許多安全行業的資深人士都會給出這樣的建議，想要在信息安全道路上更進一步的話，要學會像黑客那樣的思考。

的確，這個建議聽上去非常好。它聽上去十分專業和深刻，而且短小精悍適合微博轉發，還可以印到T恤上彰顯個性。但如果你拿這句話去問一些安全專業人員，它的含義到底是什么?答案可能五花八門。人們對黑客及黑客的想法有著各自的理解，換句話說吧，從傳統意義上講，有大量的安全從業人員從未做過黑客。

說起來容易，做起來難

“像黑客一樣的思考”的確讓人意識到安全是一種專業技術，但如果你不是一名黑客，也許你永遠也不能“像黑客那樣的思考”。舉個例子：

車禍現場，受傷者躺在地上血流如注，肋骨從胸膛可怕的戳出。這時，有人對你說：別怕，要像“醫生一樣的思考”。如果你不是醫生，這句話有意義嗎?

當然，非黑即白的思維方式是不可取的。不是外科醫生的話，藥劑師或護士也會有所幫助，而一個專業急救人員，更是可以現場“救火”的最佳選擇。因此問題來了，到底什么是黑客?黑客思維又是指什么?

黑客思維

許多媒體對黑客的概念局限于網絡騙子、小偷、敲詐者等網絡罪犯，或是迷途的不良少年。但許多真正理解黑客文化的人士認為，黑客無論其本意還是其蘊含的內在精神，更接近于那些擁有創造力的頭腦的人，而不是以違法屬性來定義的壞蛋。

記得在去年的網絡安全大會上，知道創業的技術副總余弦說道：“其實本質上都是為了能夠解決問題的一種思維方式，一種補充思維方式，不是那么板板正正的，而是有其他解決問題的方式去實現目的。”

國外的安全專業人員分別有著類似的看法：

“擁有解決問題或難題的能力和愿望，好奇心，享受挑戰，不想被規則限制，尋找打敗規則的辦法，更高深的黑客則傾向于以系統的觀點看待整個社會。”安全顧問杰西卡·巴克洛博士

“有兩點：一是試圖找出任何事物能夠被利用的辦法，但這種辦法不是這種事物本來的使用目的;二是假定任何系統都可以被入侵，基于這種假定，來推算出會發生什么，恢復計劃是什么，隔離方案是什么，該找誰等等。”--白帽子安全實驗室副主管羅伯特·漢森

“我更愿意把黑客稱做攻擊者。如果你無法寄更多的希望在防護上，那么就需要了解攻擊者的思想，理解他們的動機，他們攻擊的手段、攻擊的時間以及攻擊的形式，這樣才能兵來將擋、水來士淹。不站在攻擊者的立場思考的話，將是一個最大的錯誤。”--佳能歐洲信息安全主管奎特恩·泰勒

　　杰西卡·巴克洛博士

(ISC)2董事會主席威姆·瑞姆斯則表達了更為詳細的看法：“具備理解、分析和解決難題的能力，并能跳出常規思維模式，從非常規的角度考慮問題，想常人所不能想，做常人所不能做。并不只是解決技術問題，包括業務問題，甚至是生活問題。安全專業人員更象是工程師，被各種條件所限制。人力、資金、時間、規定、決策等等。只有那些具備黑客思維和業務敏感的安全人員，才能夠做到正確的安全防護。”

這些觀點闡明了黑客思維，并引出黑客思維在保護機構業務中的關鍵作用。

在企業或說機構中，有一種普遍的錯誤觀念，業務部門與IT部門是兩個完全不同的概念。但實際上，隨著數字空間全面滲入人類的生活，機構的業務與安全處處存在交叉。想要做好安全工作，就需要用系統的觀點進行全盤考慮，理解業務的管理和運營，核心價值在何處，關鍵資產是什么，系統弱點在哪里，它能被怎樣的利用和如何去保護。安全人員不考慮到這些，則幾乎無法抵擋得住黑客的攻擊。

試想，如果一個安全人員連自己公司的業務都不了解，又怎能希望他很好去保護它呢?

黑客與自由

誠然，黑客與安全人員有著很大的區別。前者非常獨立，總是一個人在不分晝夜的編寫代碼，測試程序，尋找機會，追逐利益，甚至任性妄為。而后者則是團隊的一份子，有著各種規定或紀律的約束，包括資源使用，部門配合，公司政策等。一個從安全角度考慮的想法，即使再優秀再完備，也不得不讓位于產品研發，市場推廣，戰略架構……

作為安全從業人員有著太多的束縛，很難跟的上哪些憑著自己的興趣和激情自由發揮，并將自己的想法付諸于行動的優秀黑客們。

就在近期國內首次舉辦的蘋果系統越獄黑客大會上，被全球越獄粉絲視作“大神”級的Comex，在回答安全牛記者的提問時承認，自從進入蘋果公司工作后，給追求自由和探索欲望的黑客精神帶來限制，并對個人的技術能力進步有所阻礙。而安全牛就此進一步發問時，Comex選擇了拒絕回答。

　　越獄大會上的Comex

談到這里，似乎有些無奈。黑客思維只能停留在安全人員的口頭上嗎?

鳥群的安全機制

有人曾舉出一個鳥群自我保護機制的例子。鳥類有著許多天敵，除了能夠飛翔以外，它們又是如何避免成為捕食者的口中的美味呢?簡單的很，當有危險接近任何一只鳥時，這只鳥會向其他伙伴發出警報，從而避免傷害擴大。

同樣，安全從業者也可以學習鳥群的這種警報信息共享的保護機制，共同檢測并防止危險的擴大。許多人已經明白，這里談的是威脅情報。

威脅情報共享機制目前已經成為安全生態系統中的重要一環。

像黑客那樣的攻擊?

還有一些安全圈子的人士認為，只有參與到黑客攻擊的活動中，才能真正的像攻擊者一樣地思考，并從活動中取得第一手經驗，從而更好的實施防御和保護工作。未知攻，焉知防!但這種模式的問題在于，真正的攻擊會帶來負面影響，其程度有可能超過正面的意義。而且，這種想法的邏輯上也容易遭到詬病。

比如，刑偵人員需要做過罪犯才能理解罪犯的思維模式并破案嗎?同理，你能為了做好安全工作的目的而跑去入侵別人的網站嗎?如果回答是肯定的，那你就要小心了。這種行為毫無疑問是惡意的，未經事主允許則是違法的。

至此，似乎又到了兩難的地步。像黑客那樣的思維需要做個黑客(如同像醫生那樣的思維就要從事醫生的工作)，而做一個真正的黑客則意味著付諸于一定的黑客行動，否則豈不是紙上談兵?

一種解決方案

在信息安全培訓中，經常會有一些模擬仿真類的課程學習。這種實戰性質的教學環境，保證了學員不用參與任何有嫌疑的非法活動，就能將所學到的各種原理應用到日常工作當中。

“每堂課后，講師都會留下各種作業讓學員攻擊訓練營建立的測試網站，包括密碼破解、漏洞掃描、SQL注入、代碼分析等。”--星火計劃：互聯網安全人才訓練營課程經理趙毅

近年來逐漸流行的各種攻防奪旗(CTF)賽事也是一個非常不錯的黑客技術模擬仿真平臺。中國的參賽隊伍已經在國際CTF賽事上取得了不俗的成績，同時國內的網絡安全技術對抗聯賽XCTF也正在如火如荼中。其中，剛剛落下帷幕的北京選拔賽，共吸引89個國家和地區的1770支戰隊、近4000位選手報名參賽。

另一種解決方案

在管理人員的許可下，安全人員對內部系統實施的入侵活動，稱為滲透測試。它本身并不是一種非常前沿的安全檢測手段，但目前滲透測試已經從內部發展到外部，從個人測試發展到小組甚至是群體測試，并形成了一種新興的安全業務市場--漏洞眾測。

漏洞眾測的好處是擺脫了內部和單一人員的局限性，在保障受測方安全的情況下，由優秀的白帽子黑客群體進行滲透測試，從而盡可能地從最真實的場景中，集群體專業人員的合力找到系統漏洞。優秀意味著尋找與挖掘漏洞的質量和深度，受到信任則是確保客戶的秘密不會被利用和公開。

烏云網創始人方小頓曾表示，漏洞眾測的興趣極大的改觀了過去企業與白帽黑客之間的冷戰態度，幫助了企業更好的防護惡意黑客的攻擊。這意味著企業安全觀更加成熟，“對整個安全行業都是好事”。

原文地址：http://www.aqniu.com/neo-points/7246.html