像网络黑客1样思索:解决安全性难题所需的心理

2021-03-31 22:46| 发布者: | 查看: |

像网络黑客1样思索:解决安全性难题所需的心理状态实体模型 在信息内容安全性行业,人们经常被规定“像网络黑客1样思索”。可是难题是,假如你想起的只是1个十分狭义的网络黑客(比如,只会进攻Web运用程序流程的网络黑客),那末它将会会对你的逻辑思维方式和业务流程进行方法造成负功效。

在信息内容安全性行业,人们经常被规定 像网络黑客1样思索 。可是难题是,假如你想起的只是1个十分狭义的网络黑客(比如,只会进攻Web运用程序流程的网络黑客),那末它将会会对你的逻辑思维方式和业务流程进行方法造成负功效。

俗话有言 1知半解,害已误人 ,独立的客观事实其实不能很好地展现事儿原本相貌。正如传奇项目投资人Charlie Munger以前所言, 假如你只是记牢1些独立的客观事实,那末你不可以真实了解任何事儿。假如不将客观事实与心智实体模型的网格联络在1起,你就不可以应用它们。

你务必创建自身的心理状态实体模型。并且务必将你的间接性和立即工作经验排序在实体模型的网格上。实际来讲,假如有1些学员只是尝试记牢1些事儿并回想所记牢的內容,那末她们在院校和日常生活中全是不成功的,你务必将工作经验放在你大脑里心理状态实体模型的网格上。

自然,不仅是创建心理状态实体模型便可以了,你还务必要有好几个实体模型。由于假如你仅有1两个可使用的实体模型,那末人类的天性会使你将实际曲解,使其融入你的实体模型。就像谚语所说: 针对1个拿着锤子的人来讲,1切难题看起来都像钉子。 这对思索来说是1个极大的灾祸,因此你务必要有好几个实体模型。

针对安全性权威专家而言,这1点是值得牢记的。

当大家观查1个(完善的)安全性权威专家的逻辑思维全过程时,大家会发现在其中包括很多心理状态实体模型,不但涉及到网络黑客进攻或更普遍的进攻技术性,并且还涵盖了具备更普遍运用的标准。

下面就让大家1起去掌握1些1般的心理状态实体模型及其安全性运用:

1. 转换、翻转

当艰难的难题产生翻转(Inversion)时,它们就可以获得最好是的处理。科学研究人员十分善于运用翻转系统软件和技术性来讲明系统软件构架师应当防止甚么难题。换句话说,仅仅考虑到全部能够确保系统软件安全性的事儿是远远不足的,你应当考虑到全部将会会致使系统软件躁动不安全的事儿。

从防御力的角度看来,这就代表着你不仅要考虑到怎样获得取得成功,并且还要考虑到怎样管理方法不成功。

2. 确定误差

心理状态科学研究发现人们存在着确定误差(confirmation bias),即1旦人们产生先验信心,她们就会有目的地找寻有益于确认先验信心的各种各样直接证据。大家发现,这类确定误差在运用程序流程、系统软件甚至全部业务流程中都早已不可动摇。这便是为何2名财务审计师能够评定同样的系统软件,并就其充足性得出迥然不一样的结果的缘故所属。

从防御力者的角度看来,确定成见是是非非常风险的,由于它会迷惑真正的分辨結果。这1点也一直被网络黑客所运用。比如,人们常常会沦为垂钓电子邮件的受害者,由于她们自觉得自身太聪慧不容易落入进攻者圈套。可是获知实际早就为时晚矣。

3. 工作能力范畴

大多数数人都有1个(或最少1个)自身十分善于的行业。可是假如你超过这个行业对她们开展检测,你将会会发现她们并不是考虑周全。更不尽人意的是,她们乃至将会对本身的无知1没有知。

当大家把安全性视作1门学科时,大家观念到它其实不是1个单1的物品,它由无数的工作能力行业构成。比如,社会发展工程项目师具备1个与众不同的专业技能,使其与具备远程控制浏览SCADA(数据信息收集与监控操纵)系统软件的技术专业科学研究人员差别起来。

1个专用工具箱中有着的专用工具数量其实不关键,更关键的是了解自身工作能力范畴(Circle of Competence)的界线在哪儿里。正如华伦 巴菲特所言: 你务必寻找你自身的工作能力是甚么。假如你玩别的人玩得好的手机游戏而你不容易,你就会输。这可以尽量地贴近1些任何你能够做的预测分析結果。你务必搞清楚你的优点在哪儿里。你务必在你自身的工作能力范畴内玩 。

因此,创建安全性精英团队的主管务必对精英团队中的本人开展评定,并创建本单位的工作能力范畴,这能够协助公司直观地明确哪些行业是亟待弥补的空白行业。

4. 奥卡姆剃刀基本定律

奥卡姆剃刀基本定律(Oam's Razor)意思是 简洁之规律 ,即假如有关同1个难题有很多种基础理论,每种都能作出一样精确的预言,那末应当选择在其中应用假设至少的。虽然越繁杂的方式一般能作出越好的预言,可是在不考虑到预言工作能力的状况下,前提条件假定越少越好。

这个 简洁之规律 在许多层面与安全性存在联络。比如,一般状况下,网络黑客会应用简易的、历经检测和认证的方式来风险公司系统软件互联网,这些方式包含泊车场被感柒的USB驱动器器,或掩藏成会计单位的鱼叉式垂钓电子邮件等。

尽管进攻者也是有许多繁杂且优秀的进攻方式,可是这些进攻方式不太将会可用于大多数数企业。根据应用奥卡姆剃刀基本定律,进攻者常常能够更快、更轻轻松松地进攻总体目标。因此,以便 像网络黑客1样思索 ,在防御力层面还可以/应当应用同样的标准。

5. 2阶逻辑思维

所谓 2阶逻辑思维 (Second-Order Thinking)就代表着要考虑到結果身后的結果。举个事例,1阶逻辑思维会说这是1家好企业,让大家来买进它的个股。2阶逻辑思维则必须考虑到这是1家好企业,可是人人都了解它是1家好企业,因此这个股的标价和股价都太高了,因而针对项目投资者来讲,这家企业就并不是充足好的企业了,大家能够卖出它的个股。

因此说,2阶逻辑思维便是驱使大家在采用行動时考虑到其长期性危害。在此全过程中,大家最必须问自身的难题是, 假如我做了X,那末接下来会产生甚么?

在安全性行业,出示1阶提议是是非非常简易的事儿。比如,立即安裝补钉程序流程是很好的提议。可是,假如缺乏2阶逻辑思维便可能会做错误误的管理决策,致使没法意料的不良影响。因此说,安全性权威专家在实行实际操作前考虑到全部将会的危害是相当关键的阶段。比如,实行实际操作前问问自身, 假如我升級了机器设备X上的实际操作系统软件,那末会对下游系统软件造成甚么危害呢?

6. 逻辑思维试验

逻辑思维试验(thought experiments)是阿尔伯特 爱因斯坦营销推广的1种技术性,是1种在自身的大脑中开展逻辑性检测的方法,在实际日常生活中无法或不能能完成。由于逻辑思维试验要求的是想象力,而并不是感官。爱因斯坦曾说: 基础理论的真知在你的心智中,不在你的双眼里。

在安全性行业,这类技术性一般在 桌面上 训练或风险性模型时应用。当与别的心理状态实体模型1起应用时,这类方式還是十分见效的。其目地不1定是是非非要达到1个确立的结果,而是激励具备挑戰性的逻辑思维念头来将人们推出自身的逻辑思维舒服区。

7. 贝叶斯几率逻辑思维

这个全球是被几率性結果所主导的,这类几率性結果与明确性結果有一定的不一样。尽管大家不可以很明确地预测分析将来,可是大家经常会不自觉地依据几率做出管理决策(Probabilistic Thinking)。比如,在过马路的情况下,大家觉得被轿车撞到的风险性很低。这类风险性自然是存在的,可是由于你早已细心观查了周边的交通出行状况,因此你有自信心可以安全性根据。

贝叶斯方式说,应当考虑到全部先前的有关几率,随后依据持续升级的信息内容来相应地升级这些几率。考虑到到大家所亲身经历的是1个压根不确定性的全球,这类方式是是非非常合理的:大家务必另外应用先前的几率和新的信息内容来促使大家最好是的管理决策。

虽然针对 像网络黑客1样思索 的含意并沒有1个简易的回答,可是应用心理状态实体模型来搭建逻辑思维架构,能够协助防止根据逻辑思维惯性来解决全部难题的弊端。


2019-07⑵2 11:43:56 云资讯 阿里巴巴云入选CNCERT我国级互联网安全性紧急服务支撑点企业 近日,阿里巴巴云入选由我国互联网技术紧急管理中心CNCERT授予的我国级互联网安全性紧急服务支撑点企业。
<
>

 
QQ在线咨询
售前咨询热线
18720358503
售后服务热线
18720358503
返回顶部