好的研究想法,兼顾摘果子和啃骨头。两年前,曾看过刘知远老师的一篇文章《好的研究想法从哪里来》,直到现在印象依然很深刻,文中分析了摘低垂果实🍒容易,但也容易撞车,啃骨头难,但也可能是个不错的选择。同时也给出寻找好的研究想法的几种方法:组合法、类比法、实践法,兼顾摘果子和啃骨头。
不仅学术界需要好的研究想法,工业界也需要一个好的工作想法。学生年代,作为老师的一个不成器弟子,学术上没有什么建树,幸运的毕了业。现如今到了工业界摸爬滚打,虽然换了个环境,但是发现生存的道理没变。
不好的工作想法会加剧“卷”的用户体验。初入团队,寻找自己的立足点,需要一个好的工作想法。每年末,抓耳挠腮做规划,想要憋出一个好的工作想法。很多同学,包括我自己,陆陆续续零零散散想到很多点,然后自己不断否掉。因为这些点不是被做过了,就是啃骨头,继而感慨:太卷了。这样的工作体验确实很糟糕。
沿着你造梦的方向先动手干起来。一年前刚开始决定做攻击者画像的时候,其实心里有底也没底。有底是因为就像腾讯围绕人,做了互联网+人,有了微信,阿里围绕电商,做了互联网+电商,有了淘宝,字节围绕信息流,有了抖音、西瓜视频。安全当然离不开人,离不开攻击者,相信这一点就够了。没底的原因,是攻击者只是个起点,具体落地的链路和价值尚不清楚。就像现在的产业金融优化的是供应链条一样,链条越长,价值损耗就越严重,链条越短,价值传导的就越高。当你不确定的时候,不妨先动手干起来,沿着对的大方向前行就错不了。
确定性的存量和不确定性的增量。一年后,当摸清楚了攻击者画像整体框架的时候,剩下的就是细水长流,持续投入时间迭代即可。不折腾新东西就很难受,这时候,面临的很直接的问题就是,下一步做什么新的不确定性的东西,既要考虑自身的延续性,又要考虑和之前工作的连贯性。
尝试空间顺序推导工作想法。想了七八个点,都不满意。仔细思考一下,发现很多是东想一点西想一点,很零散,没有内在推导逻辑,论点当然很难立的住。其中有一个点当时认为还不错,是做攻击者画像的反方向,攻击者画像是从黑样本角度从十几个维度把攻击者数字化掉,那按照逻辑顺序中的空间维度推导逻辑,就可以做反面从白名单角度数字化正常用户,把一个人的设备、(域)账号、ak账密、ip、nat、netstat、浏览器行为、机器上行为等全部关联刻画,目的和攻击者画像倒是一致,以人为本,做人这个点。但是优点是理论上终态可以做到用户可信,缺点是太过深挖一个点,会导致陷入细节,考虑到投入回报比,还是抽身出来。
具体如何找到好的想法,一时半会没有头绪。因此,回到最初的起点,从人的层面,我有什么?我想要有什么?最后,我用起点、关键路径、终点三个自带时间顺序的维度,再加上不可逆的时间轴半个维度,加起来三个半维度定义一个工作人,分别对应:思维、技术、业务和工作时间。终点即业务,你想要长期做的事是什么,或者更直接地来说,你想要给自己贴什么样的业务标签以及让别人给你贴什么样的业务标签,不能太宽泛,比如给你贴威胁对抗的标签是没有太大意义的,也不能太具体,比如攻击者画像,只是一个点。像反入侵、流量安全这些点既具体,又可以是长期工作,是可以考虑作为终点的。关键路径即技术手段,我想要长期经营的是安全、数据和算法,这点很明确。从个体的模型思维到组织的连接思维。思维是起点,决定了不同的人用不同的技术达成不同的业务目标。从最初的依赖期,成为别人的下游,到之后的独立期,总结出模型人生的方法,优化自身这个个体,到现在的互赖期,和其他个体互相连接。意识到组织是一个复杂网络,个人层面的连接的多少,决定了存在感、不可替代性的程度,团队层面同理。就像互联网+的本质就是连接,连接人、连接信息流、连接商品、连接产业,连接万物,万物互联。组织的本质也是连接,连接人、连接事、连接数据流。
从事的层面,用四个维度来定义:起点、关键路径、终点和时间轴。起点是人,有内鬼、黑客、黑灰产、员工等几类。具体路径有很多,如入侵、越权查询和遍历,亦或是正常的业务功能,很难穷尽。所以我把关键路径归纳成了三种行为:误用、滥用、窃取,保证路径彼此之间不重不漏。终点即我们的最终目的是保护数据和资金的安全,而不是是保护服务器不被入侵,目的和手段不能搞混。上面从人的层面我们说反入侵是目的,这里从事的层面说反入侵是手段,其实不矛盾,因为人的层面我们目的是修炼核心技术能力,而事的层面,是要借助人的核心能力持续带来商业价值。
起点、行为、终点三个维度排列组合起来,大约能构成4*3*2条全链路,每条攻击路径至少包含3个节点和2条边。比如内鬼-》滥用、窃取-》数据、资金;黑客-》入侵-》窃取-》数据、资金;黑灰产-》业务敏感入口-》滥用-》数据、资金;员工-》常规敏感行为-》误用、滥用-》数据、资金。对应的防守方可以在关键维度的关键节点和关系搞事情,人员侧的安全意识培训、黑客画像,权限侧反入侵,行为侧的反窃取资金行为、反滥用数据的数据安全敏感行为审计,终点侧的反洗钱、反欺诈、反窃取数据。四层的逻辑上的纵深防御,理论上只要在一层cover住,风险就可以无限小。而攻击者画像在做的事情就是黑客节点、黑客节点到窃取节点之间的边,是版图中一条路径中的上游部分。
按照这个排列组合视角看事情。当前数据安全风险感知项目属于员工误用和滥用数据这条路径,资金安全防窃取项目属于黑客窃取资金路径,技术风险部在做的资金安全属于误用和滥用资金路径。这样就很容易能对号入座推导出其他人其他团队在做事项在版图中所处的位置,一一对应后,还没被卷到的工作想法呼之欲出。
三维排列组合还不够,防守方视角还可以再交叉一个事前事中事后的时间维度,所以做的事情又可细分为:普通员工误用数据的事前检测、事中感知、事后溯源三个点,每一个点都是独一无二有自己定位的点,简称“不卷点”。再结合上面说的人自身三维+时间半维具体情况的充分条件,个人就很可能有好的工作想法。
从个体的发展到组织的发展,组织也需要好的工作想法。威胁对抗方向和组织天然自带事中的时间轴属性和事终的目的属性,这是相较于其他方向和组织最大的特色,无论是攻击者或是其他组织,想从此路过,留下买路财。也就是说,很多事想要做、做成,必然需要威胁对抗的支持,绕不开的,除非是完全事前的横向项目,但这也需要和威胁对抗进行平级衔接。这么看来,抓住事中和事终,至少可以做成本方向独立的事,如果想再上一层到安全团队层面,就需要和其他方向和组织合作对接。向下一个层级的要求,向上一级组织的视角去做事,是倍速成长的必然途径,也是水到渠成的基础条件。这里有个误区是组织倡导的相信晋升是水到渠成的,是好事,相信水到渠成是幸福晋升的基础。但只相信是不够的,还要以下一个层级的要求来要求自己并践行。否则最后可能会怀疑组织倡导的价值观,继而打破平衡去卷,无论晋升成功与否,都会焦虑。
好的研究想法从哪里来
杜跃进:数据安全治理的基本思路
来都来了。
