如何衡量企业安全的效果? 2017-08-07 14:03

一、安全的价值

做安全最大的挑战,就是讲不清楚安全的价值。

业务可以用销售额和用户数来衡量;运维可以用稳定性指标,比如故障数来衡量;研发可以用bug数、服务器台数、扩展性、专利等来衡量。

但对于企业内部的数据安全和基础攻防效果,却很难体现出来。

数据安全、基础安全面临的问题往往是事件性的,很可能你什么都不做,但一年都不出问题;

也可能你花了很大力气,花了很多钱,却还是问题频出。

所以我们很难用单一的事件性指标来衡量数据安全做的好还是不好,这也是很多安全行业的从业者腰杆不够硬的原因。

他们也很难跟老板讲明白为什么花了钱了,还是不敢保证不出事。

时间长了,就衍生出两个行业陋习:

一是有问题不敢让老板知道。

很多公司做完渗透测试后报告就锁到抽屉里去了,还有一些外部报告的事件,有的很严重,但只要老板不知道,就偷偷处理掉,粉饰太平。

二是没有人愿意承担责任。

很多安全厂商都只对卖出去的设备功能负责,不对效果负责,因为他们实际上也负不了责,所以到最后就变成了没有人负责。

很多客户以为,买了设备和服务就不会出事了,就可以给老板交差了。

这其实是两码事,因为大家都在赌运气,已经没有人对安全负责了。

二、企业安全的黑暗森林法则

黑暗森林法则很适用于企业安全:一旦暴露在公众的视野中,黑客就会对你很感兴趣,就会找出来你的很多问题。

就比如,在世界杯期间,彩票网站受攻击很厉害;在热钱涌入P2P小贷行业期间,整个P2P小贷行业受攻击非常频繁。

现在热钱涌入直播、共享单车,所以可以预计,这个行业很快就会经历黑客的洗礼。

你很难知道黑客会在什么时候光顾你。如果你还没出过安全问题,说明你的业务做的不够大。

所以,让我们回到最根本的问题上来,到底要如何衡量企业数据安全、基础攻防的效果呢?

三、企业安全的两个核心指标

企业数据安全最终关心的是数据安全,一是不要被攻击者窃取走,二是业务不要中断。

所以做企业安全,最终还是要对这两个结果负责。

我们无法承诺永远都不出一起安全事件,但是我们应该承诺,在足够长的时间纬度上,企业的整个安全风险是趋于收敛的。

事实上,我们也观察到,随着企业业务的做大,原来小概率的安全事件,逐渐变成了常态。

对于安全效果来说,有两个指标是最关键的核心指标,一个是漏洞数,一个是安全事件数。

从长远的角度来说,这两个指标要趋于收敛。这也是安全团队,或者说CSO要承担的职责。

四、如何证明这两个指标是可靠、有效的

作为CSO,做了很多事,花了很多钱,希望漏洞数和安全事件逐渐趋于收敛。

但是安全事件数和运气有关(包括黑暗森林法则),漏洞数则基于发现能力,如果发现能力弱,则漏洞数这个指标也说明不了什么问题。

所以有必要找到一把标准的尺子,来作为衡量标准。

目前看来,最有效的检验手段,是通过众测服务,以及外部安全情报收集。

比如各大公司所组建的应急响应中心(SRC)。通过向安全社区寻求帮助,对白帽子提供有偿奖励的方式,让他们从外部提交漏洞。

这样发现的漏洞数量和质量可能是一次传统渗透测试的几十倍。白帽子一拥而上,正好模拟了实际网络中面临的攻击场景。

我们所要做的,是保证好众测本身的安全性,并且长期有效的运营这种社区关系。

基于这种众测的思路,衡量一家企业安全能力强弱、效果好坏的指标有三:

第一个是通过众测与SRC,获得的外部上报漏洞数量;

第二个是,我们安全体系中的感知系统,所能感知到的漏洞与攻击数量,与前一个指标是一一对应关系;

第三个是,我们安全体系中的防御系统,所能有效防御住的漏洞与攻击数量,与前两个指标分别一一对应。

通过对这三个指标的逐步收敛,就能够有效的指导我们所有的安全工作了。