如何衡量企业安全的效果

安全的最大挑战是不清楚安全的价值。

业务可以用销售额和用户数量来衡量；运维可以用稳定性指标来衡量，比如故障数；R&D可以通过漏洞数量、服务器数量、可扩展性和专利来衡量。

但是很难体现企业内部的数据安全和基本的攻防效果。

数据安全和基础安全面临的问题往往是事件。很有可能你什么都不做，但是一年都不会有问题。

也许你花了很多心血和金钱，但还是有很多问题。

所以我们很难用单一的事件指标来衡量数据安全好不好，这也是很多安全行业从业者不够努力的原因。

他们也很难向老板解释为什么花了这笔钱，但他们仍然不能保证什么都不会发生。

时间长了，衍生出两个行业陋习:

第一，不敢让老板知道有问题。

很多公司完成渗透测试后都把报告锁在抽屉里，也有一些外部报道的事件，有些很严重，但只要老板不知道，就会偷偷处理掉，粉饰太平。

第二，没有人愿意承担责任。

很多安全厂商只对所售设备的功能负责，对效果不负责，因为他们实际上不能承担责任，所以到最后，没人负责。

许多客户认为，如果他们购买设备和服务，什么都不会发生，他们可以给他们的老板一份工作。

这其实是两码事，因为大家都在赌运气，再也没有人负责安全了。

二、企业安全的黑暗森林法则

黑暗森林法则非常适合企业安全:一旦暴露在公众面前，黑客会对你非常感兴趣，会发现你的很多问题。

比如世界杯期间，彩票网站被严重攻击；在热钱涌入P2P小贷行业期间，整个P2P小贷行业被攻击的频率非常高。

现在热钱涌入直播，享受单车，可以预期这个行业很快会经历黑客的洗礼。

很难知道黑客什么时候会来拜访你。如果你还没出过安全问题，说明你的生意还不够大。

那么，让我们回到最根本的问题，如何衡量企业数据安全和基础攻防的效果？

三、企业安全的两个核心指标

企业数据安全最终关注的是数据安全，一是不被攻击者窃取，二是不中断业务。

所以做企业安全，最终要对这两个结果负责。

我们不能保证永远不会发生安全事故，但我们应该保证企业的整个安全风险在足够长的时间纬度内趋于收敛。

事实上，我们也观察到，随着企业业务的拓展，原本小概率的安全事件逐渐成为常态。

对于安全效果，有两个关键的核心指标，一是漏洞数量，二是安全事件数量。

从长期来看，这两个指标应该会趋于一致。这也是安全团队或CSO的责任。

四、如何证明这两个指标是可靠有效的？

作为一个CSO，我做了很多事情，花了很多钱，希望漏洞和安全事件的数量逐渐收敛。

但是安全事件的数量和运气有关(包括黑暗森林法则)，漏洞的数量是基于发现能力。如果发现能力弱，漏洞数量说明不了什么问题。

所以有必要找一把标准的尺子作为度量。

目前，似乎最有效的检查手段是通过公共测试服务和外部安全信息收集。

比如各大公司设立的应急中心(SRC)。通过向安全社区寻求帮助，向白帽子提供有偿奖励，让他们从外部提交漏洞。

通过这种方式发现的漏洞的数量和质量可能是传统渗透测试的几十倍。白帽蜂拥而至，正好模拟了实际网络中的攻击场景。

我们要做的是保证公测本身的安全，并长期有效地运营这种社区关系。

基于这种公开测试的思想，有三个指标可以衡量企业安全能力的强度和效果:

首先是通过公开测试和SRC获得的对外报告的漏洞数量；

第二是我们安全体系中感知系统感知到的漏洞和攻击的数量与前面的指标是一一对应的；

第三是我们的安全体系中防御系统能够有效防御的漏洞和攻击的数量分别对应前两个指标。

通过这三个指标的逐步趋同，可以有效地指导我们所有的安全工作。