如何像黑客一样思考？荷兰ABN AMRO银行来支招

黑客……

也许是排行前五最为神秘职业之一，其它有忍者、海贼和国际间谍。

我儿时曾想成为Indiana Jones或者James Bond，因为他们有着叛逆血性，打响正义之战——至少当时年少的我是这么认为的。

组织例如“Anonymous”（匿名者）——在纽约被称作“面具复仇者”（成员戴着电影"V字仇杀队"主角所戴的面具），他们披上了杰出却又危险的外衣。凡事必有因。作为一个有着根深蒂固叛逆思想的人，时至今日，我仍旧非常想成为一名黑客。

事实上，大部分现在实施网络犯罪的组织并不是我们想象中带着酷炫墨镜的黑人，或是为从机器手中解救人性的正义之士，亦或是住在父母地下室的叛逆青年。他们往往是有组织的犯罪集体或者是地方赞助的黑客组织。

不言而喻，这些组织本质上更为黑暗，而且有更大的破坏力。

2014年，因黑客攻击造成的全球经济损失高达五千七百亿美元，约占全球GDP的0.8%。而且，一家美国公司在2015年平均遭受的毁约损失高达六千五百万美元。对于任何一家企业，仅一次攻击，六千五百万美元都是极难承受的，况且这还是剔除了未来毁约的机会成本和用户信任损失的保守估计。对于中小型企业，尽管不知名，却往往是黑客袭击的目标，随之而来的高昂费用更是难以承受的。

所以企业有哪些手段来保护自己呢？

知名的荷兰ABN AMRO银行在此支招！

网上银行是网络安全忧患的重灾区之一，因为一次成功的攻击可以导致大量的信息泄漏。ABN AMRO常常面临着许多网络攻击，例如对网络银行客户的攻击、或者是拒绝服务攻击、甚至是投入病毒。这些网络攻击对于银行而言，基本每天都在发生，攻击形式也同步在不断变化。

于是，ABN AMRO成立了一整个CISO部门以确保运行环节的安全性和稳定性，内容涉及身份和登入管理，侦查欺诈的能力发展，风险评估，密码加密，风投安全管理和危机管控。

ABN AMRO所采取的策略对于其它企业开展网络安全保护战略有着重要的参考意义。

 
策略1:对于最薄弱的一环，你无能为力？









对于一个应用程序而言，哪一环的安全性是最为薄弱的？

A.跨站点脚本语言？

B.加密图形存储？

C.直连反应系统的排气道口？（星球大战电影死星）

D.人？（即用户和雇员）

如果你选C，那么估计你看了太多星球大战电影了！

如果你选A或B，你就是个书呆子！

如果你选D，那么恭喜你回答正确！

人对于任何一个应用程序而言都是最大的安全隐患。无论是从内部，针对于员工；还是从外部，对用户而言。公司可以采取多种途径以减少人为损失。带来的安全隐患——员工培训、更新员工手册、告知用户和请他们更改密码或者是通过多重身份验证。

然而，最终黑客有着更多的方法来加剧其安全隐患。

黑客正逐步应用更为高效的钓鱼邮件、社会工程学和其它技术来诱骗运气不好的用户与雇员。说到底，这还是个数字游戏——三千七百万Kaspersky网络安全软件用户在2015年遭受钓鱼攻击。类似ABN AMRO的公司可以有效地提醒并训练其多达90%的用户和员工，它的确也这么做了；但黑客正散播数以万计的钓鱼邮件和其它攻击手段，他们只需要一封打开的邮件以进行一系列攻击——实际上，大约23%的收件人都会打开钓鱼邮件。

我们于此学到的不是我们应该用精心编程的机器人来代替用户和雇员——毕竟它们也可能被骇入——我们应该做的是不要担保任何事物都是安全的。

尽管提醒并训练用户和雇员能力是值得提倡的，但这仅仅也只是多加了一层薄薄的保护膜而已。不同于寄希望于“模范”用户，ABN AMRO相应也为不良用户进行了计划和准备。墨菲定律特别适用于网络安全领域——会出错的总会出错。

策略2：无需“固若金汤”









在理想环境中，每家公司都有无限的预算与人工，为的是将其应用程序打造成电子版的诺克斯堡（一个美军军事基地）——固若金汤。但现实毕竟不同于理想，尤其是刚成立的企业，甚至是大型银行，往往是有限的员工在有限的预算内进行安全架构优化；同时分配给网络安全的资源也会被产品研发或者是公司的其他领域所占用。

所以一家企业该做什么呢？

选项如下：

l 
A.意图将企业建成电子版“诺克斯堡”！将有限的预算全投入应用程序保护上，然而没人将会用你的产品，因为你没有资金支持你的产品开发。
l 
B.在黑客面前丢盔弃甲，充满负面思想并和恶魔做交易。给予黑客所有你保护的数据和资产。
l 
C.放弃将企业打造成“诺克斯堡”的想法。相反认识到打造一个毫无弱点的应用程序是几乎不可能的，努力去理解你应用程序的弱点并相应开发安全和侦查机制才是关键。
ABN AMRO采用了C方案。与其浪费所有资源只为了一个近似绝对安全却不可用的安全银行程序，他们选择专注于打造兼备安全性和可用性的程序。

举个例子，ABN AMRO去除了多重验证流程——尽管这使得程序整体更安全，但也显著降低了其可用性——相反，他们利用资源侦测银行账户潜在的欺诈活动，以防黑客黑入银行系统。

尽管这意味着他们打造的应用程序确实存在弱点，但ABN AMRO通过培训员工早期发展到理解应用程序弱点存在区域以弥补安全漏洞，目的是能监测到网络攻击并提前预防。

Fabien Casteran，ABN AMRO的信息安全管理的领头人，简洁地提出：

黑客喜欢采取最省力的方式。想象一下，你有一道加固的前门和一扇未上锁的后窗。强盗会选择翻窗入室。所以我们要以黑客的思维来思考。

因此，ABN AMRO知晓哪儿最可能出错、有多大的可能性会出错，之后以此决定投入资源提高安全性还是监测服务。

策略3：雇佣黑客









尽管期望你像黑客那样思考——但对于我们这些不是黑客的人，仅仅是个电脑用户界面的麻瓜，怎样以黑客的思维来思考？

道德黑客（Ethical Hacker）社区是由雇佣的安全顾问来测试企业网络安全的网站——他们甚至有资格认证证书“通过利用渗透测试技术，评估计算机系统安全性得到的证书。CEH（Certificated
Ethical Hacker，道德黑客）测试代码为312-50”，该证书由国际电子商务顾问委员会颁发。

ABN AMRO雇佣的黑客团队来测试其应用并发现漏洞。尽管该方法的有效性仍待验证，且不是所有企业都有能力聘请白帽专家，因为聘请费用很高。但学到的经验是一样的：以黑客的视角，而非局限于编程人员的思考模式来测试，这十分重要。

策略4：做调查，之后让机器人为你代工









经由不同途径，黑客每天都在对ABN AMRO发起攻击。这意味着每天ABN AMRO都要面对种种新型攻击和需要维护的新领域。因此，ABN AMRO需要未雨绸缪，不仅仅是像黑客那样思考，更是要领先黑客一步。

为了保持优势，ABN AMRO在新型网络安全技术的研究与开发掷以重金。尽管他们在内部做部分研究，他们同事也是荷兰唯一一家直接与IBM Watson工作的银行——IBM研究专注于人工智能——为了更好地监测欺诈。

ABN AMRO正与其合作研究，试图找寻利用人工智能提升算法的途径，在黑客变化多端的攻击方式下以适应、继续监测欺诈。这些监测欺诈算法中甚至有的已取得专利。

比黑客棋胜一招对于任何网络安全战略是极为重要的。同时，人工智能代表了网络安全科技下一个新边界。

我们应该向ABN AMRO借鉴什么呢？无论你拥有的资源是多还是少，你的应用程序总有可被黑客利用的弱点。

最好的保护手段不仅仅是继续提高安全性，更是在发现、理解弱点上投入时间和资源。

本文由漏洞银行（BUGBANK.cn)小编
 Linix 翻译，源文译自thenextweb.com。

作者：Linix

链接：http://www.bugbank.cn/news/detail/57e8937446acea9211f09fb8.html

来源：漏洞银行

著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。