做安全最大的挑戰,就是講不清楚安全的價值。
業務可以用銷售額和用戶數來衡量;運維可以用穩定性指標,比如故障數來衡量;研發可以用bug數、服務器臺數、擴展性、專利等來衡量。
但對於企業內部的數據安全和基礎攻防效果,卻很難體現出來。
數據安全、基礎安全面臨的問題往往是事件性的,很可能妳什麽都不做,但壹年都不出問題;
也可能妳花了很大力氣,花了很多錢,卻還是問題頻出。
所以我們很難用單壹的事件性指標來衡量數據安全做的好還是不好,這也是很多安全行業的從業者腰桿不夠硬的原因。
他們也很難跟老板講明白為什麽花了錢了,還是不敢保證不出事。
時間長了,就衍生出兩個行業陋習:
壹是有問題不敢讓老板知道。
很多公司做完滲透測試後報告就鎖到抽屜裏去了,還有壹些外部報告的事件,有的很嚴重,但只要老板不知道,就偷偷處理掉,粉飾太平。
二是沒有人願意承擔責任。
很多安全廠商都只對賣出去的設備功能負責,不對效果負責,因為他們實際上也負不了責,所以到最後就變成了沒有人負責。
很多客戶以為,買了設備和服務就不會出事了,就可以給老板交差了。
這其實是兩碼事,因為大家都在賭運氣,已經沒有人對安全負責了。
二、企業安全的黑暗森林法則
黑暗森林法則很適用於企業安全:壹旦暴露在公眾的視野中,黑客就會對妳很感興趣,就會找出來妳的很多問題。
就比如,在世界杯期間,彩票網站受攻擊很厲害;在熱錢湧入P2P小貸行業期間,整個P2P小貸行業受攻擊非常頻繁。
現在熱錢湧入直播、***享單車,所以可以預計,這個行業很快就會經歷黑客的洗禮。
妳很難知道黑客會在什麽時候光顧妳。如果妳還沒出過安全問題,說明妳的業務做的不夠大。
所以,讓我們回到最根本的問題上來,到底要如何衡量企業數據安全、基礎攻防的效果呢?
三、企業安全的兩個核心指標
企業數據安全最終關心的是數據安全,壹是不要被攻擊者竊取走,二是業務不要中斷。
所以做企業安全,最終還是要對這兩個結果負責。
我們無法承諾永遠都不出壹起安全事件,但是我們應該承諾,在足夠長的時間緯度上,企業的整個安全風險是趨於收斂的。
事實上,我們也觀察到,隨著企業業務的做大,原來小概率的安全事件,逐漸變成了常態。
對於安全效果來說,有兩個指標是最關鍵的核心指標,壹個是漏洞數,壹個是安全事件數。
從長遠的角度來說,這兩個指標要趨於收斂。這也是安全團隊,或者說CSO要承擔的職責。
四、如何證明這兩個指標是可靠、有效的
作為CSO,做了很多事,花了很多錢,希望漏洞數和安全事件逐漸趨於收斂。
但是安全事件數和運氣有關(包括黑暗森林法則),漏洞數則基於發現能力,如果發現能力弱,則漏洞數這個指標也說明不了什麽問題。
所以有必要找到壹把標準的尺子,來作為衡量標準。
目前看來,最有效的檢驗手段,是通過眾測服務,以及外部安全情報收集。
比如各大公司所組建的應急響應中心(SRC)。通過向安全社區尋求幫助,對白帽子提供有償獎勵的方式,讓他們從外部提交漏洞。
這樣發現的漏洞數量和質量可能是壹次傳統滲透測試的幾十倍。白帽子壹擁而上,正好模擬了實際網絡中面臨的攻擊場景。
我們所要做的,是保證好眾測本身的安全性,並且長期有效的運營這種社區關系。
基於這種眾測的思路,衡量壹家企業安全能力強弱、效果好壞的指標有三:
第壹個是通過眾測與SRC,獲得的外部上報漏洞數量;
第二個是,我們安全體系中的感知系統,所能感知到的漏洞與攻擊數量,與前壹個指標是壹壹對應關系;
第三個是,我們安全體系中的防禦系統,所能有效防禦住的漏洞與攻擊數量,與前兩個指標分別壹壹對應。
通過對這三個指標的逐步收斂,就能夠有效的指導我們所有的安全工作了。