有人給你的長相“跑分”，有人給你的公司安全“跑分”

本文作者：史中

2017-05-05 10:24

導(dǎo)語：企業(yè)機構(gòu)的安全性如果都能用安全值來表示，商業(yè)抉擇和監(jiān)管或者會簡單一些。憋說話，看分。

如果你足夠老，應(yīng)該聽說過一個叫天涯的社區(qū)。

當(dāng)年天涯上很火的一組帖子是這樣的：

你來上傳自己的照片，樓主給你打分。

就是這么一個簡單的帶有自虐性質(zhì)的游戲，讓千萬網(wǎng)友瘋魔應(yīng)戰(zhàn)，面對分數(shù)有人心花怒放有人無語凝噎。

人們就是喜歡這種簡單的分數(shù)判斷。跪向上帝攤開虔誠的手掌。贏得利落，死得明白。

有人給你的長相“跑分”，有人給你的公司安全“跑分”

【某長相評分帖】

說來也不難理解，分數(shù)實際上是我們衡量世界的簡單標準：吃貨找評分最高的人氣飯店，剁手黨選評價最好的五星賣家。連手機巨頭們都經(jīng)常對粉絲說：不糊跑個昏。

每個人的潛臺詞大概都是：“你就告訴我哪家分數(shù)高，老子選擇恐懼癥犯起來連自己都害怕。”

其實，不僅是吃喝玩樂買買買，評分黨早就進入了黑客界。有一幫技術(shù)宅，想要給所有公司和機構(gòu)的“安全性”評評分。

這個東西被他們稱為“安全值”。

“安全值”的產(chǎn)品總監(jiān)趙毅為雷鋒網(wǎng)演示了這款“評分神器”的玩法。

有人給你的長相“跑分”，有人給你的公司安全“跑分”

[趙毅]

本文作者史中（微信：fungungun），雷鋒網(wǎng)主筆，希望用簡單的語言解釋科技的一切。

誰的得分高？

趙毅打開安全值的后臺。在這里可以看到五花八門的20多個行業(yè)，有P2P、航空、交易所、眾籌平臺等等。針對每個行業(yè)和每個公司，都有不同的分數(shù)。

對于所有企業(yè)機構(gòu)來說，滿分都是1000分，但他們的得分卻不盡相同。

例如：

P2P行業(yè)的平均分是893，航空行業(yè)平均分是788，交易所平均得分為906，而教育機構(gòu)平均得分只有621。

有人給你的長相“跑分”，有人給你的公司安全“跑分”

P2P行業(yè)安全值

航空行業(yè)安全值

交易所安全值

教育行業(yè)安全值

看上去，評分似乎在說教育機構(gòu)安全性不及格，而交易所的安全性非常好。但趙毅告訴雷鋒網(wǎng)，這些分數(shù)并不能直接比較。

雖然各個行業(yè)的評分要素一致，但是各個要素所占的比重，還有評分的松緊都有區(qū)別。所以跨行業(yè)比較沒有參考性，反倒是一個行業(yè)內(nèi)的幾家體量對等的企業(yè)機構(gòu)之間的分數(shù)更有參考價值，因為對他們的評分標準完全一致。

例如，同樣是大學(xué)，一些大學(xué)的安全值分數(shù)能夠到達936分，有一些大學(xué)的分數(shù)只有192分。雷鋒網(wǎng)查看了清華、北大、人大、復(fù)旦、同濟大學(xué)的分數(shù)，發(fā)現(xiàn)總體都不及格，但是高低之間也有著將近300分的差距。

那么這個分到底是怎么評出來的呢？

評多少分誰說了算？

回到給人長相評分的帖子來看，如果樓主只是憑著自己的好惡來評分，自然會受到被評人的怒懟。但如果評分的依據(jù)都是客觀的數(shù)據(jù)，例如臉上有多少麻子，兩眼的間距多少，嘴唇的厚度，鼻子的高度，這樣的話就會讓被評價者啞口無言。

趙毅說，安全值的數(shù)據(jù)來源于全球的數(shù)據(jù)供應(yīng)商。

這些數(shù)據(jù)，包括：Web攻擊、異常流量、漏洞發(fā)現(xiàn)、僵尸網(wǎng)絡(luò)、賬號泄露等等維度。每被攻擊一次，或者產(chǎn)生一次泄露，就按照相應(yīng)行業(yè)的算法被扣除一定的分數(shù)。

有人給你的長相“跑分”，有人給你的公司安全“跑分”

從屬性上來看，這些數(shù)據(jù)都具有客觀性。這就像格斗，兩人 PK 的時候，有裁判在旁邊掏出小本記錄每個選手被懟的次數(shù)，也就是點數(shù)。最后再綜合所有裁判的點數(shù)，就得到了選手的最終成績。被懟得多自然輸。

簡單來說，這種方法只要保證裁判的判斷無誤，就可以保證得分的客觀性。

那么，對于安全值來說，它的裁判是否足夠公正呢？

為了凸顯安全值的公正，趙毅把安全值的數(shù)據(jù)來源列舉出來，包括國際著名反病毒數(shù)據(jù)商 VirusTotal、MUTE，反垃圾郵件組織 Spamhaus、威脅情報公司 IBM X-Force，AlienVault 等等，其中也包括很多國內(nèi)安全廠商的數(shù)據(jù)。

這其中有很多大咖。

例如 VirusTotal，被業(yè)內(nèi)人士認為是最強悍的病毒檢測引擎的合集，因為它集中了世界上主流（包括中國）病毒引擎能力，記錄了最多病毒的痕跡，從而保存了諸多攻擊事件和惡意URL。
例如 Spamhaus，是最大的反垃圾郵件組織，他們長期跟蹤國際互聯(lián)網(wǎng)垃圾郵件團伙，可以實時生成垃圾郵件的黑名單。
例如 AlienVault，是知名的企業(yè)漏洞掃描和威脅檢測的情報公司。他們掌握全球非常全面的威脅情報信息。

還有很多國內(nèi)安全公司，受限于安全競爭的現(xiàn)狀，客觀上很難向同行分享自己的數(shù)據(jù)。而趙毅說之所以有國內(nèi)廠商愿意這么做，是因為安全值的母公司谷安天下是一家咨詢公司，安全公司和咨詢公司在商業(yè)上沒有很大的競爭。

攻擊數(shù)據(jù)的真實性，是安全評分平臺的生命線。如果遇到不真實的攻擊事件，被目標公司投訴和反饋，反復(fù)幾次以后，安全值也會把這個數(shù)據(jù)源踢出去。

根據(jù)客觀的數(shù)據(jù)，再加上固定的算法，這就使得評分更容易讓機構(gòu)認可。

有人給你的長相“跑分”，有人給你的公司安全“跑分”

一些大學(xué)的安全值排名

安全評分有啥用？

說了這么多，對機構(gòu)的安全評分也如同給長相打分一樣，沒有卵用嗎？

雷鋒網(wǎng)提出了這個問題，趙毅給出了安全打分的幾個奇妙用途。

1、國家稅務(wù)總局下屬各個地方稅務(wù)，總局要評估下屬單位的安全性，并沒有專業(yè)的辦法來客觀評估。做一套安全評估的表格，再深入各個單位去做調(diào)查，且不說效果，等到結(jié)果反饋回來也許黃花菜都涼了。于是就采用了“安全值”這個辦法。
實際應(yīng)用下來，檢測出各個地方部門安全有很大的漏洞，例如系統(tǒng)上被植入了惡意代碼，被僵尸網(wǎng)絡(luò)控制成為了肉雞，對外發(fā)送垃圾信息郵件等等。
這屬于上下級的績效評估。

2、有一個國際快銷品公司，為了開拓市場和很多電商都有合作，很多供應(yīng)商的系統(tǒng)直接打通了企業(yè)內(nèi)部系統(tǒng)。然而悲催的是，由于第三方電商的安全性沒有做好，讓黑客通過第三方直接攻陷了自己的系統(tǒng)。這種欲哭無淚的淪陷實際上正在普遍發(fā)生。伊朗的震網(wǎng)病毒正是被第三方供應(yīng)商安裝到核設(shè)施中的；斯諾登所供職的博思艾倫咨詢公司，也正是美國 NSA 的第三封供應(yīng)商，看看他把 NSA 坑得多慘。
這種情況下，用安全評分就可以把供應(yīng)商按照分數(shù)高低排列下來，企業(yè)的采購部門或者風(fēng)控部門就可以有針對性地找得分低的供應(yīng)商喝咖啡。
這屬于第三方風(fēng)險管理。

這類評分平臺還有其他用途，例如行業(yè)監(jiān)管和企業(yè)自查等等。

有人給你的長相“跑分”，有人給你的公司安全“跑分”

2017年五月，各教育機構(gòu)安全值分布

“跑分”也遇到很多坑

說起來，這個安全評分就是把企業(yè)和機構(gòu)當(dāng)成了手機來“跑分”。那么，制造一個跑分平臺有技術(shù)難度嗎？

趙毅說，在研發(fā)這個系統(tǒng)的時候，還是有很多坑的。

例如，一百多個數(shù)據(jù)源，管理起來就像滿幼兒園的孩子一樣——每個熊孩子都有自己的姿勢。對于數(shù)據(jù)來說，各家的數(shù)據(jù)格式都不一樣，而且數(shù)據(jù)側(cè)重和表達方式的差異程度令人發(fā)指；很多數(shù)據(jù)形態(tài)也很粗糙，需要再次加工才能使用。

想象一下，一群說著不同語言的熊孩子在你面前追跑打鬧，是怎樣的場景。

很多時候，數(shù)據(jù)源的格式發(fā)生變化，都不會事先通知。如果數(shù)據(jù)變化，系統(tǒng)還按照舊的流程輸出結(jié)果，就會造成巨大的錯誤。我們踩過這個坑，于是現(xiàn)在做了一個可以自動探測數(shù)據(jù)格式的系統(tǒng)。如果格式變化，就放到一個專用池等待人工處置，優(yōu)先保證輸出的評分準確性。

在算法的改進上，也會遇到一些坑。

趙毅說，之前為安全值設(shè)定的算法是固定的，也就是說DDoS攻擊、信息泄露、網(wǎng)站被掛馬等，在不同行業(yè)中的權(quán)重是一致的。但是事實證明這樣并不準確。