時至今日,學術界跟公部門常說資訊安全或者業界常講的網路安全已經成為一種獨立的專業,雖然大部分公司也只能請網管兼職做相關的設定,然而隨著網路攻擊面向越來越多,已經無法將其單純視為軟體工程或者系統設計裡的一種子領域(念過system software貝殼書或operating system concepts恐龍本的讀者可能有印象最後一、兩章節都會是談security)
原因在於網路上就是會出現帶有惡意且聰穎的攻擊者(也可能是你的競爭對手聘請的),所以當你的公司遇到這類問題時需要思考各種方法、技術或者不同於意外問題/突發事件的思維,我們得針對各種淺在的攻擊面向模擬攻擊與防禦以備不時之需,畢竟攻擊者可能來自於某個組織,通常他們都會擅於內部仔細討論目標的短板理論在何處,更甚者有的組織還會選擇透過人類獨有的感情作為手段,例如攻擊者可能會利用受害者電腦內的尷尬照片或資料作為人質,要脅加密貨幣不然的話就威脅把照片或資料傳播出去
事實上「人」才是網路安全中最重要的元件,也是最大的弱點 -Andy Malone (Microsoft MVP)
而我們要記住一件事,網路安全本身就包含了眾多不確定性的因素,儘管我們可以擁有大量的推演能力,卻還是無法達到全知全能,我們無法為每一件事給出事實,就如同我們無法記住無限個真相
如果比喻成西洋棋跟橋牌,在西洋棋內你知道對手的每一步棋,雖然你不知道你的對手在想什麼,但你可以利用過去大量學到的對弈棋譜來預測對手下一手,然而以橋牌為例的話你並不知道任何關於對手的資訊,所以你只能在不透明的情形下做出預測,預想所有的可能性來讓你的贏面機率稍微提高一些
要我說的話資訊安全就比較類似於橋牌的形式,當然我們模擬攻擊時我們根本不知道目標的機器/系統/網路與組織架構,只能不斷地透過影性或顯性假設與驗證,反之作為企業內部人員防禦時也沒辦法意識到所有淺在的攻擊面向,或者更新完後會出現何種zero day漏洞,只能夠先守護好自己確信的條件以及設定充足的保護機制
作為學習網路安全以及面對挑戰時我們應該要將自己同時定位在攻擊者及防禦者的思維以便解決這類聰穎駭客的攻擊與網路安全的不確定性
