在信息安全領(lǐng)域，人們常常被要求“像黑客一樣思考”。但是問題是，如果你想到的只是一個(gè)非常狹義的黑客(例如，只會(huì)攻擊Web應(yīng)用程序的黑客)，那么它可能會(huì)對(duì)你的思維模式和業(yè)務(wù)開展方式產(chǎn)生負(fù)作用。

俗語有言“一知半解，害已誤人”，孤立的事實(shí)并不能很好地呈現(xiàn)事情本來面目。正如傳奇投資人Charlie Munger曾經(jīng)所言，“如果你只是記住一些孤立的事實(shí)，那么你不能真正知道任何事情。如果不將事實(shí)與心智模型的網(wǎng)格聯(lián)系在一起，你就不能使用它們?！蹦惚仨毥⒆约旱男睦砟Ｐ?。而且必須將你的間接和直接經(jīng)驗(yàn)排列在模型的網(wǎng)格上。具體來說，如果有一些學(xué)生只是嘗試記住一些事情并回想所記住的內(nèi)容，那么他們?cè)趯W(xué)校和生活中都是失敗的，你必須將經(jīng)驗(yàn)放在你頭腦里心理模型的網(wǎng)格上。 當(dāng)然，不僅僅是建立心理模型就可以了，你還必須要有多個(gè)模型。因?yàn)槿绻阒挥幸粌蓚€(gè)可以使用的模型，那么人類的本性會(huì)使你將現(xiàn)實(shí)歪曲，使其適應(yīng)你的模型。就像諺語所說：“對(duì)于一個(gè)拿著錘子的人來說，一切問題看起來都像釘子。”這對(duì)思考來講是一個(gè)巨大的災(zāi)難，所以你必須要有多個(gè)模型。對(duì)于安全專家而言，這一點(diǎn)是值得銘記的。當(dāng)我們觀察一個(gè)(成熟的)安全專家的思維過程時(shí)，我們會(huì)發(fā)現(xiàn)其中包含許多心理模型，不僅涉及黑客攻擊或更廣泛的攻擊技術(shù)，而且還涵蓋了具有更廣泛應(yīng)用的原則。 下面就讓我們一起去了解一些一般的心理模型及其安全應(yīng)用： 1. 轉(zhuǎn)化、反轉(zhuǎn) 當(dāng)困難的問題發(fā)生反轉(zhuǎn)(Inversion)時(shí)，它們就能得到最好的解決。研究人員非常擅長(zhǎng)利用反轉(zhuǎn)系統(tǒng)和技術(shù)來說明系統(tǒng)架構(gòu)師應(yīng)該避免什么問題。換句話說，僅僅考慮所有可以保證系統(tǒng)安全的事情是遠(yuǎn)遠(yuǎn)不夠的，你應(yīng)該考慮所有可能會(huì)導(dǎo)致系統(tǒng)不安全的事情。從防御的角度來看，這就意味著你不僅僅要考慮如何取得成功，而且還要考慮如何管理失敗。 2. 確認(rèn)偏差 心理研究發(fā)現(xiàn)人們存在著確認(rèn)偏差(confirmation bias)，即一旦人們形成先驗(yàn)信念，他們就會(huì)有意識(shí)地尋找有利于證實(shí)先驗(yàn)信念的各種證據(jù)。我們發(fā)現(xiàn)，這種確認(rèn)偏差在應(yīng)用程序、系統(tǒng)乃至整個(gè)業(yè)務(wù)中都已經(jīng)根深蒂固。這就是為什么2名審計(jì)師可以評(píng)估相同的系統(tǒng)，并就其充分性得出截然不同的結(jié)論的原因所在。從防御者的角度來看，確認(rèn)偏見是非常危險(xiǎn)的，因?yàn)樗鼤?huì)蒙蔽真實(shí)的判斷結(jié)果。這一點(diǎn)也總是被黑客所利用。例如，人們經(jīng)常會(huì)淪為釣魚郵件的受害者，因?yàn)樗麄冏哉J(rèn)為自己太聰明不會(huì)落入攻擊者陷阱。但是得知現(xiàn)實(shí)早已為時(shí)晚矣。 3. 能力范圍 大多數(shù)人都有一個(gè)(或至少一個(gè))自己非常擅長(zhǎng)的領(lǐng)域。但是如果你超出這個(gè)領(lǐng)域?qū)λ麄冞M(jìn)行測(cè)試，你可能會(huì)發(fā)現(xiàn)他們并非面面俱到。更糟糕的是，他們甚至可能對(duì)自身的無知一無所知。當(dāng)我們把安全視為一門學(xué)科時(shí)，我們意識(shí)到它并不是一個(gè)單一的東西，它由無數(shù)的能力領(lǐng)域組成。例如，社會(huì)工程師具有一個(gè)獨(dú)特的技能，使其與具有遠(yuǎn)程訪問SCADA(數(shù)據(jù)采集與監(jiān)視控制)系統(tǒng)的專業(yè)研究人員區(qū)別開來。 一個(gè)工具箱中擁有的工具數(shù)量并不重要，更重要的是知道自己能力范圍(Circle of Competence)的界限在哪里。正如華倫·巴菲特所言：“你必須找到你自己的能力是什么。如果你玩其他人玩得好的游戲而你不會(huì)，你就會(huì)輸。這能夠盡可能地接近一些任何你可以做的預(yù)測(cè)結(jié)果。你必須弄清楚你的優(yōu)勢(shì)在哪里。你必須在你自己的能力范圍內(nèi)玩”。所以，建立安全團(tuán)隊(duì)的經(jīng)理必須對(duì)團(tuán)隊(duì)中的個(gè)人進(jìn)行評(píng)估，并建立本部門的能力范圍，這可以幫助企業(yè)直觀地確定哪些領(lǐng)域是亟待填補(bǔ)的空白領(lǐng)域。 4. 奧卡姆剃刀定律 奧卡姆剃刀定律(Occam’s Razor)意思是“簡(jiǎn)約之法則”，即如果關(guān)于同一個(gè)問題有許多種理論，每一種都能作出同樣準(zhǔn)確的預(yù)言，那么應(yīng)該挑選其中使用假定最少的。盡管越復(fù)雜的方法通常能作出越好的預(yù)言，但是在不考慮預(yù)言能力的情況下，前提假設(shè)越少越好。這個(gè)“簡(jiǎn)約之法則”在很多方面與安全存在聯(lián)系。例如，通常情況下，黑客會(huì)使用簡(jiǎn)單的、經(jīng)過測(cè)試和驗(yàn)證的方法來危險(xiǎn)企業(yè)系統(tǒng)網(wǎng)絡(luò)，這些方法包括停車場(chǎng)被感染的USB驅(qū)動(dòng)器，或者偽裝成財(cái)務(wù)部門的魚叉式釣魚郵件等。 雖然攻擊者也有很多復(fù)雜且先進(jìn)的攻擊手段，但是這些攻擊手段不太可能適用于大多數(shù)公司。通過使用奧卡姆剃刀定律，攻擊者經(jīng)?？梢愿?、更輕松地攻擊目標(biāo)。所以，為了“像黑客一樣思考”，在防御方面也可以/應(yīng)該使用相同的原則。 5. 二階思維 所謂“二階思維”(Second-Order Thinking)就意味著要考慮結(jié)果背后的結(jié)果。舉個(gè)例子，一階思維會(huì)說這是一家好公司，讓我們來買進(jìn)它的股票。二階思維則需要考慮這是一家好公司，但是人人都知道它是一家好公司，所以這股票的定價(jià)和股價(jià)都過高了，因此對(duì)于投資者來說，這家公司就不是足夠好的公司了，我們可以賣出它的股票。所以說，二階思維就是迫使我們?cè)诓扇⌒袆?dòng)時(shí)考慮其長(zhǎng)期影響。在此過程中，我們最需要問自己的問題是，“如果我做了X，那么接下來會(huì)發(fā)生什么?” 在安全領(lǐng)域，提供一階建議是非常簡(jiǎn)單的事情。例如，及時(shí)安裝補(bǔ)丁程序是很好的建議。但是，如果缺少二階思維就可能會(huì)做出錯(cuò)誤的決策，導(dǎo)致無法預(yù)料的后果。所以說，安全專家在執(zhí)行操作前考慮所有可能的影響是至關(guān)重要的環(huán)節(jié)。例如，執(zhí)行操作前問問自己，“如果我升級(jí)了設(shè)備X上的操作系統(tǒng)，那么會(huì)對(duì)下游系統(tǒng)產(chǎn)生什么影響呢?” 6. 思維實(shí)驗(yàn) 思維實(shí)驗(yàn)(thought experiments)是阿爾伯特·愛因斯坦推廣的一種技術(shù)，是一種在自己的頭腦中進(jìn)行邏輯測(cè)試的方式，在現(xiàn)實(shí)生活中難以或不可能實(shí)現(xiàn)。因?yàn)樗季S實(shí)驗(yàn)需求的是想像力，而不是感官。愛因斯坦曾說：“理論的真理在你的心智中，不在你的眼睛里?！?在安全領(lǐng)域，這種技術(shù)通常在“桌面”練習(xí)或風(fēng)險(xiǎn)建模時(shí)使用。當(dāng)與其他心理模型一起使用時(shí)，這種方法還是非常奏效的。其目的不一定是非要達(dá)成一個(gè)明確的結(jié)論，而是鼓勵(lì)具有挑戰(zhàn)性的思維想法來將人們推出自己的思維舒適區(qū)。 7. 貝葉斯概率思維 這個(gè)世界是被概率性結(jié)果所主導(dǎo)的，這種概率性結(jié)果與確定性結(jié)果有所不同。雖然我們不能很確定地預(yù)測(cè)未來，但是我們常常會(huì)不自覺地根據(jù)概率做出決策(Probabilistic Thinking)。例如，在過馬路的時(shí)候，我們認(rèn)為被汽車撞到的風(fēng)險(xiǎn)很低。這種風(fēng)險(xiǎn)當(dāng)然是存在的，但是因?yàn)槟阋呀?jīng)仔細(xì)觀察了周圍的交通情況，所以你有信心能夠安全通過。貝葉斯方法說，應(yīng)該考慮所有先前的相關(guān)概率，然后根據(jù)不斷更新的信息來相應(yīng)地更新這些概率?？紤]到我們所經(jīng)歷的是一個(gè)根本不確定的世界，這種方法是非常有效的：我們必須同時(shí)使用先前的概率和新的信息來促成我們最好的決策。 盡管對(duì)于“像黑客一樣思考”的含義并沒有一個(gè)簡(jiǎn)單的答案，但是使用心理模型來構(gòu)建思維框架，可以幫助避免通過思維慣性來處理所有問題的弊病。

　　YINGSOO與中華電信、TRUE、NTT、電訊盈科、Level(3)、FPT Telecom等當(dāng)?shù)匾痪€電信運(yùn)營(yíng)商合作，極大程度上保障了線路的可靠性、穩(wěn)定性，對(duì)線路穩(wěn)定存在疑慮的客戶大可不必?fù)?dān)憂。YINGSOO提供各種穩(wěn)定的專線服務(wù)器，對(duì)線路穩(wěn)定有特殊要求的朋友歡迎咨詢我們?！?YINGSOO服務(wù)熱線：400-630-3752

　　YINGSOO，國(guó)際數(shù)據(jù)中心綜合服務(wù)提供商，專注高品質(zhì)、企業(yè)級(jí)海外服務(wù)器租用/托管服務(wù)，擁有ISP牌照、實(shí)體公司、專業(yè)團(tuán)隊(duì)、9年經(jīng)驗(yàn)，7x24x365全天候服務(wù)，3天免費(fèi)試用，品質(zhì)保障、值得信賴!全國(guó)統(tǒng)一服務(wù)熱線：400-630-3752

　　熱門文章：【香港數(shù)據(jù)中心】【國(guó)外的云服務(wù)器】【無狀態(tài)游戲服務(wù)器架構(gòu)】【實(shí)時(shí)播放flv結(jié)尾文件】【虛擬主機(jī)帶寬大小】【ip秒撥原理】【多核cou】【香港vp服務(wù)器】【obs推流偶爾會(huì)斷一下】【500m帶寬】【amd挖pha】【菲律賓網(wǎng)絡(luò)到美國(guó)延遲】【bee 更新】【香港劍靈服務(wù)器代理】【服務(wù)器 一個(gè)固態(tài) 一個(gè)機(jī)械】【服務(wù)器費(fèi)用 固定成本】【日本服務(wù)器購(gòu)買】【香港空間 可以cdn嗎】【營(yíng)銷社交】【國(guó)外獨(dú)服】【香港服務(wù)器可否用大陸CDN】【虛擬機(jī)和裸金屬】【區(qū)塊鏈和傳統(tǒng)云服務(wù)器有什么區(qū)別】【如何穩(wěn)定的玩港服游戲】【香港服務(wù)器租用】【棗莊魯南機(jī)房】【泰山新村 電信機(jī)房】【撥號(hào)vps主機(jī)商】【香港高防云】

版權(quán)聲明：本站文章來源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。