在信息安全領域,人們常常被要求“像黑客一樣思考”。但是問題是,如果你想到的只是一個非常狹義的黑客(例如,只會攻擊Web應用程序的黑客),那么它可能會對你的思維模式和業務開展方式產生負作用。
俗語有言“一知半解,害已誤人”,孤立的事實并不能很好地呈現事情本來面目。正如傳奇投資人Charlie Munger曾經所言,“如果你只是記住一些孤立的事實,那么你不能真正知道任何事情。如果不將事實與心智模型的網格聯系在一起,你就不能使用它們。”
你必須建立自己的心理模型。而且必須將你的間接和直接經驗排列在模型的網格上。具體來說,如果有一些學生只是嘗試記住一些事情并回想所記住的內容,那么他們在學校和生活中都是失敗的,你必須將經驗放在你頭腦里心理模型的網格上。
當然,不僅僅是建立心理模型就可以了,你還必須要有多個模型。因為如果你只有一兩個可以使用的模型,那么人類的本性會使你將現實歪曲,使其適應你的模型。就像諺語所說:“對于一個拿著錘子的人來說,一切問題看起來都像釘子。”這對思考來講是一個巨大的災難,所以你必須要有多個模型。
對于安全專家而言,這一點是值得銘記的。
當我們觀察一個(成熟的)安全專家的思維過程時,我們會發現其中包含許多心理模型,不僅涉及黑客攻擊或更廣泛的攻擊技術,而且還涵蓋了具有更廣泛應用的原則。
下面就讓我們一起去了解一些一般的心理模型及其安全應用:
1. 轉化、反轉
當困難的問題發生反轉(Inversion)時,它們就能得到最好的解決。研究人員非常擅長利用反轉系統和技術來說明系統架構師應該避免什么問題。換句話說,僅僅考慮所有可以保證系統安全的事情是遠遠不夠的,你應該考慮所有可能會導致系統不安全的事情。
從防御的角度來看,這就意味著你不僅僅要考慮如何取得成功,而且還要考慮如何管理失敗。
2. 確認偏差
心理研究發現人們存在著確認偏差(confirmation bias),即一旦人們形成先驗信念,他們就會有意識地尋找有利于證實先驗信念的各種證據。我們發現,這種確認偏差在應用程序、系統乃至整個業務中都已經根深蒂固。這就是為什么2名審計師可以評估相同的系統,并就其充分性得出截然不同的結論的原因所在。
從防御者的角度來看,確認偏見是非常危險的,因為它會蒙蔽真實的判斷結果。這一點也總是被黑客所利用。例如,人們經常會淪為釣魚郵件的受害者,因為他們自認為自己太聰明不會落入攻擊者陷阱。但是得知現實早已為時晚矣。
3. 能力范圍
大多數人都有一個(或至少一個)自己非常擅長的領域。但是如果你超出這個領域對他們進行測試,你可能會發現他們并非面面俱到。更糟糕的是,他們甚至可能對自身的無知一無所知。
當我們把安全視為一門學科時,我們意識到它并不是一個單一的東西,它由無數的能力領域組成。例如,社會工程師具有一個獨特的技能,使其與具有遠程訪問SCADA(數據采集與監視控制)系統的專業研究人員區別開來。
一個工具箱中擁有的工具數量并不重要,更重要的是知道自己能力范圍(Circle of Competence)的界限在哪里。正如華倫·巴菲特所言:“你必須找到你自己的能力是什么。如果你玩其他人玩得好的游戲而你不會,你就會輸。這能夠盡可能地接近一些任何你可以做的預測結果。你必須弄清楚你的優勢在哪里。你必須在你自己的能力范圍內玩”。
所以,建立安全團隊的經理必須對團隊中的個人進行評估,并建立本部門的能力范圍,這可以幫助企業直觀地確定哪些領域是亟待填補的空白領域。
4. 奧卡姆剃刀定律
奧卡姆剃刀定律(Occam's Razor)意思是“簡約之法則”,即如果關于同一個問題有許多種理論,每一種都能作出同樣準確的預言,那么應該挑選其中使用假定最少的。盡管越復雜的方法通常能作出越好的預言,但是在不考慮預言能力的情況下,前提假設越少越好。
這個“簡約之法則”在很多方面與安全存在聯系。例如,通常情況下,黑客會使用簡單的、經過測試和驗證的方法來危險企業系統網絡,這些方法包括停車場被感染的USB驅動器,或者偽裝成財務部門的魚叉式釣魚郵件等。
雖然攻擊者也有很多復雜且先進的攻擊手段,但是這些攻擊手段不太可能適用于大多數公司。通過使用奧卡姆剃刀定律,攻擊者經常可以更快、更輕松地攻擊目標。所以,為了“像黑客一樣思考”,在防御方面也可以/應該使用相同的原則。
5. 二階思維
所謂“二階思維”(Second-Order Thinking)就意味著要考慮結果背后的結果。舉個例子,一階思維會說這是一家好公司,讓我們來買進它的股票。二階思維則需要考慮這是一家好公司,但是人人都知道它是一家好公司,所以這股票的定價和股價都過高了,因此對于投資者來說,這家公司就不是足夠好的公司了,我們可以賣出它的股票。
所以說,二階思維就是迫使我們在采取行動時考慮其長期影響。在此過程中,我們最需要問自己的問題是,“如果我做了X,那么接下來會發生什么?”
在安全領域,提供一階建議是非常簡單的事情。例如,及時安裝補丁程序是很好的建議。但是,如果缺少二階思維就可能會做出錯誤的決策,導致無法預料的后果。所以說,安全專家在執行操作前考慮所有可能的影響是至關重要的環節。例如,執行操作前問問自己,“如果我升級了設備X上的操作系統,那么會對下游系統產生什么影響呢?”
6. 思維實驗
思維實驗(thought experiments)是阿爾伯特·愛因斯坦推廣的一種技術,是一種在自己的頭腦中進行邏輯測試的方式,在現實生活中難以或不可能實現。因為思維實驗需求的是想像力,而不是感官。愛因斯坦曾說:“理論的真理在你的心智中,不在你的眼睛里。”
在安全領域,這種技術通常在“桌面”練習或風險建模時使用。當與其他心理模型一起使用時,這種方法還是非常奏效的。其目的不一定是非要達成一個明確的結論,而是鼓勵具有挑戰性的思維想法來將人們推出自己的思維舒適區。
7. 貝葉斯概率思維
這個世界是被概率性結果所主導的,這種概率性結果與確定性結果有所不同。雖然我們不能很確定地預測未來,但是我們常常會不自覺地根據概率做出決策(Probabilistic Thinking)。例如,在過馬路的時候,我們認為被汽車撞到的風險很低。這種風險當然是存在的,但是因為你已經仔細觀察了周圍的交通情況,所以你有信心能夠安全通過。
貝葉斯方法說,應該考慮所有先前的相關概率,然后根據不斷更新的信息來相應地更新這些概率。考慮到我們所經歷的是一個根本不確定的世界,這種方法是非常有效的:我們必須同時使用先前的概率和新的信息來促成我們最好的決策。
盡管對于“像黑客一樣思考”的含義并沒有一個簡單的答案,但是使用心理模型來構建思維框架,可以幫助避免通過思維慣性來處理所有問題的弊病。
來源:中國IDC圈
石家莊服務器托管 石家莊服務器租用 石家莊機柜租用 石家莊機房 |