漏洞评估需要用到心理学 Johnston每次着手进行漏洞评估时,为能深入了解不法分子的心态,事前总会做很多准备工作。在其他领域用于创造性思维的大多数工具都可直接应用于漏洞评估。但是,多数安全业界人士更愿意通过严格定量的方式进行评估。Johnston认为,这在很大程度上都达不到真正的目的。Johnston认为,像安全调查一样使用分析工具本身并没有错,只是我们还要结合使用那些更为封闭式的直接工具以及使用创造性的思维。事实是,在过去半个世纪以来,人们对创造性已经进行了广泛的研究。对于怎样创造一个能让人们灵感不断产生的环境,如今已有广泛的知识积累。它不是单凭经验就能做到的,奇思妙想跟外界环境是息息相关的。
我们坚决鼓励人们多加思考,任凭你天马行空地发挥想像力。早些时候,人们只是对于那些奇思妙想采取保留意见;后来,我们将奇思妙想分优先级,考虑它们的可行性。在许多案例中,我们会到听有人说:“是的,如果我能通过激光束让太空外星人从天而降,我们就能这么做。”再后来,一旦我们去除了太空外星人和激光束这两词,这些想法就转化为可行性。
那么制定一套可行的安全评估办法需要花多少时间呢?如果你正考虑一个极为复杂的安全计划,你可能花2~3周时间也没做一点事。不过,你不能干坐着只动脑不动手。若是你偶尔有了奇思妙想,你应着手将这想法在系统或硬件中实施,试试看看这些想法是否可行,是否会产生一些价值。接着,你可以再回头基于你所了解的内容想出更多疯狂的构想来。我们非常支持亲自实践,而不仅仅只是抽象地进行思考。
不能用二元思维方式看安全问题,不能认为事情只有安全或不安全两种说法;对于安全漏洞,我们或者必须掌握所有涉及的安全漏洞,或者干脆甩手不干,这过于荒唐。安全是一个持续性问题,总是会有些漏洞并未得到处理,但这并不意味着有人把事情搞砸了,这仅仅是安全的运作方式。
在提出问题清单和可用解决方案清单时,所得到的比率是80∶20。那么,20%的解决方案能解决80%的问题吗?Johnston给出了肯定的答案:“能!人们常说‘嘿,你的意思是告诉我只需做出一点改变,这种攻击和其他攻击基本上就都能避开了?’这点确实相当令人惊喜。有时安全漏洞特别复杂,解决方案可能不是100%完美,但通常却是相当简单。我们是在为政府工作,也许对于什么才是经济可行的实施方案,我们并不能一直保有最实际的看法。有时我们认为简单的,在现实世界中实际操作起来却并不简单。有时,我们的建议只是引导终端用户进行自我思考,然后也许他们就能提出自己的解决方案了。”
在进行漏洞评估时,掌握对手的心态也是很关键的,那么最佳途径是什么呢?这其中是相当有决窍的。Johnston谈到:“多数漏洞评估的问题在于这份评估工作通常要由极认真负责的安全人员来进行实施。这些安全人员不论是在生活中,还是在工作中都要有极佳表现。他们是真正醉心于安全工作,不想出任何问题的人。这并不是是否认真负责的简单事情;从中我们可看出一个人的人品如何。而且,在许多案例中,安全人员都是军队或警察出身,他们之前所经历的培训和纪律可能是非常有用的。不过,此类背景通常对那些极富有创造力的人并不具吸引力。观察一下你企业的周围,你就会找到那些富有创新精神的人。他们未必是安全领域的人士。你一直寻找给你带来可怕安全恶梦的人,通常都是些钻空子的、自作聪明的、疑神疑鬼的人。他们这类人事事都必须亲自证实才会相信,即便是听从权威机构所购买的的东西也得不到他们的肯定。”
为了掌握不法分子的犯罪心理,美国洛斯阿拉莫斯国家实验室漏洞评估组请来了两位工业与组织心理学专家。Johnston介绍说:“工业与组织心理学已在广泛领域得到了应用,但出于一些难以说明的原因,在安全行业并未应用到。当我们第一次让这两位心理学家与我们一起合作时,他们简直不能相信,竟没人将这些工业心理学领域的强有力的工具应用于安全问题中。渐渐地,我们不断利用他们来了解安全相关的人为因素。最后结论是:安全主要是关于人们与技术间如何交互作用,人们是如何使用和思考技术的,以及如何改造技术来增强人们的工作效率。”
|
服 务 CIO 推 进 信 息 化 
