在过去的几年里，我印象最深的一件事是对安全性的新关注，即成本和风险之间的平衡。如果成本超过被利用的风险，则不应实施安全解决方案，并且成本和风险都很难诊断。

我最喜欢这个核心概念的一点是，它基本上要求没有“一刀切”的解决方案。设计安全性与设计解决方案或软件一样是一门手艺。它提供了（1）无知和（2）纳粹之间的中间立场。

当向刚接触安全的观众展示它时，我喜欢把它作为一个挑战提出来——挑战是在合理的范围内制造一些安全的东西，以实现它的目标。极客喜欢拼图，当您开始着手时，这是一个非常酷的拼图。

如果我有我想要的所有资金和时间，我会为本科和研究生课程设计一个安全集中，将安全主题作为一组谜题引入。我会从“导致使用这项技术的问题是什么？”开始，然后是“这项技术是如何工作的？” 和“它会导致什么问题？”

就问题而言：

您认为学生和毕业生对什么感兴趣？

他们想要有意义的工作，并有机会在该行业找到一份好工作。我认为安全可以作为两件事来呈现。如果你认为安全不是一直说“不”，而是想出聪明的解决方案，让人们高效地完成工作，但对业务的风险很小，那么我认为这项工作非常有意义。此外，我从不缺少安全书呆子的工作，所以我总是很高兴从个人经验中谈起。

什么在您的公司/大学/组织中起作用？

我可能是个异类——我为国防承包商工作。安全是我们企业文化的一部分，以至于我无法想象没有它的世界。不过，我最常发现的事情是，极客们在死记硬背的过程中很糟糕——而且安全（尤其是物理安全）的很多方面都需要严格遵守安全细节。在某种程度上，我可以激励人们找出“工程证明”的方法——例如——“你能做些什么来确保你在深夜把安全的东西锁在大金属保险箱里？ " 有时人们会想出非常有创意的解决方案。

对你来说最大的胜利是什么？

就个人而言，我喜欢挑战。我喜欢让安全的事情发挥作用，而安全是乐趣的附加部分。当新工程师开始像安全书呆子一样思考时，我也非常非常喜欢看到灯亮起。我喜欢我的企业文化的一件事是，帮助其他人为自己考虑安全问题是工作和社会契约的重要组成部分。

你厌倦了听到什么？

我有点厌倦了被告知规则是“愚蠢的”。它们可能很乏味，但是如果您认为它们很愚蠢，那么您通常看不到足够大的图景。

可悲的是，另一方面，我也厌倦了被告知高度安全的工作环境的要求意味着某人不能快速行动。安全不等于慢，尤其是当我想知道慢的唯一原因是不是繁文缛节时。

好吧，我当然可以说出我对“学生精神”的看法，因为我也不关心（或不够关心）安全性。加上我比我的学生朋友更多地参与安全的事实，你可以知道这是怎么回事。

我遇到的主要问题很简单，就是在学校里，你被告知东西是如何工作的，以及你应该如何在性能方面做到这一点。你没有被告知的是你永远不应该在安全方面做的事情。此外，课程非常紧凑，以至于您实际上是在跳来跳去尽可能多地覆盖，但没有真正进入一个主题。

在学校，我们为最终文凭做了一些项目，但你只能在时间计划、项目完成和工作状态方面得到评分。从来没有对您的安全问题进行评级。即使是最原始的 SQL 注入或 XSS 尝试，您的项目也可能容易受到影响，并且您仍然可以获得满分 60 分（或 1 分，或 A+，具体取决于您所在的国家/地区）。

所以我认为问题不仅在于学生普遍不感兴趣，还因为学校没有向学生展示为什么它很重要，以及如何使用为更好的网络世界而发明的所有伟大的安全材料。我认为还有很大的改进空间。

通常，公司安全响应团队的演示文稿会吸引观众，无论观众是学生、管理人员还是开发人员。

事实证明，它在讲述不同的故事方面非常有效（它基于一个非正式的倡议）。其中一些故事集中在一些愤怒的开发者留下的后门，另一些则集中在一些无辜的“没有人会利用它！” 或者......当然，您将不得不展示这些不同的案例最终是如何被安全专业人员报告的，以及需要多少人月来解决这些问题。

鉴于上述故事，您可以展示漏洞利用，然后教他们弱代码不会消失，然后您介绍安全编程或威胁分析或......

部分问题在于安全无处不在：单独研究“安全”几乎没有意义。您必须在上下文中研究安全性。与“数据库”相反，在该数据库中教授有关该主题的学期课程是有意义的。我并不是说一学期的安全课程不好，只是说不够。我参加的计算机科学课程中的大多数课程本可以花一周时间讨论该主题的安全影响：

• 大多数数学课程：与加密货币相关
• 算法：加密
• 人机交互：安全、安全和可用性心理学
• 计算机架构：加密硬件、接口、对安全操作系统的硬件支持
• 操作系统：操作系统的大部分方面都与安全相关
• 等等。

实际上，我也上过商务课，它同样适用于那里：

• 业务管理：物理安全
• 会计：他们只谈论借方和贷方，他们不谈论为什么
• 组织行为：再次，安全心理学；企业文化

它几乎涵盖了所有内容。但教师们已经忙于尝试将课程中的所有信息打包给学生，让他们没有多余的时间花在“外围”上。这将是解决问题的一种途径：说服教师安全是他们在X课程中讨论的一个重要话题。

这个问题似乎与开发经理面临的相关问题没有什么不同：如何获得具有基本技能的毕业生，时期。一些大学教员非常关心这一点——与友好的教员交谈可以帮助将一些问题放在首位和中心。我与一位 CS 系主任交谈过，他很想听听毕业生对什么行业感兴趣。他的动机很简单：为了保持入学率，他需要毕业生找到好工作——父母不会把孩子送到毕业后最终失业的学校。如果他与当地公司的十几位校友和招聘经理交谈并听到同样的问题，他就是打算对课程进行调整。即使是终身教授也会因入学率下降而受到预算和人员削减的影响。

让毕业生具备基本技能的一种方法是雇佣实习生。我曾在几家公司工作过，这是一种常见的做法，而且似乎对双方都有效：实习生的技能更适销对路，收入高（与其他学生就业相比，比如披萨送货或零售），并扩展他们的个人网络；公司有一些具备基本技能的人，毕业后可以雇佣，而且招聘成本不高，实习生很便宜（与雇佣全职专业人员的成本相比）。不过，这不是免费的午餐——有成本：

• 您确实必须招聘实习生，面试，通过招聘等。
• 实习生什么都不知道，需要专业人员的大量关注才能提供帮助。
• 雇用整天上网或与朋友聊天的笨蛋是有风险的。

这是一种“自私”的做法：公司没有做任何事情来帮助整个行业，它只是帮助自己。但我认为它最终确实使该行业受益，因为它往往会提高毕业生人才库的技能水平。（事实上​​，我们在毕业后“失去”（未能聘用）几个实习生，而其他一些幸运的公司得到了一个训练有素的毕业生！）

我来自编程/开发背景。我在学校参加的一项活动是编程比赛。我看到 IISP 有学生会员；你们在各个学校都有学生分会吗？你能组织一些与安全相关的比赛吗？我不会随便推荐它——这将是很多工作。它甚至可能不会培养您正在寻求的特定入门级技能，但它可以提高您正在寻找的意识。请记住，只有当它有趣且具有挑战性时，它才是有趣的。

可能性：

• 团队竞相寻找给定软件包中的漏洞。变体：源可用，审核源代码。
• 团队正面交锋以渗透对手的网络。变体：
  • 施加限制，例如用户必须具有远程访问、无线等。
  • 恶意内部人员——对方团队控制您网络上的一个节点。检测并响应。
• 团队竞争分析恶意软件，部署对策。