是教你看清世事。
免得你被賣了,
還在幫人數鈔票!
我不是教你詐,
是教你認清人性。
不可因為他們的好,忘了他們的壞;
不要因為他們的惡,忘了他們的善。
劉墉(1949年2月-),原名劉鏞,號夢然。
有關「人生、處世散文」之著作有:
* 《人生的真相》1992年
* 《冷眼看人生》1993年
* 《我不是教你詐》1995年
* 《我不是教你詐②》1996年
* 《我不是教你詐③》1998年
* 《你不可不知的人性》、《面對人生的美麗與哀愁》1999年
* 《你不可不知的人性②》2000年
* 《我不是教你詐④》2001年
* 《那條時光流轉的小巷》2002年
* 《人就這麼一輩子》2003年
* 《點滴在心的處世藝術》2004年
* 《花痴日記》2005年
* 《以詐止詐》2006年
* 《我不是教你詐⑤》2007年
第一次看《我不是教你詐》一書,是在學生時代,那時也剛好是第一本書出刊的時候,看到室友向圖書館借的書,也就一同分享了,看完只是覺得...好黑暗,果然大家都說「學生時代交的朋友,通常能夠永久」,畢竟學生時代還是單純的,且彼此認知與學習環境也相似,因此,對於「人性」仍然是茫懂。後來又接觸了另外一本書《厚黑學》,當時只是覺得不可思議,甚至,感到有些不屑,因為這跟所學完全不同,也是完全不同的思考邏輯,況且,哪時我只堅信「仁者無敵」,唉...當時年紀小。
該回到正題了,網際網路的世界呢?你知道網路上的陷阱嗎?你有嘗試去了解網際網路的黑暗面嗎?網際網路上的黑暗經濟是很盛行與強悍的。如果你是網際網路使用者,你應該多吸收資安訊息,如果你是 IT 從業人員,你得深入剖析,並思考可能因應之道才行。就像《我不是教你詐》這類書籍,也許你可以不用成為那一類的人,但,你應該了解他們的所作所為,並且,避免被牽連或波及的。當身處亂世時,得要有亂世的處世之道才行。
今年,應該說每年,台灣有幾個比較大所謂的資安技術年會或駭客年會,如 HIT 或 SyScan,這些大型資安技術活動都在七月份舉辦,而且都在北部,中南部的朋友就會比較辛苦點了;在國外最知名的應該就是 BlackHat / DEFCON 了。你對這類活動抱持甚麼態度或想法呢?
在 BlackHat/DEFCON 中,兩會議性質或許略有差異,參加者大多仍以資安或 IT 廠商、檢警調與軍方、資安研究人員、資安"社群"為大宗。如果在會場上夠活躍,可以認識相當多的同好者,且應該會連打招呼的時間都不夠的,慢慢的也就演變成為一年一度的盛會,也可順便見見一年不見的朋友,或兩三年不見的老友了。彼此談談過去一年的生活點滴、研究心得、威脅轉變、趨勢變化...等等,即便短短數天的會議,除了會議上的議題,還有更多非會議議題上的收穫,這是難能可貴的。
坦白說,我對 Hacking 技術的會議或論壇仍然沒有太多好感,因為這類技術對所謂的防守方或 IT 人員來說,並沒有太大的推廣,更重要的是,也沒有帶來解決方式或防禦措施。另一方面是對於地下經濟而言,這類活動卻像是大補丸一樣,他們會處心積慮的收集各種攻擊技巧、資安觀念、技術學習能力(或用流行話語:山寨能力)...等,而完全不需要自主開發,依樣畫葫蘆就能收到極佳效果了,甚至有的地下團體間,還處於彼此激烈競爭情況。相較於防守方或 IT 人員默默不聞或遮耳閉眼,有著完全相反的心態,防守方並不積極於這方面的知識吸收外,也沒有相對應的資安觀念,更嚴重的是連這方面交流管道都沒有。兩相比拼,一漲一消,高下立判。
對於資安技術年會或駭客年會,你應該有的心態:
1.了解最新的攻擊技術或未來可能的攻擊技術。
要學習最新的攻擊技術,參加會議當然是最直接的方式,對舉辦資安技術年會或駭客年會來說也是最主要的目的,但對你來說,沒有參加也不見得學習不到最新的攻擊技術,因為大部分的會議通常都會提供講師的簡報檔,如果有些門路,通常都可以拿到的。或者,網路上找找,通常也會有些收穫的。另外一個角度想,參加也不見得能完全吸收攻擊技術內容,因為有許多議程,也有需多主題與各方面的技術,很多時候也不見的能完全聽懂,如果不是你所了解、熟悉的技術內容,哪要聽懂也頗困難。至少,你應該要知道有這方面的攻擊技術是可以被利用的,而你的環境中是否會受此影響呢?這是關鍵。
2.攻擊技術是否被惡意利用。
有時資安技術年會或駭客年會也會有講師提出警告,或提出可能如何被利用的新機會,而地下經濟也會透過這類活動學習到新的攻擊技術或手法運用,這也是我對這類活動感冒的地方,因為,你無法控制別人如何拿去利用的。所以,你也必須思考這些攻擊技術或活動,對你的 IT 帶來多大的影響。就像一把手槍一樣,做槍的人沒事,亂開槍的就有事。
3.攻擊趨勢研判。
研判趨勢,說真的,並不容易。但你應該嘗試去研判,因為在做定論前,你會去學習、蒐集、分析、研判...等,而重要的也是這個過程,你會深入了解各種攻擊手法或利用方式,最後才能找出可能趨勢,它重要的是過程而不是結果。對於趨勢的研判,其本身也是很主觀的,且外在威脅變化也頗快,有時說公開的威脅趨勢可能也會導致破局的,所以,大家都有機會去預測的。
4.對於被利用的攻擊技術如何防範。
這點大多在會議中通常不會是重點。所以你得自己消化後,產生出一些防禦想法、抑制方式或偵測措施。或者可以在會場上與講師討論,或者與志同道合的盟友,共商復興大計。
5.交流、交友、交技術。
我認為這是最重要的,當然不一定是要跟講師交朋友的,可以當然是最好,要跟左鄰右舍的交個朋友才是重點,因為,會來參加這活動的,都是同圈子的人,彼此也能技術交流,更重要的是:你多了同圈子的夥伴,而這夥伴可能精通 FW, IDS, IPS, AV, WAF, UTM, Network, System, Coding, Hacking ... 等等,其一或更多或特殊稀有專長,做資安如果要單打獨鬥幾乎是不可能的,多認識朋友將會在做資安工作上極大的助力,我認為參加這類活動,你應該有的最基本心態。所以,不要吝嗇跟會場接觸到的人交換名片,因為,這將是你此行最大收穫。
另外,就是會議上的議題,或其他熱門的資安議題,都是打開話匣的題材,或交換彼此工作心得,或分享個人專長密技。這些都可以讓你可以交上朋友的。當日後遇上難解的問題、技術上的迷思、防禦上的困境...等等,你會發現資安路上不是只有你一個人的,多個朋友、夥伴,可以讓你更能得心應手的。
沒有留言:
張貼留言