在本屆RSA 2013信息安全大會(huì)上，將討論一個(gè)很有趣的話題“Internet GUN CONTROL – Are Pentesting Tools Good or Evil”，互聯(lián)網(wǎng)“槍支”管控——滲透測(cè)試工具是上帝還是撒旦?

現(xiàn)在許多企業(yè)為了確保自己公司網(wǎng)絡(luò)的安全性，會(huì)聘請(qǐng)專業(yè)安全公司對(duì)公司網(wǎng)絡(luò)進(jìn)行檢測(cè)。而檢測(cè)的方法之一就是對(duì)公司網(wǎng)絡(luò)進(jìn)行模擬攻擊測(cè)試，此時(shí)就需要使用滲透測(cè)試工具了，借助這類(lèi)工具可以對(duì)用戶網(wǎng)絡(luò)或者其IT平臺(tái)進(jìn)行評(píng)估。

不過(guò)，有些時(shí)候滲透測(cè)試工具卻會(huì)被惡意攻擊者所利用，惡意攻擊者會(huì)使用滲透測(cè)試工具來(lái)發(fā)現(xiàn)被攻擊目標(biāo)網(wǎng)絡(luò)、系統(tǒng)缺陷，并藉此發(fā)動(dòng)攻擊。

滲透測(cè)試工具猶如現(xiàn)實(shí)世界里的槍支一樣，當(dāng)其為正確的人所掌控時(shí)，可以幫助維護(hù)網(wǎng)絡(luò)世界的安全?？僧?dāng)其被惡意攻擊者掌控時(shí)，滲透測(cè)試工具將被爆發(fā)出驚人的破壞力。如何才能更好的對(duì)滲透測(cè)試工具進(jìn)行管控，是一個(gè)需要好好考慮的問(wèn)題。

另外，本屆大會(huì)上還會(huì)討論有關(guān)安全意識(shí)培訓(xùn)的話題?，F(xiàn)在對(duì)于安全意識(shí)培訓(xùn)人們有完全相反的兩種觀點(diǎn)：贊成，反對(duì)。贊成者認(rèn)為，適當(dāng)?shù)淖罱K用戶安全意識(shí)培訓(xùn)是保護(hù)用戶網(wǎng)絡(luò)、系統(tǒng)安全的重要一環(huán);反對(duì)者認(rèn)為安全意識(shí)培訓(xùn)是在浪費(fèi)時(shí)間，最好的安全解決方案就是以技術(shù)控制的方法來(lái)保護(hù)用戶。

有一件事實(shí)是人們都要承認(rèn)的：正是“人”的各類(lèi)行為引發(fā)了網(wǎng)絡(luò)系統(tǒng)里的安全問(wèn)題，所有安全產(chǎn)品、安全解決方案其最終目的其實(shí)都是為了解決網(wǎng)絡(luò)系統(tǒng)里“人”的問(wèn)題。那么僅僅從技術(shù)層面是否能夠解決由人所引發(fā)的一切安全問(wèn)題呢?意識(shí)層面的工作是否真的無(wú)用?還是現(xiàn)有的意識(shí)層面工作還無(wú)法達(dá)到理想的效果?也許安全意識(shí)培訓(xùn)企業(yè)可以考慮與心理醫(yī)生合作，借鑒心理醫(yī)生的工作模式。

在愈演愈烈的社交網(wǎng)絡(luò)攻擊面前，“人”的因素變得更加凸顯，相應(yīng)的各類(lèi)安全產(chǎn)品、安全解決方案也需要加重與之相關(guān)的功能、解決方法。