“我看起来也不像一个黑客呀。”
“我是白客”
说起“黑客”(Hacker),人们觉得很酷又有点感觉复杂。广义的讲,“黑客”这个诞生于上世纪60年代的词汇原本代表那一群热爱科技和自由、喜欢钻研互联网与电脑技术、熟悉操作系统和互联网漏洞的IT技术精英,于是有了“黑客精神”这样的充满了激情的词汇。但特别是在国内,“黑客”这个词语在大部分人心目中就直接等于破坏者和恐怖分子,这实际上是“狭义上的黑客”(Cracker)。于是,麦卡锡以“白客”自居。
有一段时间,麦卡锡的工作曾经是每天尝试侵入各种各样的网络。但她不是为了搞破坏或者炫耀自己的能力,而是受雇于一些公司去检测它们系统的安全性。
早些时候,麦卡锡在Sun 公司做一些教学工作,她所教授的内容包括硬件架构、系统管理和安全。在这些专业的IT技术领域里,安全问题当中的“灰色”领域引起了她的注意。例如这个“灰色”领域是如何针对某个系统的漏洞对它发起攻击,侵入到这个系统中,并在其中获得很大的访问权。这自然是不能在课堂上教授的内容,不过激起了麦卡锡的浓厚兴趣。
由于麦卡锡在“灰色”领域的研究经历,加上她所受过的教育和正在负责的培训工作,Sun公司的内部审计组决定聘用她来做这种侵入性的系统测试工作。她的职责就是去检查这家公司分布在世界各地的网络的安全性,看看能不能去突破侵入到这些系统中,借此找到系统的弱点,发现让它变得安全的方法。结合她当时为其它很多公司高层管理人士教授安全课程的职务,麦卡锡也开始为更多的公司提供这样的“入侵服务”。她从教学的角度来做一些入侵,希望籍此让她的学生们——那些高管人员理解他们公司的漏洞将如何被黑客利用,将构成怎样的威胁。
“从保护系统的角度来说,我觉得这项工作是非常激动人心的。我可以在其中对未来可能出现的状况进行前瞻性的思考,确保自己的思路是领先于黑客的,至少是领先好几步的。”麦卡锡这样评价自己曾经的“黑客”工作。
事实上,相比之下一个真正黑客要做的技术工作比一个安全人员要轻松许多。安全问题实际上就是黑客与安全人员之间的“不对称”战争,防御要比攻击更困难和复杂。不论现在的企业装备了如何精良的“铜墙铁壁”,安全公司又如何为他们出谋划策,就好像伊拉克战争中“来复枪打下直升机”一样,虽然其真实性有待考证,但没人否认其可能性。而且,这种可能性如今正在变得越来越大。麦卡锡说:“我在六、七年前为Sun工作时侵入一个系统所需要的时间比现在长多了,因为当时我要花更多的时间来开发具体的入侵工具。而现在这样的工具都可以在互联网上下载到。”因此,现在市面上有很多“二流”黑客,他们通过从网上下载的黑客工具来扮演黑客的角色,非常“方便”。
但作为安全人员,麦卡锡的工作就不仅仅是入侵攻击那么简单了。她必须通过这种设身处地的作法来最终了解黑客要做什么,并为此做好准备,而这在现实当中是相当困难。不过,麦卡锡多年攻击他人网络的经历已经给她的思维模式带来了巨大的改变。她可以像黑客一样思考。
企业中的“游说者”
在加州的一家公司里,麦卡锡正在为他们的首席安全官做一些事情。这家公司在入侵检测方面只有一种基于签名的身份管理产品。麦卡锡在它的_blank">防火墙外安装了一个基于协议的入侵检测的测试程序,三十天内一共识别出了八万次攻击,而这个小小的测试程序还仅仅是“抓”到了所有攻击中的一部分。此前这家公司由于资金不足忽略了安全问题,麦卡锡通过其它一些现身说法的例子和那个自制的测试程序说服了该公司的高层,最终在安全方面拨款几百万美元来加强其入侵检测能力。
这正是麦卡锡心目中最能体现自我价值的工作方式。在实际工作中的情况是这样的,入侵他人系统的经历确实给麦卡锡带来了丰富的技术积累,但是她在今天要面对的安全威胁速度更快、结构性更强、技术含量更高、破坏性更大,她并没有太多时间把现在遇到的突发性问题与过去自己所做的入侵实况作对比。相对于解决突发事件,她更多的是借助自己的经验去设想未来可能遇到的威胁、未来的攻击将会是怎样的,而这些才是最能说服那些身处险境而不自知的人的最佳材料。
“这一点是非常重要的,如果高管人员没有被说服,他们就不会对这些实际已经存在的安全问题投入资金。这些人平时总是忙于一些具体的业务问题。”麦卡锡说,“我过去那段与众不同的工作经历让我可以把安全看成一个业务问题来对待,而不仅仅是计算机电脑问题。” 事实证明,“黑客”的经历帮助麦卡锡更好地与公司高层沟通安全问题,也能轻松地与家庭用户沟通。
现在,麦卡锡更关注的是如何更快地拿出安全产品来,更好地完成教育工作,“特别是在教育工作方面,我同样要确保我的思路具有领先于黑客的前瞻性思考”。她目前在赛门铁客公司的CTO下面工作,首席技术官办公室每天迎来的各种不同的新项目都是由麦卡锡着手来操作的。除此之外,她还在赛门铁克公司内部启动一些新的商业计划,比如赛门铁克出版社。在这个由首席技术官领导的出版社中,麦卡锡参与了大部分的工作,协助出版社不断在市场上推出一些安全方面的、同时面向企业高管和技术人员的最新著述。
麦卡锡正在通过各种途径来展开她的“游说”工作。除了外出演讲和授课,她写作了《信息安全——企业抵御风险之道》一书。这本书的主旨是讲述如何构建世界级信息安全组织,而麦卡锡依旧是借助她满腹的典型案例来阐述安全专家的看法。刚开始计划写这本书的时候,麦卡锡的蓝图跟现在出版的成品完全不是一回事,她在签约以后突然意识到以前的思路不对,因为她以前计划的那本书“不能很快地帮助公司的高层管理人员去解决安全问题”,于是重头开始。这样一来,留给麦卡锡的时间就只有六个月了,她还不能丢掉她的全职工作,赛门铁克同期又给她分派了一个全新的项目——实施某个新的安全产品。因此,她只能花去大量的业余时间来写书。
不论是写书还是教课,麦卡锡真正希望的就是“能从根本上改变人们对信息安全的思考方式”。就好像前面提到的那家每个月遭受八万多次攻击却不自知的加州公司,麦卡锡也许正看着这样的人和公司着急,思维模式是个首要问题。她说她的未来工作计划首先就是要把赛门铁克出版社建成安全领域最大的出版社,然后自己再出一本书。