令人担忧的是,他们没有“看到”它,但是他们相信他们理解它。 他们对安全系统如何崩溃的知识是肤浅的,并且他们对自己构建的脆弱防御的信心很高。 他们处于一种安全的邓宁-克鲁格效应形式的初期
Dunning-Kruger效应发生在人们无法在一项任务上充分评估自己的能力水平(或具体地说,是他们的无能)时,因此认为自己比其他任何人都更有能力。
这种缺乏意识的原因是他们的能力水平较低,使他们丧失了批判性地分析其绩效的能力,从而导致对自己的高估。
另一方面,断路器使这些东西生活,呼吸和睡眠。 他们甚至从昆虫传递和店内标签更换的角度看待整个世界。 这不是工作,而是默认的世界视图。
对于那些这样想的人,当您听到类似这样的消息时,会发现自己沮丧地脸色苍白:
不用担心,我们已经将导致SQL注入的所有字符都列入了黑名单。
…
没有人可以闯入该服务器,我们对除HTTP以外的每个端口进行了防火墙保护!
…
您只需要通过防火墙对我的环境进行笔测试,不要用鱼叉式钓鱼我的员工,而只需指定此特定IP地址即可。 站在驴上时,必须用力将双手绑在后面,休息30分钟以内。
(最后一个来自实际订婚。承诺)。
这种分裂导致捍卫者抱怨红队有很大的自负(好吧,很多人都这样做),而他们所做的只是闯入,丢掉报告,然后飞入日落。 为了让他们的发现被接受,进攻团队有责任学会表达自己的语言。
黑客亚文化重视思想上的诚实,而不是政治上的正确性和被迫的权威人物,因此,您可以想象这与典型的红色团队个性(通常是正确的)想要称其后卫对手是疏忽大意的的倾向是多么相称 。这样做。
顺便说一句,还有另一个虚假必须解决。 有些人认为,断路器只擅长将事情分解。 这恰好适合新闻中经常被大肆宣传的网络安全头条所伴随的黑白,良好的恶性叙述。
现实离真相太远了。 大多数擅长对抗性思维的人也擅长创造事物。
这远远超出了他们的Github存储库(尽管那里有很多创造的证据),他们写道,他们是木制品,他们是公司。
是。
现在,我们已经打破了贝特里奇的头条新闻定律,答案就更加细微了。 可以学习,但是我不相信可以学习。
例如,新手质量保证测试员(找到萌芽的渗透测试员的好地方)可能像《黑客帝国》中的Neo一样上班。 直到觉醒之前,他们才真正意识到自己的潜能。 随着时间的流逝,他们发现了“诀窍”,而在您不知不觉中,您有了IBM臭名昭著的“ Black Team”的版本。
这对大量的培训计划而言是非常不利的,这些培训计划承诺会在五天内使您变成OCH(官方认证的黑客)的某种变体,或者您的退款(没有)。
这些认证要么偏向于将工具教学放在思想应用之上,这是最低的公分母,或者,如果它们确实具有很强的实践测试能力,那么做得好的人很可能已经首先有了心态。 这门课程的目的是教他们做手工艺品,而不是艺术。
还有一些例外,例如优秀的Pentester Academy,该学院的重点是基础概念而不是工具,而交付介质则需要个人的激情,这种激情通常(但并非总是)与安全思想息息相关。
本着有帮助的清单的精神,这里有一些方法可以逗弄对抗性思维的滑稽骨头。 如果您发现这些乐趣,则可以“拥有”:
- 解构计算机安全之外的事物
在您周围的世界中寻找邮寄的蚂蚁。 - 尝试撬锁
让我们来看看。 早期挫折中的一项锻炼,需要奉献才能掌握,成功是它自己的回报,需要黑盒逆向工程技能。 听起来非常像计算机安全。 令人惊叹的Deviant Ollam书籍值得一看。 - 玩策略棋盘游戏
听起来似乎有些陈词滥调,象棋,中国跳棋和围棋之类的游戏具有强大的对抗性思维戒律,包括“如果是,那么就是”思维和模式识别。
由于认证是识别技能组合的不好指标,因此分析经验是寻找合适东西的更好方法。
这并不意味着在$ CONSULTING_COMPANY雇用了6年从事“ VA / PT”工作的人,而是询问他或她是如何开始安全的(寻找蚂蚁邮递员的思想),并过渡到他们最困难的现实生活和计算机安全黑客。
如果他们热情地钻研时间,他们必须在数据中心门上平衡肉豆蔻以防止火灾警报响起,那么您可能有合适的人选。
奖励积分:如果他们透露了诸如客户名称之类的机密信息,您可以就此停下来-他们可能很好,但是您不希望有人说话。
如果您是刚从船上租来的,就不能指望过去的经验,因此,要进行科学工作就远远不够了。 横向思考问题( “列出不触摸开关即可关掉灯泡的10种方法” )是可以的,但很快就会产生怀疑的效果。
我们一向乐于给潜在客户带来真正困难的实际挑战,而这超出了他们现有领域知识的范围。 挑战具有不同的级别,范围从基本到难以解决,或者具有多个正确答案。 寻找那些谁:
- 花时间学习问题的基本概念
- 即使它们是错误的,也要应用创造性的解决方案 (许多对抗性思维涉及大量的反复试验)。
- 热情地谈论他们无法解决的问题以及如何对待他们(而不是那些试图淡化失败的人)。
- 对抗性思维是审视世界的一种固有方式,尤其是安全性。 黑客倾向于拥有它。
- 接受这种思维方式可以彻底改变您设计安全性的方式,但是它不能仅仅被采用,它必须从根本上嵌入您的安全团队的内心(我正在努力不使用过度使用的“埋入”) 。
- 许多(带有警告)的捍卫者缺乏这种思维方式,导致对韧性的想法放错了地方,这一点在邓宁-克鲁格效应中得到了体现,当事情被付诸东流时,他们表现出的是真正的惊讶。
- 红队合作的好处通常是无法弥合评估和接收端的这种人格差异。
- 打破常规的人无法建立是一个神话。
- 一个人可以学会对抗性思考,但是一个人却不能学会如何去思考。 您还可以培训能力,并使其成为招聘过程的一部分。
- 存在优秀的捍卫者和蓝军。 不幸的是,大多数防御者都没有取得飞跃。 我们希望认识到对抗性思维的差距将有助于解决这一问题。
- “黑客”一词的使用较为宽松,既涉及安全性,也涉及较纯的定义。
- 红队可以为自己的自负而宽恕。 他们的大部分工作涉及与那些认为基本功不及格的人打交道。 他们也经常是高绩效团队的成员,并且内部智力竞争也很健康。 这不能成为自大的借口-您可以成为一名出色的笔测试员,但仍然是糟糕的安全专业人员。
