一、安全的价值

做安全最大的挑战，就是讲不清楚安全的价值。

业务可以用销售额和用户数来衡量；运维可以用稳定性指标，比如故障数来衡量；研发可以用bug数、服务器台数、扩展性、专利等来衡量。

但对于企业内部的数据安全和基础攻防效果，却很难体现出来。

数据安全、基础安全面临的问题往往是事件性的，很可能你什么都不做，但一年都不出问题；

也可能你花了很大力气，花了很多钱，却还是问题频出。

所以我们很难用单一的事件性指标来衡量数据安全做的好还是不好，这也是很多安全行业的从业者腰杆不够硬的原因。

他们也很难跟老板讲明白为什么花了钱了，还是不敢保证不出事。

时间长了，就衍生出两个行业陋习：

一是有问题不敢让老板知道。

很多公司做完渗透测试后报告就锁到抽屉里去了，还有一些外部报告的事件，有的很严重，但只要老板不知道，就偷偷处理掉，粉饰太平。

二是没有人愿意承担责任。

很多安全厂商都只对卖出去的设备功能负责，不对效果负责，因为他们实际上也负不了责，所以到最后就变成了没有人负责。

很多客户以为，买了设备和服务就不会出事了，就可以给老板交差了。

这其实是两码事，因为大家都在赌运气，已经没有人对安全负责了。

二、企业安全的黑暗森林法则

黑暗森林法则很适用于企业安全：一旦暴露在公众的视野中，黑客就会对你很感兴趣，就会找出来你的很多问题。

就比如，在世界杯期间，彩票网站受攻击很厉害；在热钱涌入P2P小贷行业期间，整个P2P小贷行业受攻击非常频繁。

现在热钱涌入直播、共享单车，所以可以预计，这个行业很快就会经历黑客的洗礼。

你很难知道黑客会在什么时候光顾你。如果你还没出过安全问题，说明你的业务做的不够大。

所以，让我们回到最根本的问题上来，到底要如何衡量企业数据安全、基础攻防的效果呢？

三、企业安全的两个核心指标

企业数据安全最终关心的是数据安全，一是不要被攻击者窃取走，二是业务不要中断。

所以做企业安全，最终还是要对这两个结果负责。

我们无法承诺永远都不出一起安全事件，但是我们应该承诺，在足够长的时间纬度上，企业的整个安全风险是趋于收敛的。

事实上，我们也观察到，随着企业业务的做大，原来小概率的安全事件，逐渐变成了常态。

对于安全效果来说，有两个指标是最关键的核心指标，一个是漏洞数，一个是安全事件数。

从长远的角度来说，这两个指标要趋于收敛。这也是安全团队，或者说CSO要承担的职责。

四、如何证明这两个指标是可靠、有效的

作为CSO，做了很多事，花了很多钱，希望漏洞数和安全事件逐渐趋于收敛。

但是安全事件数和运气有关（包括黑暗森林法则），漏洞数则基于发现能力，如果发现能力弱，则漏洞数这个指标也说明不了什么问题。

所以有必要找到一把标准的尺子，来作为衡量标准。

目前看来，最有效的检验手段，是通过众测服务，以及外部安全情报收集。

比如各大公司所组建的应急响应中心（SRC）。通过向安全社区寻求帮助，对白帽子提供有偿奖励的方式，让他们从外部提交漏洞。

这样发现的漏洞数量和质量可能是一次传统渗透测试的几十倍。白帽子一拥而上，正好模拟了实际网络中面临的攻击场景。

我们所要做的，是保证好众测本身的安全性，并且长期有效的运营这种社区关系。

基于这种众测的思路，衡量一家企业安全能力强弱、效果好坏的指标有三：

第一个是通过众测与SRC，获得的外部上报漏洞数量；

第二个是，我们安全体系中的感知系统，所能感知到的漏洞与攻击数量，与前一个指标是一一对应关系；

第三个是，我们安全体系中的防御系统，所能有效防御住的漏洞与攻击数量，与前两个指标分别一一对应。

通过对这三个指标的逐步收敛，就能够有效的指导我们所有的安全工作了。