用黑客的手段来进行安全管理

whitehat-or-blackhat-hacker

对搞信息安全的人来讲,黑客是无法避开的一个词汇,如同警察眼中的匪徒一样。然而,一不小心,安全人士也会沦入黑客,如同港片中常常表现的“警匪一家”一样。

“黑客”本身并非一个贬义词,特别在最初是褒义的,表示崇尚自由主义、崇尚分享精神的技术“极客”,如Linux、Apache、MySQL、OpenSSH、OpenSSL等不少开源免费的项目都出自技术“极客”社群之手。然而历经沧桑,黑客圈出现一批唯利是图的败类,现在,尽管“黑客”并非一个完全的贬义词,但是却更多地表示那些高科技“信息窃贼们”。

如同猫是老鼠的天敌,警察是来对付匪徒的一样,信息安全从业人员的价值便体现在应对黑客之上,然而这是一个技术活儿。道高一尺,魔高一丈。如果信息安全人员不如黑客的技术厉害,那不就要被黑客玩儿了?

其实,多数信息安全人员并没有人们相像中的那么纯洁无暇,他们的出生和成长可能或多或少都带有一些黑色的性质,比如在未得到适当授权的情况下,拿一些安全入侵工具私自尝试入侵目标。昆明亭长朗然科技有限公司信息安全研究员董志军说:我们需要理解一安全人成长过程中可能会“走弯路”,我们也需要原谅一些技术人员在青春年少时期可能难免会偶尔“误入歧途”。

不少安全技术岗位都希望招到“黑客”,还尊称他们为“白帽”以显示其双方的正义。从技术资质上讲,做过黑客的,更了解黑客的入侵心理,“知己知彼”方能“百战不殆”嘛!特别是笔者近期看到,有不少机构在安全人员的招聘中都提到希望是某些漏洞平台如乌云的成员,我理解这些机构求才若渴的心,但是这种做法却很冒险。因为在乌云平台上的,几乎没有一个纯正的“白帽子”黑客,因为他们在发掘他人系统漏洞之前,几乎都没有获得人家预先的授权或许可。这显然是一个做人做事儿的大前提问题,是一个法律和道德的问题。试问一下,如果您是一家厂商,您真的想招一个为了展示自己的水平、为了自己的名利,蔑视法律、道德沦丧、甚至不惜铤而走险的技术高手儿吗?

其实,您可能觉得我说得太夸张和偏颇,挖掘互联网系统的漏洞本身没那么严重。我说得确实有些夸张和偏颇,我不是看不起“黑客”们的人品,更不是想激怒他们给自己找麻烦,我只是想向一心招聘黑客的厂商安全管理人员泼一点凉水。其实,笔者也是一名IT安全技术人员出生,了解“黑客”的成长心路历程。要说“黑客”绝大多数都是一些好人,他们在现实生活中多数不擅与人沟通,所以并不很受人们欢迎,而在虚拟网络上,他们面对的不是真人,所以当他们解决了一个个技术难题之后,就会很有成就感,很开心。只是他们的心理要么不成熟,认为社会规则就是束缚人的;要么不是正常人该有的心理,脆弱且敏感,总觉得自己技高一筹却不被认可。他们很难融入正常的社会生活,也就是说,难以过朝九晚五的上班族生活。

我的意思只是说不建议厂商招聘黑客,但是有厂商会觉得应该雇佣黑客,以黑制黑,这种想法初一看,似乎不错,花钱找更厉害的黑客,相当于给黑客群体交了“保护费”,因为在高手面前,水平较差的黑客往往就“知难而退”了。其实这就是用黑客的手段来进行安全管理,亭长朗然公司董志军说:虽然“以黑制黑”看起来是合理的,但是我一直不推荐这样做,道理很简单——因为黑客是邪恶的黑暗的,在“以黑制黑”的同时,近墨者黑,厂商中原本良善正直的IT人员也会逐渐变得“黑”起来,厂商的“邪气”也会越来越重。当然,如果厂商自信“正气”较重,企业文化气息深厚,可轻易压住“邪气”甚至“化邪为正”,那则另当别论。

不少安全专业人士最初都是做IT技术的,随着岁月的增长,大部分能够通过挣扎奋斗逐渐获得晋升,上爬到安全技术专家或者安全管理岗位。由于成长历史的原因,当他们面对很多安全问题的时候,自然会想到用安全技术的手段来解决。除了对付外部黑客,“以黑制黑”之外,在面对内部工作人员时,也有不少安全专家或管理人员喜欢使用使用黑客的手段来进行安全控管。

笔者前几天遇到一名安全界人员,和我大谈桌面安全管理中使用“隐形”引擎的好处——让终端用户无法发现,也无法卸载。这让我不禁想起那几年在甲方做内部安全管理的岁月,数十年过去了,仍然有人在津津乐道这个特殊的功能。我的内心开始感叹安全管理的不易,也深为这种做法感到不耻和悲哀。

首先,信息安全者要认清自己的职责,摆正工作态度,那些终端用户大部分都是员工,虽然不全是领导,但是也是共创业绩的同事,特别是那些开拓业务成功的人员,给了信息安全人员的饭碗。他们本该享受的是卓越的IT安全服务,而不是被IT安全部门来进行“管制”。如果没有得到高层的批准,这种名不正,言不顺的IT安全“管制”行为,不仅是一厢情愿,更易激化部门间矛盾,终将成为历史进步的绊脚石。退一步讲,即使信息安全人员没有“为人民服务”的心态,也应该尊重一下其他员工的平等生存权吧!不要你的部门拿一个制度来框人家,人家部门再弄个制度来框你,那多不好!

其次,IT服务也需要的是阳光服务,这种“隐形”引擎的“阴招儿”显然是在背道而驰,遭人唾弃。究其原因,是安全管理者的自信心不足,管理水平低下。一个好的安全产品,如果自信是真正能够保护用户和组织的桌面安全产品、是真正被用户接受和喜欢的产品,则不需要担心被用户们知晓,更不怕被卸载。其实,同一阶梯的大部分的产品功能性能都差不多,使用“隐形”引擎“阴招儿”的产品,不仅自身信心不足,也利用了安全管理者信心不足的心理弱点。然而,对于有信心的信息安全管理者来讲,若要推动终端安全管理,自然需要高管的认可和批准,既然有了尚方宝剑,就可以光明正大的要求员工们来安装和使用,何需偷偷摸摸的?要防范员工未授权卸载安全软件,也完全是一个管理的问题,只需定期检查桌面安全、对擅自卸载者进行通报和根据通报结果采取必要的惩戒措施,而不是借用产品或技术优势,来和普通员工进行IT水平的高低比拼。

最后,这种在员工使用的电脑中安装“隐形”引擎的做法不符合人类进步的大趋势,涉嫌严重侵犯人权。您可能会说这是管理层许可的,员工使用公司的电脑,为公司工作,就应该遵守公司的IT安全规范,就应该被监控,要么就别到这儿工作。我要和您说的是如果您在西欧特别是法国说这话,您会严重触犯隐私保护相关的法律,您和您的老板都得坐牢,您所在的公司自然很快会关门倒闭!您可能说法国离我们很远,法国的制度不适合中国。的确您家爱怎么做是您家的事儿,但是人家现在文明、先进,我们的社会发展和治理方式也必将向人家靠拢,这一点是我们无法否认的,我们国家不断推出新的法规比如防家暴法等,以追赶世界文明,就是一个例证。我们的安全管理人员也是“人民共和国”的国民吧,却干出这种与历史进步背道而驰的事儿,在小环境下,对同事都完完全全用“术”治,连“人治”都不如,还谈何“法治”,谈何促进全社会促进全人类的进步!

说到底,用黑客的手段来进行安全管理,是信息安全界的悲哀,也是令祖先蒙羞的、令国民不耻的、贻误子孙万代的。信息安全人员要走出“黑客”的心理阴影和思维影响,才能真正开启职业生涯的新篇章,信息安全业界才能迎来新光明。而这一切的改变,都应该从信息安全管理的思辨、信息安全知识沟通和意识教育开始。昆明亭长朗然科技有限公司,专注于促进信息安全认知的觉醒。当然,我们的水平有限,观点也可能不同于您,但无论如何,即使我们有不同的观点,都欢迎您联系我们,洽谈安全意识教育培训方面的合作。