安全是一个复杂的相互关联的网络。在这个包罗万象的领域中有许多细分领域,但一些经验教训适用于跨国界。物理安全在很大程度上可以被视为网络安全超越元素的代表。数字和物理安全世界都依赖于相同的基本原则。虽然可能需要不同的工具和技术才能真正理解,但开锁确实有一些可以教给网络安全从业者的课程。1.行为准则开锁者首先要学会的是开锁的两个基本原则。首先,未经主人允许,不要乱动锁。这是开锁密码,提醒人们好奇心和法律之间的区别。大多数地方都有管理开锁行业的法律,因此有道德的开锁者必须始终牢记他的小爱好所带来的残酷后果。同样的原则适用于网络安全从业者。所有人都必须遵守法律。第二个标准不那么直接。请勿在使用中撬锁。锁匠需要意识到他们正在危及手头锁的安全性。在挑战一个设备的核心本质时,总是存在毁坏设备的风险。专业锁匠在使用中会遇到需要撬开的锁,这一原则的存在就是为了提醒人们注意安全漏洞。白帽黑客知道,如果没有必要测试网络安全性,网络可能会受到威胁,文件可能会受到威胁,公司可能会遇到停机……安全测试伴随着固有的风险。你所做的一切的后果必须始终是积极的。2、兴趣就是能力。锁匠一直在寻找新的开锁方法。供应商总是发布产品来修复新的漏洞。最终结果是一个充满活力的研究领域。锁匠必须将他们的知识和技术保持在最前沿。只要他们不能分析出新装备,就会被时代无情地抛弃。只要他们不能学会避免锁定的最佳方法,下一波进化就会把你抛在后面。更远。为了驾驭瞬息万变的潮流,锁匠必须对自己的工作感兴趣。兴趣是最好的老师,它常常能激发你学习更多的灵感。没有兴趣,锁匠就没有动力去学习必要的知识来保住自己的职位。电子和软件安全瞬息万变,利益得不到保障,太容易被时代淘汰,甚至只是一段时间不实践,技能就会萎缩和衰退。开锁是一种很容易过时的技术。如果你什么都不做,你的能力就会失效。锁匠自己都知道,失去兴趣不仅意味着落后,而且意味着之前的一切都烟消云散了。兴趣越大,技术就越安全。3.一切都可以打开。锁是用来打开的。它也可以关闭,但不能永远关闭。锁是让合适的人进来的锁。没有人可以进来,那一定是一把坏了的锁。锁匠知道这是所有安全领域的固有缺陷。锁的意义不是把每个人都拒之门外,而是让合适的人进来。你所要做的就是让锁为你打开——即使他们不应该打开。然而,锁不一定以预期的方式打开。锁匠知道锁最终会坏,没有什么是绝对安全的。这是让锁匠不断磨练自己的教导,但有时也会导致挫败感。你不能再说“做不到”,因为你自己做不到,或者因为现在没有其他人可以做到。网络安全专业人员必须意识到,他们构建或试图绕过的任何东西从一开始就容易受到攻击。每把锁都有一把钥匙,钥匙的工作原理会告诉你完善旁路所需的所有知识。4.每个敌人的攻击方式都想到了多种解锁方式。你可以拆开它,把每个零件都拿出来,用梳齿、撞钥匙等工具。如果真的要进去,可以直接砍,或者用锤子砸。关键是,最复杂的方法往往不是那些进门的方法。成为一名锁匠就是要尝试可行的方法。在处理您以前从未见过的锁时,像菜鸟一样继续测试。钥匙孔里可以转吗?然后你可以开始更准确的实验。太多人告诉你要同理心,但很少有人告诉你要考虑所有可能攻击你系统的人。这可以防止您局限于自己的想法。像看过YouTube视频教程的罪犯一样思考可以扩展他的思维,帮助他领先于真正的威胁。有些人可能只是运气好,而你的工作的一部分就是找出他们需要多幸运才能进入。成为专家就是能够站在专业领域各个层次的人的角度思考问题。这就是专家的优势。锁匠可以像各种小偷一样处理锁,网络安全人员也需要能够理解黑帽的思维。5、耐心挑锁一定要非常专注和耐心。太急躁容易导致工具损坏,甚至直接毁锁。但是,在大多数情况下,不耐烦只会大大延长开锁过程。越不耐烦,越容易忽略一些事情。你越有耐心,你犯的错误就越少。锁会偷偷向锁匠透露一些信息,即所谓的反馈。最轻微的滴答声、内部机构的运作等,都会泄露设备隐藏的秘密。耐心会让你注意到这些微小的信号。可以快,但不如赶工快。在网络安全方面,屈服于时间只会让事情变得更糟,这是失败的一大秘诀。时间不是问题,心态才是问题。时间越紧,越不能仓促行事。对于没有耐心的锁匠来说,成功只能靠运气。事情总是需要时间。即使有六种不同的方法可以使用,你也必须冷静地使用每一种。明智地管理你的时间,并且知道失去冷静是失去一切的快速方法。结语不同安全领域有很多经验可以相互借鉴。锁匠对待自身道德责任的态度也有助于深入理解找安全漏洞的意义。它还让您意识到您所在领域的固有缺陷,使您能够像每个试图破坏系统的人一样思考,并让您能够冷静和耐心地处理自己的责任。有了这种洞察力,您就可以成为更全面的安全专家。【本文为专栏作家“李少鹏”原创文章,转载请通过暗牛(微信♂id:gooann-sectv)获得授权】点此查看作者更多好文
