爱因斯坦不仅仅是著名的物理学家,他还是是一个撰写安全进程的奇才,下面提到的一些话或许可以给安全部署带来启示。
“乱中求简;求同存异;困难中潜藏机遇。”
这通常被称为爱因斯坦的领导法则,它描述了在各种企业部署进行安全部署时面临的挑战。显然部署过程中会出现杂乱,纷争和困难,但是真正的安全专家知道如何从纷繁中找出模式化的东西,化繁为简。
“技术发展就像是病态罪犯手中的斧子。”
有一种错误的观念认为投入较多的硬件,软件,小部件和人力就可以解决所有问题。在大多数情况下,最基本的做法应该是先理清顺序,但这其实也是大多数安全部署存在的问题。以索尼被黑事件为例,如果在开发上多投入些,就可以通过简单的Input-Sanitation Function来捕获SQL注入。
“任何自作聪明的傻子都可能把小麻烦变得更大更复杂更棘手。智者的点拨和大胆一些才能扭转局面。”
有时候,少即是多。复杂性和扩展就是导致不安全的原因之一。因此,简化流程反而可以避免很多严重的安全问题。但是这需要娴熟的技巧才行,而这也带我们进入下一个思考:
“尽可能进行简化不是单纯以简单为目标。”
另一层意思可以理解为,复杂与否也是按照需要来,不能单纯以复杂为目的。应该有可用于策略评估的一套高标准和一套低标准。这样是否太简单而不能解决你的问题?安全进程真的需要20个步骤吗?又或者这些进程只是为了敷衍客户让他们觉得没有白花钱?
“我们不能用创建时的思路来解决问题。”
笔者认为这是爱因斯坦上述想法中最有价值的一条。“当你只有锤子的时候,所有的问题看起来都像钉子。”这句话是对其智慧的更好诠释。极少有人会意识到自己陷入这个境地,更不用说去承认自己处于这个境地并放手把任务交由其他人完成或是采取一种不同的,新颖的或有风险的方法。人们趋向于回避自己不了解的问题或是自以为是。
“创新的秘诀在于了解如何隐藏自己的资源。”
不要重蹈覆辙。很多专家花时间写指导和最佳实例。你大可以好好利用。
“不能通过武力实现和平。和平只能通过理解来实现。”
让用户合作比强制他们顺从要简单有效得多。应该对可能导致数据泄露或惹上官司的恶意行为进行监控。生产监控不是一项安全任务,对设备健康状况的监控不应在SOC中完成。你可能会因为坚持而给安全姿态带来威胁。
“唯一影响我学习的因素是我所受的教育。”
大企业强调安全培训,喜欢用PPT或是在线视频的方式来进行培训。传统的安全培训可以很好地满足服从性和安全规则,然而用户并不了解安全,所以有些东西不会如想象的那样脱颖而出。用户在受到智力挑战时才记得牢。这意味着,互动式对话,例如,将工作之外与用户相关的部分结合起来比让用户看无聊的幻灯片会有效果得多。
“有两件事情是无穷尽的:宇宙与人类的愚蠢;我对宇宙并不完全了解。”
不要低估愚蠢的力量。尝试让你的策略直观易懂,在把策略部署到产品之前对各类用户进行大量测试。这样就可以在产品出现问题前发觉可能存在的误解。
“自诩为真理和真知评判者的人会被上帝嘲笑。”
倾听用户的声音——他们或许对黑客技术并不了解,但是通过他们你会知道哪些是较难通过的屏障,哪些是容易被攻击的薄弱环节。另外,你也难保不漏掉一个安全问题,所以也可以选择接受第三方的常规审查。
“不是所有重要的事情都会被考虑进来,也不是所有考虑到的事情就是重要的。”
有趋势表明对于标准的倚重有些过头。标准的作用其实有限,特别是在有着紧急属性和不可预料的第三方介入时。只能依靠并使用那些可提供较好防御的标准,要避免那些华而不实的管理报告。而若想对一些理所当然的现象提出质疑,最好的方法就是展现它出故障的时候会出现什么情况。
希望这些可以给大家带来一些启发。更重要的是想传递给大家一种想法,即安全专家不单单是技术师而已,其涉猎要远远超出IT范畴。
原文地址:http://www.securityweek.com/einstein-security-procedures-and-processes
