2013年1月,加里·麦格劳(Gary McGraw)撰写了一篇出色的文章,内容涉及13个安全设计原则,总结了任何安全工程师或架构师都应该熟悉的高级概念,以便被称为。 McGraw博士当然是Cigital的聪明绅士,他们撰写了《软件安全》一书,录制了《 Silver Bullet》播客,并在安全行业的许多职业选择中发挥了作用。 他解释的第一个原则非常合逻辑且直观: “确保最薄弱的环节” 。 该原则跨越了许多学科,例如项目管理和物流,并且对许多人来说是显而易见的:除了最糟糕的部分并加以修复之外,没有其他方法可以显着改善某些东西。 很简单,对吧?
绝大多数信息安全专业人员都认为人为因素是任何安全系统中最薄弱的因素。 而且,我们大多数人都提倡这种想法,并且不会错过“责怪用户”或解决人为愚蠢的无限安全问题源的机会。 但是,当您开始挑战这个想法并询问他们实际上是为了改变局势而试图做什么时,答案却很少。 只需自己尝试一下:每当您听到有人说“……您无法与网络钓鱼/社会工程/人为错误等作斗争”时,请问他们:“您是否尝试过?……”我一直这样做,并相信我,其乐无穷。
令人不安的事实是,人脑在检测和处理威胁方面非常有效。 实际上,它花费了大部分的计算时间和卡路里消耗来维持这种“态势感知”,这使我们能够在解决代表汽车速度和轨迹的方程组之前很早就踩到断路,侧。 如果我们的大脑经过适当的培训,可以作为一种有效的安全对策,可以在检测或响应方面超越任何安全监控工具。 问题是,作为一个行业,我们没有足够的时间来培训人类来监视,检测和应对技术威胁,就像自然界训练我们避免开火,躲避虎跳而逃脱时一样。树。 甚至更大的问题是我们似乎并未开始这样做。
那么,我们到底怎么了? 我们为什么不将面对网络威胁时人类弱点的常识与确保最弱链接的准则结合起来? 坦白说,我不知道。 也许是因为涉及人类“内部”的知识领域,例如神经科学,心理学和行为经济学,与人们用来处理安全性的知识领域有很大不同:网络,软件,墙壁和围墙,我不知道。不知道。 但是,我已经尝试(更努力地©)改善了不是安全专家的人们应对网络威胁的方式。 你知道吗? 比责怪用户更有趣。 但是,我想对于一个帖子来说就足够了,可以继续……
该帖子 最初发布 于LinkedIn于2016年5月25日。
