安全無界限 愛因斯坦對安全進程的啟示

這通常被稱為愛因斯坦的領導法則，它描述了在各種企業部署進行安全部署時面臨的挑戰。顯然部署過程中會出現雜亂，紛爭和困難，但是真正的安全專家知道如何從紛繁中找出模式化的東西，化繁為簡。

“技術發展就像是病態罪犯手中的斧子。”

有一種錯誤的觀念認為投入較多的硬件，軟件，小部件和人力就可以解決所有問題。在大多數情況下，最基本的做法應該是先理清順序，但這其實也是大多數安全部署存在的問題。以索尼被黑事件為例，如果在開發上多投入些，就可以通過簡單的Input-Sanitation Function來捕獲SQL注入。

“任何自作聰明的傻子都可能把小麻煩變得更大更復雜更棘手。智者的點撥和大膽一些才能扭轉局面。”

有時候，少即是多。復雜性和擴展就是導致不安全的原因之一。因此，簡化流程反而可以避免很多嚴重的安全問題。但是這需要嫻熟的技巧才行，而這也帶我們進入下一個思考：

“盡可能進行簡化不是單純以簡單為目標。”

另一層意思可以理解為，復雜與否也是按照需要來，不能單純以復雜為目的。應該有可用于策略評估的一套高標準和一套低標準。這樣是否太簡單而不能解決你的問題?安全進程真的需要20個步驟嗎?又或者這些進程只是為了敷衍客戶讓他們覺得沒有白花錢?

“我們不能用創建時的思路來解決問題。”

筆者認為這是愛因斯坦上述想法中最有價值的一條。“當你只有錘子的時候，所有的問題看起來都像釘子。”這句話是對其智慧的更好詮釋。極少有人會意識到自己陷入這個境地，更不用說去承認自己處于這個境地并放手把任務交由其他人完成或是采取一種不同的，新穎的或有風險的方法。人們趨向于回避自己不了解的問題或是自以為是。

“創新的秘訣在于了解如何隱藏自己的資源。”

不要重蹈覆轍。很多專家花時間寫指導和最佳實例。你大可以好好利用。

“不能通過武力實現和平。和平只能通過理解來實現。”

讓用戶合作比強制他們順從要簡單有效得多。應該對可能導致數據泄露或惹上官司的惡意行為進行監控。生產監控不是一項安全任務，對設備健康狀況的監控不應在SOC中完成。你可能會因為堅持而給安全姿態帶來威脅。

“唯一影響我學習的因素是我所受的教育。”

大企業強調安全培訓，喜歡用PPT或是在線視頻的方式來進行培訓。傳統的安全培訓可以很好地滿足服從性和安全規則，然而用戶并不了解安全，所以有些東西不會如想象的那樣脫穎而出。用戶在受到智力挑戰時才記得牢。這意味著，互動式對話，例如，將工作之外與用戶相關的部分結合起來比讓用戶看無聊的幻燈片會有效果得多。

“有兩件事情是無窮盡的：宇宙與人類的愚蠢;我對宇宙并不完全了解。”

不要低估愚蠢的力量。嘗試讓你的策略直觀易懂，在把策略部署到產品之前對各類用戶進行大量測試。這樣就可以在產品出現問題前發覺可能存在的誤解。

“自詡為真理和真知評判者的人會被上帝嘲笑。”

傾聽用戶的聲音——他們或許對黑客技術并不了解，但是通過他們你會知道哪些是較難通過的屏障，哪些是容易被攻擊的薄弱環節。另外，你也難保不漏掉一個安全問題，所以也可以選擇接受第三方的常規審查。

“不是所有重要的事情都會被考慮進來，也不是所有考慮到的事情就是重要的。”

有趨勢表明對于標準的倚重有些過頭。標準的作用其實有限，特別是在有著緊急屬性和不可預料的第三方介入時。只能依靠并使用那些可提供較好防御的標準，要避免那些華而不實的管理報告。而若想對一些理所當然的現象提出質疑，最好的方法就是展現它出故障的時候會出現什么情況。

希望這些可以給大家帶來一些啟發。更重要的是想傳遞給大家一種想法，即安全專家不單單是技術師而已，其涉獵要遠遠超出IT范疇。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]