安全指标黑客

如何保护你的资产？

数据安全往往被人们忽略，因为大部分情况下我们看起来都是安全的...

本周非常高兴邀请到了我的好朋友吴翰清，在「攻城狮群」做了一次关于企业数据安全的分享。吴翰清也叫道哥、刺、小黑、aullik5，外号之多，令人发指。我之前在文章中曾多次提到过他，吴神童毕业于西安交通大学少年班，23岁即成为阿里巴巴集团最年轻的高级技术专家，后加入安全宝创业，再后来被阿里 CTO 王坚博士拉回阿里，负责云盾的业务，掐指一算，今年也三十而立了，他在阿里的职级是 P10。

关于道哥的介绍，请参考这一篇「一个黑客的安全理想国」，今天他为大家分享的是「如何保护你的资产」。

在早些年，我最早在阿里做安全的时候，遇到最大的挑战，就是讲不清楚安全的价值。我想这可能依然是今天大多数 CSO（就是首席安全官的意思）所面临的难题。安全这个东西很微妙，不像业务可以用销售额和用户数来衡量，也不像运维可以用稳定性指标（比如故障数）来衡量，也不像研发可以用bug数、服务器台数（体现成本和性能）、扩展性、专利等来衡量。

业务上的安全还可以和业务指标挂钩，比如金融、支付业务，可以看资损率，电商业务，可以看诈骗数，游戏业务，也可以看诈骗、资损、外挂等指标，都是量化的。

但是基础安全攻防的效果，包括企业内部数据安全的效果，却很难一刀切的体现出来。（出于方便，下文讨论的企业安全都指企业数据安全、基础攻防安全）。因为数据安全、基础安全面临的问题往往是事件性的，很可能你什么都不做，但一年都不出问题；也可能你花了很大力气，花了很多钱，却还是问题频出。所以我们很难用单一的事件性指标来衡量数据安全做的好还是不好，这也是很多安全行业的从业者腰杆不够硬的原因，因为他们也很难跟老板讲明白为什么花了钱了，还是不敢保证不出事，到最后就变成了拼运气。

这也导致了安全行业的两个陋习，一是有问题不敢让老板知道，很多公司做完渗透测试后报告就锁到抽屉里去了，还有一些外部报告的事件，有的很严重，但只要老板不知道，就偷偷处理掉，粉饰太平；二是很多安全厂商都只对卖出去的设备功能负责，不对效果负责，因为他们实际上也负不了责，所以到最后就变成了没有人负责。但比较坑的是很多客户以为买了设备和服务就不会出事了，就可以给老板交差了。这其实是两码事，其实已经没有人对安全负责了，大家都在赌运气。

黑暗森林法则很适用于企业安全：一旦暴露在公众的视野中，黑客就会对你很感兴趣，就会找出来你的很多问题。从以往我们的经验来看，在世界杯期间，彩票网站受攻击很厉害；在热钱涌入 P2P 小贷行业期间，整个P2P小贷行业受攻击非常频繁；现在热钱涌入在线直播行业，所以可以预计，这个行业很快就会经历黑客的洗礼。

你很难知道黑客会在什么时候光顾你。对于黑暗森林法则，低调可以保护你一时，但是无法永远保护你，因为业务要发展，必然会暴露在公众的眼中。

如何衡量企业安全的效果？

所以让我们回到最根本的问题上来，到底要如何衡量企业安全（数据安全、基础攻防）的效果？

企业数据安全最终关心的是数据要安全，不要被黑客窃取走，业务不要中断。所以做企业安全，最终还是要对这个结果负责。如果我们无法承诺永远都不出一起安全事件，那么，把时间纬度拉长的话，至少也应该承诺整个安全的风险是趋于收敛的。事实上，我们也观察到，随着企业业务的做大，原来小概率的安全事件，逐渐变成了常态。至此，也就可以开始量化安全效果的指标。（所以我们经常还有个玩笑，就是如果你没有出过安全问题，说明你的业务做的不够大。）

对于安全效果来说，有两个指标是最关键的核心指标，一个是漏洞数，一个是安全事件数。在阿里内部，我们通过这两个指标来衡量安全做的好还是不好。从长远的角度来说，这两个指标要趋于收敛，这也是安全团队，或者说 CSO 要承担的职责。

有意思的是这两个事关一家企业生死的安全指标，却没有一个安全厂商愿意承诺，他们通常都只愿意承诺卖出设备的功能效果，或者是服务的响应时间。

定义出这两个反映安全效果的核心指标后，我们马上又会面临一个新的问题：如何证明这两个指标是可靠、有效的？

也就是说，作为 CSO，可以说自己做了很多事情，花了很多钱，让漏洞数和安全事件逐渐趋于收敛，但是安全事件数和运气有关（包括黑暗森林法则），漏洞数则基于发现能力，如果发现能力弱，则漏洞数这个指标也说明不了什么问题。所以有必要找到一把标准的尺子，来作为衡量标准。

正是基于这样的思想与考虑，在阿里内部发展出了基于「红蓝军对抗」思想来检验安全能力与效果的方法。

目前看来，最有效的检验手段，是通过众测服务，以及外部安全情报收集，比如各大公司所组建的应急响应中心（SRC）。通过向安全社区寻求帮助，对白帽子提供有偿奖励的方式，让他们从外部提交漏洞。

众测的效果往往令人惊叹，发现的漏洞数量和质量可能是一次传统渗透测试的几十倍。而白帽子一拥而上的效果，往往也模拟了实际网络中面向众多黑客的场景。而我们所要做的，是保证好众测本身的安全性，不出什么意外，以及长期有效的运营这种社区关系。

也因此，基于「红蓝军对抗」的思路，我们整理出了三个重要的指标，作为我们衡量一家企业安全能力强弱、效果好坏的效果。第一个是通过众测与SRC，获得的外部上报漏洞数量，这是红军；第二个是，我们安全体系中的感知系统，所能感知到的漏洞与攻击数量，与前一个指标是一一对应关系；第三个是，我们安全体系中的防御系统，所能有效防御住的漏洞与攻击数量，与前两个指标分别一一对应。

企业安全的预算指导？

通过对这三个指标的逐步收敛，就能够有效的指导我们所有的安全工作。也由此，我们就知道一个企业的安全预算应该如何做，应该把钱花到哪儿。

根据我们的经验，一个企业在安全方面的预算，应该等分成三部分（根据实际情况和不同阶段动态调整）：1/3投入到外部情报收集，这是来自外部的红军，包括众测和SRC的建设；1/3投入到安全感知系统建设，只有先看到，才能实施有效防御（特别是防御能力往往会落后于感知能力，所以要解耦）；1/3投入到防御系统的建设。

可以看到，我们在蓝军投入了2/3的预算，来加强自身的安全能力。而通过不断的周期性的对红军投入，来验证自身安全能力的强弱与可靠性。基于这样的思路，风险就逐渐收敛了。

阿里云盾能为你做什么?

目前，整个互联网面临的安全形势越来越严峻。据我们掌握的情报，今天整个公民信息泄露的条数已经超过了一百亿条，一个黑客手上能掌握超过一百亿条公民信息是非常可怕的，这里面来自各个不同的数据库，这些数据最终会流向黑色产业。要知道，这个黑色产业市值预估是非常高的，因为黑客知道你叫什么、住什么地方、知道你所有的朋友关系，黑客也在用大数据。

如何与这些黑客赛跑？我们需要对安全数据有深刻的理解，还需要云端强大的计算能力。现在，超过30%的国内网站在阿里云上，整个互联网上有任何风吹草动，我们都能第一时间感知到。

去年11月份，我们发现阿里云上有超过一千台服务器连接一个韩国的 IP。经过分析之后，我们发现一个黑客上传了木马，通过一个弱口令渗透进来。发现这个问题之后我们马上对阿里云上所有的服务器进行了紧急的升级和控网，这种情报是非常讲究时效性的，如果晚一周知道，黑客感染的就不是一千台服务器而是一万台服务器了。

去年双11淘宝、天猫零点峰值的时候，我们拉黑了一百万 IP，从而保证了双十一的正常运行。为什么我们能做到一下在一个产品里面拉黑一百万 IP，因为我们具有强大的弹性和扩展能力，如果我们还停留在卖设备的思路上，单机 CPU 和内存是固定的，是不可能做到在计算能力上面有弹性和扩展性的。

做到这一切，都需要数据和计算，为什么数据和计算非常重要？因为它让我们能做到过去做不了的事情。我们在海量数据和精确计算的基础上做出了态势感知系统，这个系统基于大数据关联做到了以前难以想象的事情，它是国内唯一一个能够自动化分析出整个入侵行为的、入侵路径的产品。当一个服务器被黑客植入了木马，我们可以通过关联的数据自动分析出入侵者是通过什么漏洞渗透进来的，这中间会用到大量计算和数据建模。以前怎么办？需要投入一个经验足够专家分析所有的日志，分析报告，才有可能找到入侵者和漏洞。现在，我们实现了自动化。

在云计算的时代，如果有人创业，国外应该首先考虑如何利用亚马逊微软的服务，国内则应该想到去利用BAT的资源。对我们来说，如果你是一个注重企业信息安全的创业者，那么应该考虑如何充分利用阿里云盾的价值。

很多人问我，安全的态度到底是什么？实际上，我想做的一直没有变，就是如何通过安全的手段，更好的保护客户的资产，这是我的理想，我要去实现它。

题图：from Zoommy