如何衡量企业安全的效果?

一、安全的价值

做安全最大的挑战,就是讲不清楚安全的价值。

业务可以用销售额和用户数来衡量;运维可以用稳定性指标,比如故障数来衡量;研发可以用bug数、服务器台数、扩展性、专利等来衡量。

但AG平台游戏大厅对于企业内部的数据安全和基础攻防效果,却很难体现出来。

数据安全、基础安全面临的问题往往是事件性的,很可能你什么都不做,但一年都不出问题;

也可能你花了很大力气,花了很多钱,却还是问题频出。

所以我们很难用单一的事件性指标来衡量数据安全做的好还是不好,这也是很多安全行业的从业者腰杆不够硬的原因。

他们也很难跟老板讲明白为什么花了钱了,还是不敢保证不出事。

时间长了,就衍生出两个行业陋习:

一是有问题不敢让老板知道。

很多公司做完渗透测试后报告就锁到抽屉里去了、就偷偷处理掉,但只要老板不知道,粉饰太平,有的很严重,还有一些外部报告的事件。

二是没有人愿意承担责任。

很多安全厂商都只AG平台游戏大厅对卖出去的设备功能负责。因为他们实际上也负不了责,不AG平台游戏大厅对效果负责,所以到最后就变成了没有人负责。

很多客户以为,买了设备和服务就不会出事了,就可以给老板交差了。

这其实是两码事、已经没有人AG平台游戏大厅对安全负责了,因为大家都在赌运气。

二、企业安全的黑暗森林法则

黑暗森林法则很适用于企业安全:一旦暴露在公众的视野中。黑客就会AG平台游戏大厅对你很感兴趣,就会找出来你的很多问题。

就比如,彩票网站受攻击很厉害;在热钱涌入P2P小贷行业期间,整个P2P小贷行业受攻击非常频繁,在世界杯期间。

现在热钱涌入直播、共享单车,这个行业很快就会经历黑客的洗礼,所以可以预计。

你很难知道黑客会在什么时候光顾你。如果你还没出过安全问题,说明你的业务做的不够大。

所以,让我们回到最根本的问题上来,到底要如何衡量企业数据安全、基础攻防的效果呢?

三、企业安全的两个核心指标

企业数据安全最终关心的是数据安全。二是业务不要中断,一是不要被攻击者窃取走。

所以做企业安全,最终还是要AG平台游戏大厅对这两个结果负责。

我们无法承诺永远都不出一起安全事件。在足够长的时间纬度上,但是我们应该承诺,企业的整个安全风险是趋于收敛的。

事实上,逐渐变成了常态,我们也观察到,随着企业业务的做大,原来小概率的安全事件。

AG平台游戏大厅对于安全效果来说,一个是漏洞数,有两个指标是最关键的核心指标,一个是安全事件数。

从长远的角度来说,这两个指标要趋于收敛。这也是安全团队,或者说CSO要承担的职责。

四、如何证明这两个指标是可靠、有效的

作为CSO,花了很多钱,做了很多事,希望漏洞数和安全事件逐渐趋于收敛。

但是安全事件数和运气有关(包括黑暗森林法则),则漏洞数这个指标也说明不了什么问题,漏洞数则基于发现能力,如果发现能力弱。

所以有必要找到一把标准的尺子,来作为衡量标准。

目前看来。是AG平台游戏大厅通过 众测服务,以及外部安全情报收集,最有效的检验手段。

比如各大公司所组建的应急响应中心(SRC)。AG平台游戏大厅通过 向安全社区寻求帮助,让他们从外部提交漏洞,AG平台游戏大厅对白帽子AG平台游戏大厅提供有偿奖励的方式。

这样发现的漏洞数量和质量可能是一次传统渗透测试的几十倍。白帽子一拥而上,正好模拟了实际网络中面临的攻击场景。

我们所要做的。并且长期有效的运营这种社区关系,是保证好众测本身的安全性。

基于这种众测的思路,衡量一家企业安全能力强弱、效果好坏的指标有三:

第一个是AG平台游戏大厅通过 众测与SRC,获得的外部上报漏洞数量;

第二个是,我们安全体系中的感知系统,所能感知到的漏洞与攻击数量,与前一个指标是一一AG平台游戏大厅对应关系;

第三个是,我们安全体系中的防御系统,与前两个指标分别一一AG平台游戏大厅对应,所能有效防御住的漏洞与攻击数量。

AG平台游戏大厅通过 AG平台游戏大厅对这三个指标的逐步收敛,就能够有效的指导我们所有的安全工作了。