谈谈安全工作的衡量方法和量化指标

2020年刚刚过去，或许大家的安全工作年终总结也才结束不久。不知道大家是否有为写好总结而发愁，比如：

向领导汇报时，如何体现上年的成绩和当前公司的安全水平？

如何找出工作的亮点？如何提炼不足和差距？

如何确定来年重点工作与KPI？有些人甚至会发愁如何制作精美的PPT报告

本期话题围绕“安全工作的那些衡量方法和量化指标”来聊聊你在写安全工作年终总结时遇到的那些事儿。以下内容是FreeBuf作者群的部分讨论内容，如果你对这个话题也感兴趣的话，欢迎结合不同领域在文末评论区分享观点/经验。参与互动的小伙伴将有机会获得FVIP7天体验卡噢~

精彩观点汇总

安全工作的衡量方法

@两块

安全工作的衡量主要是靠信息安全规划，看规划的内容是否落地执行、建设完成率、安全意识提升所做的活动次数及检测效果

@huoji120

如何体现当年成绩：做成PPT越华丽越好那种，然后报告里面写那些防火墙自带的统计生成，攻击页面TOP10之类的，然后使劲吹牛逼就行了

@七先生

以前搞绩效，评定标准跟主管的喜好相关，没有实际落于文本的考量标准。后面部门开始推kpi，间接增加了一些工作量和管理成本，但是从要求部门的兄弟们制定kpi开始，每个人从了解部门的object开始，都提升了很多。就我看来日会的重要性不言而喻，人天生就是惰性生物，我这里是通过日会的方式，促进部门成员的交流，以季度答辩的方式来验收成员的工作成果

PPT报告的话，围绕领导或者boss的喜好来设定，围绕几个主题，不要讲完PPT最后领导也不知道你讲的是啥。最好先把自己当成领导，思考一下。如果自己作为领导，如何总结才能受到认同。找领导关心重视的点进行描述，总结之前的成果，指出现有的不足，计划后面的改变。

现在安全行业逐渐青年化，其实大家看看现在，很多公司的leader层没几个真的一点都不懂技术的

吹牛逼跟客户吹就算了。跟领导天天处在一块，你一吹牛逼就泄露了

@Ollopa

其实还是分宏观和微观吧，宏观的是方向，微观的是实践。只谈宏观，就是吹牛逼，永远空中楼阁落不了地；但只有微观技术，方向不对，也只是南辕北辙，徒劳无功。当然，具体是一个人要同时具有两方面才能还是一个团队具有，那又是另一方面问题了

安全工作的量化指标维度

@Doraemon

所以量化指标的话，可以有哪些维度呢

@mcvoodoo

主动检测率，收敛率，止损时长。围绕核心指标，有覆盖率之类辅助，然后业界横向对比

准召率也是为主动检测服务的

@道明

mttd、mttr、覆盖率、准确率、召回率、按时修复率

@D0ct0r

算法部门有一个准确率和完成指标的说法

数据量体现完成效果，图示属于落地情况

@SssCoo1

近期和很多甲方客户也在聊（企业、金融客户多些），安全工作痛点到年终总结，还是早些年积累下的病灶，如何让高层了解信息安全中心CIO年度输出的为集团/企业安全增加防护、减少安全威胁（例如群内伙伴们聊到的攻击页面top10、链路质量、交易质量等衡量指标）痛点，相比之下大方面高层希望看到的改进反而是安全运营、SIEM、自动化运维/安全防护方面做的成绩。而这样想的原因，很可能是前者指标更多是日常，而后面则是质变

@si1ence

如何让安全可视可量化、让安全工作更有价值一直都是很多安全从业者的面对的难题，特别是针对很多安全技术人员来说如何用适当的方式体现就是一件很有难度的事情。针对入侵检测、安全研究的方向来说可以从自己的工作内容出发，开发设计的检测方案与实际效果、攻防技术的预研项目、应急响应的问题、专利论文、甲方用户的认可、市场项目/甲方技术认可等维度进行描述。一直觉得安全行业算是认知门槛相对较高的一个行业，很多辛辛苦苦研究的项目或者做了很多技术攻关、很多管理者/决策层往往更多的关注数字、图表等维度进行评判，无法体会到里面的劳动成果和技术难度。思维导图、Project、PPT、Excel的图标也好，一个优秀的白帽子(安全打工人)除开了实打实的技术实力之外，也需要积累一些基本职场的软实力才行。

个人觉得研究出成果、产品出业绩本身就没有什么问题。作为企业来讲还是要生存、要盈利，期望员工做出的东西能得到市场客户的认可并掏钱买单。研究人员提供技术、企业提供平台，满足需求后用户提供money，大家都是赢家。但是需求还是要合理，不能一来就是1个月搞一套APT检测方法再抓7、8个案例、半年搞个0day识别方案没有误报，这个就有点超纲了。

用业界指标进行衡量？

@LittleT1ger

如果不用业界指标来衡量，那还有什么角度呢

@mcvoodoo：所以要用业界指标来辅助，只是自己说没啥用

@D0ct0r：业界指标没用，安全指标就是业务指标，譬如平台落地的效果

@SssCoo1：安全指标还是看业务的

@mcvoodoo：业务指标好，安全能跟着喝汤，这个确实。业务指标差，安全搞不好背锅

@LittleT1ger：我觉得除非leader真的能做到不用指标也能给，不懂技术的高管层说明白安全的价值，那确实也用不着什么指标了，如果说不明白，那汇报的时候还是得用指标叭。有些地方现在kpi特别狠，做安全研究必须有产出，做安全产品必须有营收

@SssCoo1：看汇报对象了

@D0ct0r：你跟技术领导汇报，技术文档和处置文档和解决问题包括贴合业务的日常工作率都是指标

安全需求和岗位

@网空闲话

现在网络安全需求都是伪需求，根本不是CIA，APT，TO G的，你保我平安上位，高升。to B，帮我挣钱，挣不了，省钱也行。敢问谁做到了？

网络安全职业不会消失，有黑客，就得有人对抗黑客。所以攻防演进的结果，是网络安全从业者的职业安全，不失业。

@D0ct0r

其实作为甲方安全需求还是重在省钱，不然真的没产出，成了个花钱部门

互联网安全需要谋生，需要先有平台再有产品

未来甲方有了自研能力，作为不是云厂商和互联网公司的乙方企业，前途未卜

@宽字节安全实验室

安全产品本来就不卖给互联网甲方，各地政企事业单位，喝几瓶茅台就解决了

大家市场不一样，都是恰饭的，互联网做互联网的，传统厂商做传统厂商的

互联网客户费力不讨好，茅台还不管用

@si1ence

正解，互联网从来就不是安全厂商的目标客户

@道明

目前行业情况比5年前、10年前好多了，08年以前，大多数黑客的出路只有搞黑产，现在至少岗位是供不应求的。

@huoji120

搞开发赚的钱比安全给力，安全有什么绩效奖吗？安全有项目奖金吗？赚钱要紧的时代，用爱发电不显示，而且安全从业人员素质参差不齐，呆久了自己会盲目自大，不如认清形势，多学技术看看前辈是怎么搞的

@Ollopa

安全这一块我觉得最大的目标还是不要被媒体抓住大的数据泄露把柄，这是公司最大的共同利益。围绕这个全公司共同利益，于是就可以衍生出

（1）风险面收敛，发布前脆弱性减少，这两点主要点还要关注于效率和自动化，尽量不要影响研发业务

（2）及时响应，由于没有百分之百的安全，又要顾及业务研发的体验感，于是响应速度变成很重要的指标，把损失降到最低。这也是devsecops中至关重要的一环

（3）最后一点是很多人提到的，也是最大兜底的，简单的说就是要赶在监管尤其是媒体前面反应，让公关团队能够及时提前应对，这个衍生出暗网监控，数据泄露监控等等。

@D0ct0r

技术兜底对技术人员知识深度要求很深 但目前除了少数大厂其他公司很难做到

安全团队，几个人不考虑做什么 如果只考虑不影响业务和响应速度快这其实是有难度的

安全损失该如何量化

@大超

1、每月内外部发现的中高危漏洞少于4个
2、WAF对关键业务系统的覆盖率超过90%
3、主机安全防护工具的覆盖率超过95%
4、终端安全防病毒的覆盖率超过95%
5、敏感库中敏感数据加密的覆盖率超过95%
6、安全事件应急响应小于6小时
……
安全做到最后就是运营，将安全涉及的各项指标尽可能量化，这个也是安全做的好坏的很好的衡量标准

@molice：这个地方其实有点问题，漏洞数少于四个是没测试到呢，还是真没有呢

比如某个app研发这个月提了十次megger，这些megger到底会影响哪些功能，新增/变更的功能带来的风险有哪些，这些风险有人测试过吗

如果没有测试过的话那肯定就不会吧漏洞暴露出来，肯定就少于四个了

这个漏洞要是被黑客利用了，没有提SRC，自己也没有发现，那这造成的损失该怎么量化

@大超：量化定的是衡量标准和目标，安全要准备多个策略向这个方向努力。漏洞发现范围是不固定的，内部外都算，发现了就是问题，我们做一系列策略去解决问题

@网空闲话：定不了损。像solarwinds，几个公司除火眼说红队工具被偷，别的都说影响有限。鬼知道真丢了什么

@molice：其实领导讲的可信的安全挺好的，不管是主机/服务，还是应用/API变更如果每天都能掌握到就挺好的了

福利活动

活动截止：2021年2月1日 9:00

如果你有其他深刻见解，也可以积极在本文下方留言参与互动评论，FB客服小姐姐将抽取评论点赞前三名的用户赠送FVIP7天体验卡噢~

此外，FreeBuf会定期开展不同的精彩话题讨论，想了解更多话题和观点，快来扫码添加FB小编加入群聊吧~回顾往期精彩话题讨论可点击底部阅读原文关注话题讨论专辑Let's Talk

精彩推荐

本文始发于微信公众号（FreeBuf）：谈谈安全工作的衡量方法和量化指标