Birisi size görünüşünüz için bir "başlangıç noktası" verir, birisi şirketinize güvenli bir "çalışma noktası" verir
Yeterince yaşlıysanız, Tianya adında bir topluluk duymuş olmalısınız.
O zamanlar Tianya'da çok popüler olan bir grup gönderi şuydu:
Kendi fotoğraflarınızı yüklersiniz ve ev sahibi size puan verir.
Milyonlarca netizeni dövüşmek için çıldırtan, kendini kötüye kullanma doğasına sahip o kadar basit bir oyundur ki, bazı insanlar puanlar karşısında sinirlenir ve boğulur.
İnsanlar bu basit puan değerlendirmesini severler. Diz çök ve dindar palmiyeleri Tanrı'ya dağıt. Sorunsuz kazanın, açıkça ölün.
[Belirli bir bakış derecelendirme gönderisi]
Anlamak zor değil, puan aslında dünyayı ölçmemiz için basit bir standart: yemek meraklıları en yüksek reytinge sahip en popüler restoranları arıyor ve parti en iyi beş yıldızlı satıcıları seçiyor. Cep telefonu devleri bile hayranlarına sık sık şöyle der: Kafanız karışmasın ve kaçmayın.
Herkesin alt metni muhtemelen: "Sadece hangisinin en yüksek puana sahip olduğunu söyleyin. Bir fobi yapmayı ve hatta kendimden korkmayı seçiyorum."
Aslında mesele sadece yemek, içmek, eğlenmek, satın almak, satın almak ve satın almakla ilgili değil, skorlama partisi hacker dünyasına çoktan girdi. Tüm şirketlerin ve kurumların "güvenliğini" değerlendirmek isteyen bir sürü teknoloji evi var.
Bu şeye onlar tarafından "güvenlik değeri" denir.
"Güvenlik Değeri" nin ürün direktörü Zhao Yi, Leifeng.com için bu "puanlama yapısının" oynanışını gösterdi.
Bu makalenin yazarı, Leifeng.com'un baş yazarı Shi Zhong (WeChat: funungun), bilim ve teknoloji hakkındaki her şeyi basit bir dille açıklamayı umuyor.
Kim yüksek puan aldı?
Zhao Yi, güvenlik değerinin arka planını açtı. Burada P2P, havacılık, borsalar, kitle fonlaması platformları vb. Dahil olmak üzere 20'den fazla endüstriyi geniş bir yelpazede görebilirsiniz. Her sektör ve her şirket için farklı puanlar vardır.
Tüm işletmeler için mükemmel puan 1000 puandır, ancak puanları aynı değildir.
Örneğin:
P2P sektörünün ortalama puanı 893, havacılık sektörünün ortalama puanı 788, borsaların ortalama puanı 906 ve eğitim kurumlarının ortalama puanı sadece 621'dir.
P2P endüstrisi güvenlik değeri
Havacılık endüstrisi güvenlik değeri
Exchange güvenlik değeri
Eğitim endüstrisinin güvenlik değeri
Görünüşe göre puanlar eğitim kurumlarının güvenliğinin başarısız olduğunu ve değişim güvenliğinin çok iyi olduğunu söylüyor. Ancak Zhao Yi, Leifeng.com'a bu puanların doğrudan karşılaştırılamayacağını söyledi.
Her sektörün puanlama unsurları aynı olsa da, her bir unsurun oranı ve skorun sıkılığı farklıdır. Bu nedenle, sektörler arası karşılaştırmalar referans niteliğinde değildir, aksine, bir sektördeki eşit büyüklükteki birkaç şirket arasındaki puanlar daha referans değerindedir, çünkü onlar için puanlama standartları tamamen tutarlıdır.
Örneğin, aynı üniversitede, bazı üniversitelerin güvenlik puanı 936, bazı üniversitelerin ise yalnızca 192 puanı vardır. Leifeng.com, Tsinghua Üniversitesi, Pekin Üniversitesi, Ulusal Halk Üniversitesi, Fudan Üniversitesi ve Tongji Üniversitesi'nin puanlarını kontrol etti ve genel puanın geçmediğini, ancak yüksek ile düşük arasında yaklaşık 300 puanlık bir boşluk olduğunu gördü.
Peki bu skor nasıl çıktı?
Son söz kimde?
İnsanların görünüşünü değerlendiren gönderilere geri dönersek, orijinal poster sadece kendi beğeni ve hoşlanmadıklarına göre puan alırsa, doğal olarak eleştirmenlere kızacaktır. Ancak puanlama, yüzde kaç tane çukur izi, gözler arasındaki mesafe, dudakların kalınlığı ve burun yüksekliği gibi objektif verilere dayanıyorsa, değerlendiriciyi suskun bırakacaktır.
Zhao Yi, güvenlik değeri verilerinin küresel veri tedarikçilerinden geldiğini söyledi.
Bu veriler şunları içerir: Web saldırıları, anormal trafik, güvenlik açığı keşfi, botnet'ler, hesap sızıntıları vb. Boyutlar. Her saldırıya uğradığında veya sızdırıldığında, ilgili sektörün algoritmasına göre belirli bir nokta düşülür.
Nitelik açısından bakıldığında, bu verilerin tümü nesneldir. Bu kavga gibi, ikisi PK olduğunda, hakem her oyuncunun kaç kez dövüldüğünü yani puanları kaydetmek için yanlarına küçük bir kitap çıkarır. Son olarak, tüm hakemlerin puanları birleştirildikten sonra, oyuncunun final puanı elde edilir. Kaybetmek daha doğal.
Basitçe ifade etmek gerekirse, bu yöntem hakemin kararı doğru olduğu sürece puanın tarafsızlığını garanti edebilir.
Öyleyse, güvenlik değeri için, hakemi yeterince adil mi?
Güvenlik değerinin adilliğini vurgulamak için Zhao Yi, uluslararası üne sahip virüsten koruma veri sağlayıcıları VirusTotal, MUTE, istenmeyen posta önleme kuruluşu Spamhaus, tehdit istihbarat şirketi IBM X-Force, AlienVault vb. Dahil olmak üzere güvenlik değerinin veri kaynaklarını listeledi. Birçok yerel güvenlik tedarikçisinden gelen veriler.
Aralarında birçok büyük isim var.
Ör. VirusTotal , Dünyanın ana akım (Çin dahil) virüs motoru yeteneklerini yoğunlaştırması, çoğu virüs izini kaydetmesi ve birçok saldırı olayını ve kötü amaçlı URL'leri kaydetmesi nedeniyle, endüstri tarafından virüs algılama motorlarının en güçlü koleksiyonu olarak kabul edilmektedir.
Ör. Spamhaus , En büyük anti-spam kuruluşudur İnternet spam çetelerini uzun süre izlerler ve gerçek zamanlı olarak bir spam kara listesi oluşturabilirler.
Ör. AlienVault , Tanınmış bir kurumsal zafiyet tarama ve tehdit tespit istihbarat şirketidir. Çok kapsamlı bir küresel tehdit istihbaratı bilgisine sahipler.
Ayrıca, güvenlik rekabetinin statükosu tarafından sınırlandırılan birçok yerel güvenlik şirketi vardır ve verilerini meslektaşları ile paylaşmak nesnel olarak zordur. Ve Zhao Yi, yerli üreticilerin bunu yapmaya istekli olmasının nedeninin güvenlik değeri taşıyan ana şirket Gu'an Tianxia'nın bir danışmanlık şirketi olması ve güvenlik şirketleri ile danışmanlık şirketleri arasında büyük bir ticari rekabet olmaması olduğunu söyledi.
Saldırı verilerinin gerçekliği, güvenlik puanlama platformunun can damarıdır. Gerçek olmayan bir saldırı olayı, hedef şirketten gelen şikayetler ve geri bildirimlerle karşılaşırsanız, birkaç yinelemeden sonra, güvenlik değeri de bu veri kaynağını atacaktır.
Sabit bir algoritma ile birlikte objektif verilere dayalı olarak, bu, kurumların tanımasını kolaylaştırır.
Bazı üniversitelerin güvenlik değeri sıralaması
Güvenlik puanlarının kullanımı nedir?
Dedikten sonra, bir organizasyonun güvenliğini puanlamak, puanlamak gibidir, faydasız mıdır?
Leifeng.com bu soruyu gündeme getirdi ve Zhao Yi güvenlik puanlaması için birkaç harika kullanım sundu.
1. Eyalet Vergilendirme İdaresi kapsamındaki yerel vergilendirme için, Eyalet Vergilendirme İdaresi, bağlı birimlerinin güvenliğini değerlendirmek zorundadır ve bunu objektif olarak değerlendirmenin profesyonel bir yöntemi yoktur. Bir dizi güvenlik değerlendirme formu hazırlayın ve ardından çeşitli birimlere gidin, etkiden bahsetmeye bile gerek yok, sonuçlar geri geldiğinde, gün zambağı soğuk olabilir. Böylece "güvenli değer" yaklaşımı benimsendi.
Gerçek uygulamada, çeşitli yerel departmanların güvenliğinde büyük zafiyetler olduğunu tespit etmiştir.Örneğin, sisteme kötü amaçlı kod yerleştirilmiş, broiler olmak için botnet tarafından kontrol edilmekte ve spam mailler göndermektedir.
Bu, üstlerin ve astların performans değerlendirmesine aittir.
2. Uluslararası hızlı hareket eden bir ürün şirketi var Piyasayı açmak ve birçok e-ticaret şirketi ile işbirliği yapmak için birçok tedarikçinin sistemleri doğrudan işletmenin iç sistemini açar. Ancak üzücü hatırlatma, üçüncü şahıs e-ticaretinin güvenliği iyi yapılmadığı için, hackerların üçüncü şahıslar aracılığıyla doğrudan kendi sistemlerini tehlikeye atmasıdır. Bu tür gözyaşları olmadan ağlamak aslında genel olarak oluyor. İranın Stuxnet virüsü bir nükleer tesise üçüncü taraf bir tedarikçi tarafından kuruldu; Snowden'ın çalıştığı Booz Allen Consulting Company, aynı zamanda ABD NSAnın üçüncü tedarikçisiydi. NSAyı dolandırıcılık amaçlı kullanımına bir göz atalım. Ne kadar sefil.
Bu durumda, güvenlik puanı, tedarikçileri puanlarına göre sıralamak için kullanılabilir ve şirketin satın alma departmanı veya risk kontrol departmanı, kahve içmek için düşük puanlı tedarikçileri hedefleyebilir.
Bu, üçüncü taraf risk yönetimine aittir.
Bu tür bir puanlama platformunun endüstri denetimi ve kurumsal kendi kendine inceleme gibi başka kullanımları vardır.
Mayıs 2017'de çeşitli eğitim kurumlarının güvenlik değerlerinin dağılımı
"Koşu noktaları" da birçok çukurla karşılaştı
Bu güvenlik puanı, şirketleri ve kurumları "puanı çalıştırmak" için cep telefonu olarak kullanmaktır. Öyleyse, çalışan bir alt platform oluşturmak teknik olarak zor mu?
Zhao Yi, bu sistemi geliştirirken hala birçok tuzağın olduğunu söyledi.
Örneğin, bir anaokulundaki çocuklar gibi yüzden fazla veri kaynağı yönetilir - her çocuğun kendi duruşu vardır. Veriler için, her şirketin veri formatı farklıdır ve veri vurgusu ve ifadesindeki farklılık derecesi korkunçtur; birçok veri formu da çok kabadır ve kullanılmadan önce yeniden işlenmesi gerekir.
Önünüzde kovalayan ve oynayan farklı diller konuşan bir grup ayı çocuğu hayal edin.
Çoğu durumda, veri kaynağının biçimi önceden haber verilmeksizin değişir. Veriler değişirse ve sistem yine de sonuçları eski işleme göre çıkarırsa, büyük hatalara neden olur. Bu çukura adım attık, bu yüzden şimdi veri formatını otomatik olarak algılayabilen bir sistem oluşturduk. Format değişirse, manuel imha için ayrılmış bir havuza yerleştirilir ve çıktı puanının doğruluğunu sağlamaya öncelik verilir.
Algoritmanın iyileştirilmesinde bazı çukurlarla da karşılaşılacaktır.
Zhao Yi, güvenlik değerini ayarlamak için kullanılan algoritmanın sabit olduğunu, yani DDoS saldırıları, bilgi sızıntısı, web sitesi korsanlığı vb. Farklı sektörlerde aynı ağırlığa sahip olduğunu söyledi. Ancak bunun doğru olmadığı ortaya çıktı.
Vergi bürosu bağlı birimler üzerinde performans değerlendirmesi yaparsa, alt birimler şunları hissedecektir: Bilgi sızıntısı nedeniyle puan düşülürse, buna inanıyorum; ancak DDoS tarafından saldırıya uğramak kontrolüm dışındaysa, neden suçu üstleneyim?
Bu nedenle, en son güvenlik değeri platformunda, Zhao Yi ve ekibi sabit algoritmayı özel bir ağırlığa ayarladı. Bu sayede farklı sektörler kendi standartlarına göre puanlanabilir. Buna dayanarak, farklı endüstri kuruluşları arasındaki derecelendirmeler karşılaştırılabilir değildir ve sektördeki benzer şirketler güçlü bir karşılaştırılabilirliğe sahiptir.
özet
On yıllık soğuk pencereden geçmiş insanlar, doğal olarak puanlara karşı ihtiyatlıdırlar. Puanların tüm kişiliği temsil edemeyeceğini bilirler. Ancak bir sınav ve puanlama sistemi olmadan sosyal organizasyonun daha kaotik olacağı yadsınamaz. Puanların bu toplumun işleyişini basitleştirmek için gerekli bir araç olduğu söylenebilir.
Puanlama kaçınılmaz olduğuna göre, neden adil bir puan beklemiyoruz?
Bu makalenin yazarı, Leifeng.com'un baş yazarı Shi Zhong (WeChat: funungun), bilim ve teknoloji hakkındaki her şeyi basit bir dille açıklamayı umuyor.
Gu'an Tianxia ve Güvenlik Değeri bu makaledeki verilere katkıda bulunur.
