如果你足够老,应该听说过一个叫天涯的社区。
当年天涯上很火的一组帖子是这样的:
你来上传自己的照片,楼主给你打分。
就是这么一个简单的带有自虐性质的游戏,让千万网友疯魔应战,面对分数有人心花怒放有人无语凝噎。
人们就是喜欢这种简单的分数判断。跪向上帝摊开虔诚的手掌。赢得利落,死得明白。
【某长相评分帖】
说来也不难理解,分数实际上是我们衡量世界的简单标准:吃货找评分最高的人气饭店,剁手党选评价最好的五星卖家。连手机巨头们都经常对粉丝说:不糊跑个昏。
每个人的潜台词大概都是:“你就告诉我哪家分数高,老子选择恐惧症犯起来连自己都害怕。”
其实,不仅是吃喝玩乐买买买,评分党早就进入了黑客界。有一帮技术宅,想要给所有公司和机构的“安全性”评评分。
这个东西被他们称为“安全值”。
“安全值”的产品总监赵毅为雷锋网演示了这款“评分神器”的玩法。
[赵毅]
本文作者史中(微信:fungungun),雷锋网主笔,希望用简单的语言解释科技的一切。
赵毅打开安全值的后台。在这里可以看到五花八门的20多个行业,有p2p、航空、交易所、众筹平台等等。针对每个行业和每个公司,都有不同的分数。
对于所有企业机构来说,满分都是1000分,但他们的得分却不尽相同。
例如:
p2p行业的平均分是893,航空行业平均分是788,交易所平均得分为906,而教育机构平均得分只有621。
p2p行业安全值
航空行业安全值
交易所安全值
教育行业安全值
看上去,评分似乎在说教育机构安全性不及格,而交易所的安全性非常好。但赵毅告诉雷锋网,这些分数并不能直接比较。
虽然各个行业的评分要素一致,但是各个要素所占的比重,还有评分的松紧都有区别。所以跨行业比较没有参考性,反倒是一个行业内的几家体量对等的企业机构之间的分数更有参考价值,因为对他们的评分标准完全一致。
例如,同样是大学,一些大学的安全值分数能够到达936分,有一些大学的分数只有192分。雷锋网查看了清华、北大、人大、复旦、同济大学的分数,发现总体都不及格,但是高低之间也有着将近300分的差距。
那么这个分到底是怎么评出来的呢?
回到给人长相评分的帖子来看,如果楼主只是凭着自己的好恶来评分,自然会受到被评人的怒怼。但如果评分的依据都是客观的数据,例如脸上有多少麻子,两眼的间距多少,嘴唇的厚度,鼻子的高度,这样的话就会让被评价者哑口无言。
赵毅说,安全值的数据来源于全球的数据供应商。
这些数据,包括:web攻击、异常流量、漏洞发现、僵尸网络、账号泄露等等维度。每被攻击一次,或者产生一次泄露,就按照相应行业的算法被扣除一定的分数。
从属性上来看,这些数据都具有客观性。这就像格斗,两人 pk 的时候,有裁判在旁边掏出小本记录每个选手被怼的次数,也就是点数。最后再综合所有裁判的点数,就得到了选手的最终成绩。被怼得多自然输。
简单来说,这种方法只要保证裁判的判断无误,就可以保证得分的客观性。
那么,对于安全值来说,它的裁判是否足够公正呢?
为了凸显安全值的公正,赵毅把安全值的数据来源列举出来,包括国际著名反病毒数据商 virustotal、mute,反垃圾邮件组织 spamhaus、威胁情报公司 ibm x-force,alienvault 等等,其中也包括很多国内安全厂商的数据。
这其中有很多大咖。
例如 virustotal,被业内人士认为是最强悍的病毒检测引擎的合集,因为它集中了世界上主流(包括中国)病毒引擎能力,记录了最多病毒的痕迹,从而保存了诸多攻击事件和恶意url。
例如 spamhaus,是最大的反垃圾邮件组织,他们长期跟踪国际互联网垃圾邮件团伙,可以实时生成垃圾邮件的黑名单。
例如 alienvault,是知名的企业漏洞扫描和威胁检测的情报公司。他们掌握全球非常全面的威胁情报信息。
还有很多国内安全公司,受限于安全竞争的现状,客观上很难向同行分享自己的数据。而赵毅说之所以有国内厂商愿意这么做,是因为安全值的母公司谷安天下是一家咨询公司,安全公司和咨询公司在商业上没有很大的竞争。
攻击数据的真实性,是安全评分平台的生命线。如果遇到不真实的攻击事件,被目标公司投诉和反馈,反复几次以后,安全值也会把这个数据源踢出去。
根据客观的数据,再加上固定的算法,这就使得评分更容易让机构认可。
一些大学的安全值排名
说了这么多,对机构的安全评分也如同给长相打分一样,没有卵用吗?
雷锋网提出了这个问题,赵毅给出了安全打分的几个奇妙用途。
1、国家税务总局下属各个地方税务,总局要评估下属单位的安全性,并没有专业的办法来客观评估。做一套安全评估的表格,再深入各个单位去做调查,且不说效果,等到结果反馈回来也许黄花菜都凉了。于是就采用了“安全值”这个办法。
实际应用下来,检测出各个地方部门安全有很大的漏洞,例如系统上被植入了恶意代码,被僵尸网络控制成为了肉鸡,对外发送垃圾信息邮件等等。
这属于上下级的绩效评估。
2、有一个国际快销品公司,为了开拓市场和很多电商都有合作,很多供应商的系统直接打通了企业内部系统。然而悲催的是,由于第三方电商的安全性没有做好,让黑客通过第三方直接攻陷了自己的系统。这种欲哭无泪的沦陷实际上正在普遍发生。伊朗的震网病毒正是被第三方供应商安装到核设施中的;斯诺登所供职的博思艾伦咨询公司,也正是美国 nsa 的第三封供应商,看看他把 nsa 坑得多惨。
这种情况下,用安全评分就可以把供应商按照分数高低排列下来,企业的采购部门或者风控部门就可以有针对性地找得分低的供应商喝咖啡。
这属于第三方风险管理。
这类评分平台还有其他用途,例如行业监管和企业自查等等。
2017年五月,各教育机构安全值分布
说起来,这个安全评分就是把企业和机构当成了手机来“跑分”。那么,制造一个跑分平台有技术难度吗?
赵毅说,在研发这个系统的时候,还是有很多坑的。
例如,一百多个数据源,管理起来就像满幼儿园的孩子一样——每个熊孩子都有自己的姿势。对于数据来说,各家的数据格式都不一样,而且数据侧重和表达方式的差异程度令人发指;很多数据形态也很粗糙,需要再次加工才能使用。
想象一下,一群说着不同语言的熊孩子在你面前追跑打闹,是怎样的场景。
很多时候,数据源的格式发生变化, 都不会事先通知。如果数据变化,系统还按照旧的流程输出结果,就会造成巨大的错误。我们踩过这个坑,于是现在做了一个可以自动探测数据格式的系统。如果格式变化,就放到一个专用池等待人工处置,优先保证输出的评分准确性。
在算法的改进上,也会遇到一些坑。
赵毅说,之前为安全值设定的算法是固定的,也就是说ddos攻击、信息泄露、网站被挂马等,在不同行业中的权重是一致的。但是事实证明这样并不准确。
如果税务局对下属单位做绩效考核,那么下属单位会觉得:如果是因为信息泄露而扣分,我认;但被 ddos 攻击不是我能控制的,为什么要背锅?
所以在最新的安全值平台上,赵毅和团队吧固定算法调整成了自定义权重。这样不同的行业就能按照自己的标准来打分。基于此,不同行业机构之间的评分没有可比性,行业内部的类似公司才有强的可比性。
经历过十年寒窗的人,对于分数有天然的警惕。他们深知分数不能代表全部的人格。但是不可否认,没有考试和评分系统,社会组织会更加混乱。可以说,分数却是让这个社会简化运行的必要手段。
既然评分不可避免,我们何不转而期待一个公正的分数?
本文作者史中(微信:fungungun),雷锋网主笔,希望用简单的语言解释科技的一切。
谷安天下和安全值为本文数据有贡献。