Roger Johnston: 没有忧患意识的人们在进行漏洞评估时。首先,他们让现有的安全基础设施、安全硬件及安全策略来定义漏洞问题。比如:假设有一个栅栏,他们会考虑不法分子通 过栅栏的可能方式。但是,这种做法现在已完全落后了。现在,我们需要考虑的是不法分子目标所在,然后再决定我们是否真需要设置一个栅栏。其次,这类人往往 总不想努力找出问题,仿佛只是没到找到问题,也就不存在问题了,完全是种鸵鸟态度。
Scalet: 如果他们发现一个问题,那么他们不仅可能使自身陷入困境,而且他们还会给自己创造更多麻烦,对吗?
Roger Johnston: 绝对是这样的。其实在许多情况下,问题修复方式往往非常简单的,但企业常由于害怕将事情搞砸而很不愿意着手去做。因此,对于那些做过漏洞评估而却告诉你一 切情况正常的人,你不会有跟他一起合作的欲望。事实上,无论如何,事情总是会存在一些漏洞的,而且它们往往以大批量方式出现。任何单为发现零日漏洞而进行 的漏洞评估都是完全无用的。
Scalet: 您每次着手进行漏洞评估时,为能深入了解不法分子的心态,事前总会做很多准备工作吗?
Roger Johnston: 许多漏洞评估必须是非常类似于一流脑力作业。在其它领域用于创造性思维的大多数工具都可直接应用于漏洞评估。这种说法也许有几分过激了。多数安全业界人士都不适应这种上世纪60年代过于情感化的嬉皮士方式。
Scalet: CSO也应如此吗?
Roger Johnston: 你不想要那种只呆在办公室中的老板,那种环境往往抑制了人类的思维。你所需要的是真正的奇思妙想,因此我们坚决鼓励人们多加思考,任凭你天马行空地发挥想 象力。早些时候,对于这些奇思妙想采取保留意见态度就已极为重视了;后来,我们会将它们分优先级,考虑它们的可行性。在许多案例中,我们会听有人说"是 的,如果我能通过激光束让太空外星人从天而降,他们就能这么做。"再后来,一旦我们去除了太空外星人和激光束这两词,这些想法就转化为极具可行性攻击。
Scalet: 这需花多少时间,几小时?几天?几个星期?
Roger Johnston: 视情况而定了。如果你正考虑一个极为复杂的安全计划,你可能花两至三周时间也没做一点事。不过,你不能干坐着只动脑不动手。若是你偶尔有了奇思妙想,接下 来你应着手将这想法在系统或硬件进行实施中,试试看看这些想法是否可行,是否会产生一些价值。接着,你可再回头基于你所了解到的内容想出更多疯狂构想来。 我们非常支持亲自实践作业,而不仅仅只是抽象地进行思考。
