最近Dave Aitel 一直在思考这样一个问题:有组织的网络犯罪集团和一般从事渗透性测试的商务企业之间有什么区别?
安全软件制造和免疫咨询的首席技术主管和创建人Aitel,在最近的博克中写道:"既然一个公司拥有一笔相当大的预算,专门的基础设施与一群富有经验和技术高超的员工,但是为什么他们中的那么多人在对抗中却像软弱的初学者呢?事实上,给一个人很多的钱和很大的使命去解决一件事却常常给了他们一个很好的理由变得懒惰且碌碌无为。"
"针对不同等级的六大规则"也由此应运而生,Aitel指南像有组织的网络犯罪集团一样把一小群安全卫士转变为一个邪恶且卑劣的黑客机器。
规则一:"如果你不能确保在它出现问题而不能工作的时候成功地进行调试,那么就不要使用该工具"。 Aitel 说:"总是有因为使用者的原因而致使一些工具不能工作的情形发生。 你和目标对象之间的网络复杂化在未来总是发生。如果你的对象,例如一台扫描仪有一个主机防止侵入系统,你还是可以使这些不安全代码执行,但是如果你从来没有将这些代码写入(目标对象),你就不能(使这些工具正常工作)。"
规则二:不要将攻击拆散了研究。这个规律是Aitel在@Stake工作时产生的研究结果。安全公司成立了一个研究小组,但是他们孤立于顾问小组。Aitel说,最后的结果是,这个研究小组经过几年研究的事情对他们手头上的工作毫无帮助,于是最终还是结束了这项工作。
规则三:成立一个可以8小时以内进行打击容易或者时间紧迫攻击的快速反应小组。Aitel说:"最好可以对不同的事情拥有不同的分析人员,对于长期分析小组,我更倾向于快速反应小组方面, 但是我们用于两方面的工作人员"。
规则四:内部应重视技术。Aitel说:"研究资金最好投资在你所拥有技术上,那些有风险的技术你可以马上丢掉。"
规则五:与其他可以写危险代码的人成立技术合作伙伴关系。Aitel建议:成为安全研究团体的一员,这些安全团体经常出现在一些协会、邮件列表或者RIC(实时接口处理器)频道中。
规则六:一个小组一个任务。Aitel说:通常情况下人们喜欢只在Windows或只在Unix下工作,但是这样不是一个通向成功的好办法,应该找到那些能通用所有系统的人。