在信息安全領域，人們常常被要求“像黑客一樣思考”。但是問題是，如果你想到的只是一個非常狹義的黑客（例如，只會攻擊Web應用程序的黑客），那么它可能會對你的思維模式和業務開展方式產生負作用。

俗語有言“一知半解，害已誤人”，孤立的事實并不能很好地呈現事情本來面目。正如傳奇投資人Charlie Munger曾經所言，“如果你只是記住一些孤立的事實，那么你不能真正知道任何事情。如果不將事實與心智模型的網格聯系在一起，你就不能使用它們。”

你必須建立自己的心理模型。而且必須將你的間接和直接經驗排列在模型的網格上。具體來說，如果有一些學生只是嘗試記住一些事情并回想所記住的內容，那么他們在學校和生活中都是失敗的，你必須將經驗放在你頭腦里心理模型的網格上。

當然，站群服務器，不僅僅是建立心理模型就可以了，你還必須要有多個模型。因為如果你只有一兩個可以使用的模型，那么人類的本性會使你將現實歪曲，使其適應你的模型。就像諺語所說：“對于一個拿著錘子的人來說，一切問題看起來都像釘子。”這對思考來講是一個巨大的災難，所以你必須要有多個模型。

對于安全專家而言，這一點是值得銘記的。

當我們觀察一個（成熟的）安全專家的思維過程時，我們會發現其中包含許多心理模型，不僅涉及黑客攻擊或更廣泛的攻擊技術，而且還涵蓋了具有更廣泛應用的原則。

下面就讓我們一起去了解一些一般的心理模型及其安全應用：

1. 轉化、反轉

當困難的問題發生反轉(Inversion)時，它們就能得到最好的解決。研究人員非常擅長利用反轉系統和技術來說明系統架構師應該避免什么問題。換句話說，僅僅考慮所有可以保證系統安全的事情是遠遠不夠的，你應該考慮所有可能會導致系統不安全的事情。

從防御的角度來看，這就意味著你不僅僅要考慮如何取得成功，而且還要考慮如何管理失敗。

2. 確認偏差

心理研究發現人們存在著確認偏差(confirmation bias)，即一旦人們形成先驗信念，他們就會有意識地尋找有利于證實先驗信念的各種證據。我們發現，這種確認偏差在應用程序、系統乃至整個業務中都已經根深蒂固。這就是為什么2名審計師可以評估相同的系統，并就其充分性得出截然不同的結論的原因所在。

從防御者的角度來看，確認偏見是非常危險的，因為它會蒙蔽真實的判斷結果。這一點也總是被黑客所利用。例如，人們經常會淪為釣魚郵件的受害者，因為他們自認為自己太聰明不會落入攻擊者陷阱。但是得知現實早已為時晚矣。

3. 能力范圍

大多數人都有一個（或至少一個）自己非常擅長的領域。但是如果你超出這個領域對他們進行測試，你可能會發現他們并非面面俱到。更糟糕的是，他們甚至可能對自身的無知一無所知。

當我們把安全視為一門學科時，我們意識到它并不是一個單一的東西，它由無數的能力領域組成。例如，社會工程師具有一個獨特的技能，使其與具有遠程訪問SCADA（數據采集與監視控制）系統的專業研究人員區別開來。

一個工具箱中擁有的工具數量并不重要，更重要的是知道自己能力范圍(Circle of Competence)的界限在哪里。正如華倫·巴菲特所言：“你必須找到你自己的能力是什么。如果你玩其他人玩得好的游戲而你不會，你就會輸。這能夠盡可能地接近一些任何你可以做的預測結果。你必須弄清楚你的優勢在哪里。你必須在你自己的能力范圍內玩”。

所以，建立安全團隊的經理必須對團隊中的個人進行評估，并建立本部門的能力范圍，這可以幫助企業直觀地確定哪些領域是亟待填補的空白領域。

4. 奧卡姆剃刀定律

奧卡姆剃刀定律（Occam's Razor）意思是“簡約之法則”，即如果關于同一個問題有許多種理論，每一種都能作出同樣準確的預言，那么應該挑選其中使用假定最少的。盡管越復雜的方法通常能作出越好的預言，但是在不考慮預言能力的情況下，前提假設越少越好。

這個“簡約之法則”在很多方面與安全存在聯系。例如，通常情況下，黑客會使用簡單的、經過測試和驗證的方法來危險企業系統網絡，這些方法包括停車場被感染的USB驅動器，或者偽裝成財務部門的魚叉式釣魚郵件等。

雖然攻擊者也有很多復雜且先進的攻擊手段，香港免備案主機 美國服務器，但是這些攻擊手段不太可能適用于大多數公司。通過使用奧卡姆剃刀定律，攻擊者經常可以更快、更輕松地攻擊目標。所以，為了“像黑客一樣思考”，在防御方面也可以／應該使用相同的原則。

5. 二階思維