全文6006字,阅读约35分钟
前言
感谢安在新媒体给机会,让我参加2021超级CSO年度评选活动,让我诚惶诚恐夜不能寐。正月十六直播完,间隔半月时间把分享整理成文,今日二月初九发布,完结。
我的大纲
一、我对美的观点,及对安全工作中美的感受
二、安全需要权衡,从局部最优解到全局最优解
三、安全工作中的线性逻辑,到幂次法则的转变
四、安全从业者以兴趣为师,安全工作因热爱而坚守
五、网络安全中的人性现象,既深刻又宽容
六、安全圈的守望相助,道阻且长,行则将至
七、安全技术图书,也需要有思想、有内涵、有灵魂
---1---
话题一:我对美的观点,及对安全工作中美的感受
第一个话题是关于美的,是我在网络安全从业这些年的理解、感受的总结,或者叫我在网络安全工作中、实践中风格的总结,我用“美”这个字来表达。说到美,大家第一反应就是大自然,大自然的山水,山水之美在于怪石嶙峋、鬼斧神工。第二反应就是人造的,人造的美有很多,例如:在建筑领域,建筑之美在于参差不齐、但却又错落有致,就故宫的宫殿、石柱、围栏等,我每次看到都感受特别美。人造的美在艺术领域,表现的是最淋漓尽致的,艺术天才们不是用言辞,而是用自己的作品给美下定义,这些作品能够有力地改变和更新着人们对于美的理解。
回到网络安全这个主题上,我认为有规律、有秩序是美;匀称、和谐是大美;有实用性、有高应用价值是至美。针对这三句话,我举三个例子稍作解释:例如:坚持写周报月报,定期安全汇报,这种优秀的工作习惯有规律、有秩序是美。再例如:安全控制措施、安全方案兼顾用户体验、业务效率、安全保障需求,是匀称、和谐是大美。再例如:解决高频安全问题的方案(弱口令)、有普世意义的产品、工具、方法、思维等是有实用性的、有高应用价值的,是至美。
当然,真正的美回避定义,存在于任何方面、任何地方,就像刚刚说的美、大美、至美,其实只是一些特征的描述,而并非下定义。除了发现美,我觉得也要学会审美,至少我对自己的这份PPT,我觉得就不够美。我在家里给孩子讲《小王子》这本书时,里有这么一句话,我印象很深:“使沙漠显得美丽的,是它在什么地方藏着一口水井。”我觉得每个人都应该有自己对美的理解,我希望大家在安全职业生涯中、在安全产业发展中、甚至更高的层面,都能发现自己的风格,总结自己认定的“美”。
---2---
话题二:安全需要权衡,从局部最优解到全局最优解
第二个话题接着美的话题,我来聊一聊网络安全的科学性和艺术性,科学性主要体现在安全最优解的应用实践方面,而艺术性主要体现在安全最优解的各种权衡方面。那么有人会问什么是安全最优解?我简单解释一下:在当前背景下,不是站在安全的局部视角出发,而是从非安全的全局视角出发,安全团队能够做出的最大化、最卓越的业绩产出,这样的决策、行动在我看来是安全最优解。
我看到的当前中国企业中的安全团队,更关注安全技术应用、安全解决方案作为科学与工程的这一部分,但却忽略了其人文与艺术的那一部分,忽略了安全管理中、安全建设或运营中等多个方面的交付过程、成果产出,其实也是一种艺术创作。所以,我认为:网络安全这个职业的人,有的时候像是工程师、科学家,有的时候其实更像是艺术家。
我先举几个体现工程师、科学家一面的例子:例如:安全项目实施交付,这是典型的工程师场景;安全防护绕过、安全检测验证、攻防对抗这些也都是常见的工程师场景;安全技术创新、安全研究、安全专利等这些更像是科学家场景。
我再举几个体现艺术家一面的例子:例如:复杂场景的安全风险管控需求、实施落地方案的简单易行、以及最小的用户体验影响,三者在企业中的权衡,这是一门艺术。安全的沟通和汇报也更像是一门艺术,而不是一门科学。安全负责人必须要能够在老板面前获得支持,在分配会议的有限时间内,让老板了解安全知识,感到放心,并且对安全决策或事件能够知情。另外,换位思考也是一门艺术,判断一个人是否具备“换位思考”的能力有一个好方法,那就是看他怎样向没有技术背景的人解释技术问题,引自《黑客与画家》。
当我们意识到要想实现安全最优解,不仅是需要有科学与工程的部分,还要有人文与艺术的部分。那么我们就自然会思考,工作中该如何去做?我的经验是四个动作:询问别人的看法,分析别人的观点,了解别人的动机,理解别人的立场。做了这四个动作,工作中就更容易实现安全的最优解。除此之外,我的建议关注那些看似不应该思考的问题,我们也应该养成思考它们的习惯。
---3---
话题三:安全工作中的线性逻辑,到幂次法则的转变
第三个话题,我来聊一聊安全行业中或者工作中,看到的一些不科学的现象。有很多,但今天我只聊线性逻辑和幂次法则的问题。我先说几个现象:
甲方安全团队经常被问到的问题是“安全预算投入多少算合适?”,同样的问题,还有“安全人员多少编制算合适?”。遇到这类灵魂拷问的问题,多数安全团队都会整理一下公开或半公开的最新数据,私下与同业同行询问一下别人的情况。然后回答领导,例如:安全预算占IT总预算的3%,安全人数占科技人员总数的5%等等。
乙方的安全人员在提供安全服务时,像ISMS咨询服务、渗透测试服务、安全评估服务等,一般都会按照服务的人天来计价。例如:一个网站渗透测试需要报5人天,100个网站渗透测试需要报500人天,然后总体上打个折扣460人天,再折算价格。再例如,终端产品的部署交付项目,实施方案中经常会看到第一周第一批1000个点、第二周第二批1000个点、第三周第三批1000个点。
刚刚说的这些现象、这些情况都是普遍存在的,大家是否思考过为什么会是这样?我认为原因很简单,就是人们习惯用简单的线性逻辑来处理问题、处理事情,而我的看法是我刚刚说的这几个现象,其实都是符合幂次法则规律的,用幂次推理才是更可取的,更贴近真实的。
人们已经意识到简单的平均计算、线性递增计算,在规模或体量不断发展的当下,特别是大数据的场景,越来越不科学。这也是为什么越来越多的统计计算,不再简单的使用平均数,而是采用中位数、分位制,这样也是更科学。我希望安全行业的同行们,能够意识到我们当前存在的这些不科学的、不足的方面,进而一起努力改变。
那么,进一步思考,这些现象的根本原因是什么?我也给出我的解释:我认为线性逻辑是人脑对确定性的极度渴望,线性思考逻辑是人的第一反应。幂次法则是人脑对不确定性的自发恐惧,具有天然的排斥性,需要我们刻意去训练、去克制,才能用好。这个话题我们就聊到这里。
---4---
话题四:安全从业者以兴趣为师,安全工作因热爱而坚守
第四个话题,和大家聊一聊对网络安全的兴趣和热爱的话题,这也是大家工作几年时、或者换工作时经常提及的话题。
在安全岗位面试时,经常会碰到这种现象:应聘者说自己特别喜欢攻防对抗、渗透测试,但只要你深入追问一些技术问题,他立马就会改口说:我的从业经历没有条件深入的让我实践、学习攻防对抗、渗透测试等技能。每每碰到这种情况,我在心中都会暗自腹诽:你这不是真爱。前面说做网络安全的人有时像是艺术家,艺术的原动力就是个人喜爱和兴趣。
在当前互联网如此发达的时代,想学安全技术,还一定需要在工作中深造吗,我的答案肯定是否定的。我只会这样认为:这样的应聘者,只是满足自己对攻防对抗、渗透测试的一点点了解的欲望,而不是真正的兴趣使然。真正的安全兴趣、爱好是由浅入深的学习、实践的过程,也是由易到难的逐步走向专业的过程,这个过程要克服困难、要努力、要坚持、要投入精力,当然也要有自己认为值得的快乐。
中国有句古话:“知之者不如好之者,好之者不如乐之者。这话谁都知道,但真的能把工作发展成兴趣爱好,这个只能是少数人才能做到,就像很多家庭主妇,真的能在心底把全职在家照看孩子当作工作或职业吗?我真的很佩服这种人,他们真的做到了干一行爱一行。
我把当前从事网络安全的从业者分成两种心态:一种是将它作为一份工作,一种是将它作为一份职业。前者只是谋生的手段,你的目的是赚钱,而后者才是终生从事的事业,你的目的是乐在其中的赚钱。都是赚钱,二者的差别在于当满足了基本的物质生活后,那就只剩乐在其中的精神富足。这两种心态,无论是哪一种都需要你热爱它,才能坚持的更长久一些。
这个话题,最后一点是我给同行的建议:安全从业者要独立思考,要善于总结不从众,善于从生活中、各行各业中、从历史教训中汲取智慧,特别是在看似无关的领域。
上面和大家分享的我的这些观点,是我的一些浅显觉悟,希望对大家有帮助。
---5---
话题五:网络安全中的人性现象,既深刻又宽容
第五个话题,是关于人性的,网络安全中的人性现象,这里我更多想谈的是反人性的现象。先举几个具体的例子,大家感受一下:
第一个例子,安全团队为了应对钓鱼攻击,内部经常组织钓鱼演练,这已经是行业内通行做法,这种做法的确能提高一部分员工的安全意识,避免遭到真正的钓鱼攻击。但一旦发生真正钓鱼攻击并成功时,安全团队却说我们日常做了钓鱼演练、做了安全意识宣传,是因为你的安全意识不够。我想说的是:让非专业安全人士,具备足够的安全意识并且能成功抵抗钓鱼攻击,这种安全团队的期望是反人性的。只能是美好愿望,安全专家也做不到。
第二个例子,安全团队为了防范暴力破解猜测密码,设置账号锁定策略,这也已经是行业内通行做法。但你有没有想过暴力破解不是真正用户的行为,是攻击者的行为,那账号锁定后真正的用户怎么使用呢?为什么要把攻击者的行为后果转嫁到真正用户身上来承担?我认为这是账号管理方对自己应该承担责任的免责,同时把责任推给了用户。我认为:这种安全策略是反人性的。
第三个例子,是让用户设置复杂的密码,或者强制定期的修改密码,我认为:这种行为是反人性的。2022年1月26日,美国管理和预算办公室(OMB)发布《联邦政府零信任战略》的,附录B中的任务矩阵“必须从所有系统中删除要求特殊字符和定期轮换密码的密码政策。”因为美国研究人员在关于密码过期策略影响的定量研究论文中,发现定期轮换口令极度影响用户体验,但又不能切实提高口令安全性。
例子很多,我不在例举了,还有反人性的功能、反人性的操作、各种反人性的XX。所以说到这里,我突然理解了综艺节目《奇葩说》中,某辩手说过这样的一句话:只要人生中有捷径,捷径很快就成了唯一的路。我希望我们大家能明白:我们只有自己理解的深刻,才能有更好的宽容他人。这个话题就说到这里吧。
---6---
话题六:安全圈的守望相助,道阻且长,行则将至
第六个话题,我想聊一聊安全行业的守望相助。很多场合的群里或安全会议上,我们都听到这个词,很多安全大佬也经常说,但我认为安全行业,提守望相助理念是可以的,但执行起来其实是很难的事。为了传递一些正能量给大家,用一句话表达我此刻的美好愿望叫“道阻且长,行则将至”。意思就是路途漫长充满险阻,但走下去终将能到达。
先说这一下守望相助这个词的出处是《孟子·滕文公上》,完整一句是“出入相友,守望相助,疾病相扶持,则百姓亲睦。”翻译成白话是:人们出入劳作时相互伴随,抵御盗寇时互相帮助,有疾病事故时互相照顾,这样百姓就友爱和睦了。意思挺容易理解的,我认为这句话说的是邻里之间,一起出入劳作,一起相互守护、观望放哨,一起抵御外敌。
回到安全行业谈守望相助:
第一点我要表达的是:各个企业的安全团队平日可能交流并不多,各位安全从业者也不会都像朋友一样交好,企业间可能也会有互相竞争的、个人间甚至还会有相互交恶的。如果现实是这种状况,那就缺少原句中的邻里之间、亲朋好友之间的前提条件,那么相助就是空谈。缺少日常交往或走动,没有友谊这些前提条件,当某安全从业者、某企业的安全团队出现网络安全的需求、问题或事情时,别人为什么要相助你呢?怎么能相助你呢?如果非要我相助,那我觉得是道德绑架、或者是耍流氓。
第二点我要表达的是,很多网络安全的事情只看表象,是不能分辨善恶正邪的,我们不应该在不了解清楚背景、或只平一个新闻报道、或个人的一腔热血、不经思考,就冲动的去做事。即使是喊口号,但没有实际行动,那也只能停留在喊口号这一步了,不值得提倡。
第三点我要表达的是,我认为如果真的要守望相助,更多需要的是真心的行动,而不是顺水推舟的帮一把,顺水推舟的事只能算是各取所需。我们要敬畏这个行业,对同行充满善意,对弱势者给予同情,真诚去扶持。
我相信安全行业会有执着的人、大毅力者,会坚持不懈的践行“守望相助”的理念,那么美好的未来会值得期待,我已经看到了一些起色。
---7---
话题七:安全技术图书,也需要有思想、有内涵、有灵魂
第七个话题,也是最后一个,我聊一聊安全同行出书,我观察到的现象和我的看法。
网络安全的书籍以前数量很少,现在越来越多。这和信息技术整体发展有关,毕竟国内IT发展不过30多年,也符合事物发展的客观规律。
在我看来,许多安全图书,特别是安全技术图书,只是外表像书罢了,不过大家也不用愤慨,也不用喷我,我也无意冒犯已出书的各位大佬。这只是个人观点,想一想:许多人也只是外表像人罢了,这么一想或许心灵也就平衡了。
我对安全图书好不好的评价,比较主观。我认为用诗意文字讲述网络安全,将科普性、故事性和艺术性完美结合,或许才算是一本优秀的安全书籍。这里强调四个词:诗意文字、科普性、故事性和艺术性。
诗意文字就是作者的感情含在文字中,读者又被超越文字自身内涵的联想所触动。对于翻译外文书,还要兼顾信达雅,我就不扩展的说了。
科普性的特点:一是有专业知识,二是简单易懂,相对通俗;
故事性的特点:一是强调语言逻辑,二是能够吸引人,也就是可读性,三是给人以启迪;
艺术性的特点:一是有形象、有精神内涵,二是要独创原创,三是符合大众审美(真善美)。
一本好的网络安全图书,无论是技术的、管理的、理论的、实践的,让我们收获的不单单是某些安全知识,某种职场技巧,或者某种方法论,像PDCA、ATT&CK,他应教给我们的是一种严谨的思维方式,是一种让我们学会把自己的眼光放得更加长远、更高层级的决策能力,他应该促使我们养成独立思考的习惯(网络安全、信息安全、数据安全等等),他应该引导、启发我们不断挑战技术,不断创造,培养我们坚毅的性格和创新精神。他没有给我们一条大鱼,却把捕捉大鱼的方法和思想教给了我们,也就是中国那句古话“授人以鱼,不如授人以渔。”的道理。
安全技术图书,写技术当然是没问题的,但不应只写技术本身,还应包含技术背后的发展逻辑、思想观点;技术书写代码也当然是没问题的,但不应该只写代码示例,还应包含代码编程背后的创作逻辑、特征思考、创作理念。任何技术、代码一百年后,或许都没有什么参考价值!我们需要着眼未来,来指导当下。
最后,现在有很多“安全工具书”,所谓工具书就是看了能快速解决问题的书,这类书当然有价值,但我认为价值有限,更适合刚踏入安全领域的初学者。安全专家、资深人士出的安全图书,应该有自己的体悟和见解、思维方式和思想体系。
坚信少却更好,坚定元认知传播,坚持安全美学,拿个主题,讲300秒就够了。
原文始发于微信公众号(表图):安全和美-我对网络安全的观察和思考
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论