作為公司的網管平常也是值得停下來思考攻擊層面的安全性,為的是透過駭客的角度更深入的挖掘防禦手段,舉例來說如果你作為一個中世紀的君王想要建造城堡,而你得知敵人擁有投石器可以投擲巨石進攻,你就應該把城牆建的厚一些,反之如果敵人身上裝備有梯子,你就應該給城牆設置一堆落石、熱湯等守城工具給城牆士兵,所以當君主知道敵人的底細之後就能夠像攻擊者一樣思考要如何把防禦建構的更安全
而理解敵人如何思考進攻之後就會想要嘗試去估測雙方之間的差距,舉例來說可以使用”沙盤演練“直接將雙方的士兵做模擬作戰,幫助君主與武將們更完全的了解真實攻擊者的能力與淺在破壞性
換回網路安全的領域,企業通常會雇用一些獨立或者有能力實行滲透測試的員工,通常這種會稱作”滲透測試員(penetration tester)“,這些測試員的角色就是作為攻擊者進行攻擊讓企業可以更加了解自己內部系統是否存在任何漏洞或是可能探索出新的系統弱點,從而讓執行決策人員可以獲取更多資訊像是
- 駭客有多大的機會可以存取到公司內部資源?
- 如果駭客攻擊成功後能做些什麼事?
- 如果駭客攻擊成功後會發生哪些最糟糕的結果?
而讓企業內部的網管人員學習滲透測試類型的攻擊訓練我想是能夠讓防禦方、系統管理人員以及開發者都能受惠的,正如《孫子兵法-謀攻篇》說:「知己知彼,百戰不殆;不知彼而知己,一勝一負;不知彼,不知己,每戰必殆。」
