用黑客的手段来进行安全管理

whitehat-or-blackhat-hacker

对搞信息安全的人来讲,黑客是无法避开的一个词汇,如同警察眼中的匪徒一样。然而,一不小心,安全人士也会沦入黑客,如同港片中常常表现的“警匪一家”一样。

“黑客”本身并非一个贬义词,特别在最初是褒义的,表示崇尚自由主义、崇尚分享精神的技术“极客”,如Linux、Apache、MySQL、OpenSSH、OpenSSL等不少开源免费的项目都出自技术“极客”社群之手。然而历经沧桑,黑客圈出现一批唯利是图的败类,现在,尽管“黑客”并非一个完全的贬义词,但是却更多地表示那些高科技“信息窃贼们”。

如同猫是老鼠的天敌,警察是来对付匪徒的一样,信息安全从业人员的价值便体现在应对黑客之上,然而这是一个技术活儿。道高一尺,魔高一丈。如果信息安全人员不如黑客的技术厉害,那不就要被黑客玩儿了?

其实,多数信息安全人员并没有人们相像中的那么纯洁无暇,他们的出生和成长可能或多或少都带有一些黑色的性质,比如在未得到适当授权的情况下,拿一些安全入侵工具私自尝试入侵目标。昆明亭长朗然科技有限公司信息安全研究员董志军说:我们需要理解一安全人成长过程中可能会“走弯路”,我们也需要原谅一些技术人员在青春年少时期可能难免会偶尔“误入歧途”。

不少安全技术岗位都希望招到“黑客”,还尊称他们为“白帽”以显示其双方的正义。从技术资质上讲,做过黑客的,更了解黑客的入侵心理,“知己知彼”方能“百战不殆”嘛!特别是笔者近期看到,有不少机构在安全人员的招聘中都提到希望是某些漏洞平台如乌云的成员,我理解这些机构求才若渴的心,但是这种做法却很冒险。因为在乌云平台上的,几乎没有一个纯正的“白帽子”黑客,因为他们在发掘他人系统漏洞之前,几乎都没有获得人家预先的授权或许可。这显然是一个做人做事儿的大前提问题,是一个法律和道德的问题。试问一下,如果您是一家厂商,您真的想招一个为了展示自己的水平、为了自己的名利,蔑视法律、道德沦丧、甚至不惜铤而走险的技术高手儿吗?

其实,您可能觉得我说得太夸张和偏颇,挖掘互联网系统的漏洞本身没那么严重。我说得确实有些夸张和偏颇,我不是看不起“黑客”们的人品,更不是想激怒他们给自己找麻烦,我只是想向一心招聘黑客的厂商安全管理人员泼一点凉水。其实,笔者也是一名IT安全技术人员出生,了解“黑客”的成长心路历程。要说“黑客”绝大多数都是一些好人,他们在现实生活中多数不擅与人沟通,所以并不很受人们欢迎,而在虚拟网络上,他们面对的不是真人,所以当他们解决了一个个技术难题之后,就会很有成就感,很开心。只是他们的心理要么不成熟,认为社会规则就是束缚人的;要么不是正常人该有的心理,脆弱且敏感,总觉得自己技高一筹却不被认可。他们很难融入正常的社会生活,也就是说,难以过朝九晚五的上班族生活。

我的意思只是说不建议厂商招聘黑客,但是有厂商会觉得应该雇佣黑客,以黑制黑,这种想法初一看,似乎不错,花钱找更厉害的黑客,相当于给黑客群体交了“保护费”,因为在高手面前,水平较差的黑客往往就“知难而退”了。其实这就是用黑客的手段来进行安全管理,亭长朗然公司董志军说:虽然“以黑制黑”看起来是合理的,但是我一直不推荐这样做,道理很简单——因为黑客是邪恶的黑暗的,在“以黑制黑”的同时,近墨者黑,厂商中原本良善正直的IT人员也会逐渐变得“黑”起来,厂商的“邪气”也会越来越重。当然,如果厂商自信“正气”较重,企业文化气息深厚,可轻易压住“邪气”甚至“化邪为正”,那则另当别论。

不少安全专业人士最初都是做IT技术的,随着岁月的增长,大部分能够通过挣扎奋斗逐渐获得晋升,上爬到安全技术专家或者安全管理岗位。由于成长历史的原因,当他们面对很多安全问题的时候,自然会想到用安全技术的手段来解决。除了对付外部黑客,“以黑制黑”之外,在面对内部工作人员时,也有不少安全专家或管理人员喜欢使用使用黑客的手段来进行安全控管。

笔者前几天遇到一名安全界人员,和我大谈桌面安全管理中使用“隐形”引擎的好处——让终端用户无法发现,也无法卸载。这让我不禁想起那几年在甲方做内部安全管理的岁月,数十年过去了,仍然有人在津津乐道这个特殊的功能。我的内心开始感叹安全管理的不易,也深为这种做法感到不耻和悲哀。

首先,信息安全者要认清自己的职责,摆正工作态度,那些终端用户大部分都是员工,虽然不全是领导,但是也是共创业绩的同事,特别是那些开拓业务成功的人员,给了信息安全人员的饭碗。他们本该享受的是卓越的IT安全服务,而不是被IT安全部门来进行“管制”。如果没有得到高层的批准,这种名不正,言不顺的IT安全“管制”行为,不仅是一厢情愿,更易激化部门间矛盾,终将成为历史进步的绊脚石。退一步讲,即使信息安全人员没有“为人民服务”的心态,也应该尊重一下其他员工的平等生存权吧!不要你的部门拿一个制度来框人家,人家部门再弄个制度来框你,那多不好!

其次,IT服务也需要的是阳光服务,这种“隐形”引擎的“阴招儿”显然是在背道而驰,遭人唾弃。究其原因,是安全管理者的自信心不足,管理水平低下。一个好的安全产品,如果自信是真正能够保护用户和组织的桌面安全产品、是真正被用户接受和喜欢的产品,则不需要担心被用户们知晓,更不怕被卸载。其实,同一阶梯的大部分的产品功能性能都差不多,使用“隐形”引擎“阴招儿”的产品,不仅自身信心不足,也利用了安全管理者信心不足的心理弱点。然而,对于有信心的信息安全管理者来讲,若要推动终端安全管理,自然需要高管的认可和批准,既然有了尚方宝剑,就可以光明正大的要求员工们来安装和使用,何需偷偷摸摸的?要防范员工未授权卸载安全软件,也完全是一个管理的问题,只需定期检查桌面安全、对擅自卸载者进行通报和根据通报结果采取必要的惩戒措施,而不是借用产品或技术优势,来和普通员工进行IT水平的高低比拼。

最后,这种在员工使用的电脑中安装“隐形”引擎的做法不符合人类进步的大趋势,涉嫌严重侵犯人权。您可能会说这是管理层许可的,员工使用公司的电脑,为公司工作,就应该遵守公司的IT安全规范,就应该被监控,要么就别到这儿工作。我要和您说的是如果您在西欧特别是法国说这话,您会严重触犯隐私保护相关的法律,您和您的老板都得坐牢,您所在的公司自然很快会关门倒闭!您可能说法国离我们很远,法国的制度不适合中国。的确您家爱怎么做是您家的事儿,但是人家现在文明、先进,我们的社会发展和治理方式也必将向人家靠拢,这一点是我们无法否认的,我们国家不断推出新的法规比如防家暴法等,以追赶世界文明,就是一个例证。我们的安全管理人员也是“人民共和国”的国民吧,却干出这种与历史进步背道而驰的事儿,在小环境下,对同事都完完全全用“术”治,连“人治”都不如,还谈何“法治”,谈何促进全社会促进全人类的进步!

说到底,用黑客的手段来进行安全管理,是信息安全界的悲哀,也是令祖先蒙羞的、令国民不耻的、贻误子孙万代的。信息安全人员要走出“黑客”的心理阴影和思维影响,才能真正开启职业生涯的新篇章,信息安全业界才能迎来新光明。而这一切的改变,都应该从信息安全管理的思辨、信息安全知识沟通和意识教育开始。昆明亭长朗然科技有限公司,专注于促进信息安全认知的觉醒。当然,我们的水平有限,观点也可能不同于您,但无论如何,即使我们有不同的观点,都欢迎您联系我们,洽谈安全意识教育培训方面的合作。

如何营销信息安全思想

信息安全管理中最弱的环节是用户们的安全意识,而要提高用户们的安全防范意识可并不容易。毕竟“天下最难的事情是将别人口袋里的钱拿到自己口袋,以及将自己脑袋里的思想装进别人的脑袋里。”

难也要上, 我们要提升用户以及客户的安全意识,需要正确的方法。昆明亭长朗然科技有限公司的安全意识培训师Alice Wong称:环顾全球,欧美国家喜欢讨好用户,日韩港台倡导娱乐用户,而大陆内地最爱恐吓用户。唉,谁叫这一代人都是厦(吓)大的呢?

说笑完毕,言归正传,现在的世界交流强过于以往历史上的任何一个年代,信息安全意识教育管理方法也会随着经贸交流、文化交流、跨国公司人员流动和互联网资讯流动而不断演变。我们只需遵守全球范围内被广泛接受的安全意识方法,加之对自己企业环境和内部文化的理解,灵活应用即可。

接下来,让我们分享一些一家来自中国的全球性跨国公司在安全意识教育方面的做法,希望对信息安全管理和培训负责人有所帮助。

跨国公司有数万名员工,数个事业部,分布于不同国家不同站点,中国人员大本营分布于三个城市、欧洲及中东大本营分布于两个城市的三个站点、美洲大本营分布于两个站点、除中国外的亚太地区大本营也分布于两个国家的四个站点,此外还有数百个国家的小型分支机构。

向所有能够接触到信息资产的员工们推销信息安全方针政策,在全球分布架构下,大的站点都有兼职的信息安全讲师,专门通过现场课堂培训对新进员工进行安全意识教育,小站点往往缺乏对员工进行必要的培训,要么就近派到附近大站。

来自中国的这家公司的业务在不断扩张,我们不得不考虑全球一体化中的员工安全意识教育问题,好在英文是通用的沟通语言,我们决定使用创新的在线电子学习方案,这种方案大小站点都可使用,除了为中国大本营特别开发中文之外,其它海外站点全部使用英文。大型站点由原来的讲师担任协调员,小型站点由本站的管理秘书提供协调员,负责在本站员工的沟通协调和学习推进工作。

强制推广培训的遵循,在获得总裁的大力支持下,通过人力资源副总裁,利用全球员工目录,将学习考核情况尽数掌控。除了测试团队之外,顺利是先在高阶管理层推进在线学习,再到中层,直到基层经理主管们。在管理层全部通过之后,协调人员在面对基层员工进行推广时,可以轻松获得员工管理层的理解和支持,工作推进便容易多了。

在学习过程中,通过在线学习系统,安全管理团队、培训讲师、站点协调人员以及经理层很容易知晓部门人员的参训进度和考核通过情况。学员可以随时随地通过在线课程进行安全意识学习,在学习完成之后通过在线测试来检验学习情况。

一次大范围的针对全体员工的信息安全意识推广活动就在一个月内取得92%的通过率,第二个月底达到到最初设定的99%的目标。所有员工都在线签署了公司安全协议,同时也获得了大量的反馈,以用于衡量安全教育计划的有效性和支持后续不断的改进。

在信息安全意识和思想教育方面,我们并不停留于此,我们建立了内部安全沟通网站,增加了Web2.0互动功能,安全响应团队的及时解答让员工们能够获得及时的安全指导。

我们也定期提供新鲜教育素材配之安全通告,并通过邮件方式推动到全体员工,以不断刷新员工们的安全理念。同时,为了让建立一股能够反应业务需求和全球态势的安全正气,我们在网上举办了一些安全文化交流活动,鼓励领导层和员工们结合具体工作实际来谈信息安全。

我们不但不恐吓用户,对犯错用户采取教育为主的措施,让他们抽出时间再次参加学习和通过考试,同时也要求他们做出一些反省——书写心得报告并参与下一次的安全检查工作。此外,我们还设立了全球信息安全奖励基金,用于表彰信息安全领域的杰出贡献者和公司信息安全文化的积极倡导者和实践者。虽然我们的预算有限,但是这活动显然激励了员工们对信息安全工作的热情。

鉴于时间和水平的限制,分享暂时就到这里。昆明亭长朗然科技有限公司也制作了一部给信息安全培训者的在线教程,不用注册可以免费聆听。

infosec-awareness-strategy