外部評價指標

• 攻防能力——如果安全團隊沒幾個懂攻防的骨幹，那像樣的安全團隊這件事就無從談起、對攻防的理解是做安全的基礎，業界普遍的狀況是整體實力強的安全團隊攻防能力必然不弱，而攻防能力弱的團隊其安全建設必然強不到哪裡去。一般能養得起一堆攻防人才的安全團隊預算都比較充足，說明公司相對重視。攻防技術在安全建設中屬於”單點”技術，決定的是單點的駕馭和深入程度
• 視野和方法論——單點技術代表區域性的執行力，但在影響整個安全團隊的產出因素上仍然受制於團隊的整體視野和所使用的方法論。甲方的安全團隊並不是一個純安全研究性質的職能，所以只強調攻防和漏洞是不足以產生高 ROI 的，因為安全建設中有很大一部分跟具體的漏洞不相關，跟漏洞緩解和免疫機制也不相關。如果只強調方法而不強調攻防就會陷入紙上談兵，但反過來只強調攻防不強調方法就會陷入全員救火隊的狀態。綜觀業界，過於強調風險管理方法論的單位其解決實際問題的能力往往比較欠缺，而一味強調攻防排斥安全標準的團隊往往頂層安全設計有問題
• 工程化能力——對於中大型網際網路公司的安全建設，能否將單點的攻防知識轉換為整個公司業務全線防禦、縱深防禦、自動化的能力就是工程化。舉個例子：1）憑自己的經驗上感染的機器檢視程序，dump檔案解決的是單個事件，2）把這種經驗轉換為文件和指令碼能解決一部分自動化的問題，讓更多的工程師具備響應的能力，3）更進一步，如果能將指令碼轉換為 HIDS 部署在所有的伺服器上則相當於全線業務具備了一定的人侵感知能力，單點技術強往往代表1）到2）沒有問題，但在衡量一個企業或平臺整體安全能力的時候，看的其實是3），很多團隊就是在這一步上邁不過去，進而導致攻防人才很多，但在整體安全建設上 ROI 不高
• 對業務的影響力——這一點跟內部的影響力，跨組織的溝通能力，推動能力，團隊視野有很大的關係。最明顯的特徵就是安全團隊是在做微觀、狹義的安全還是做覆蓋面較大、廣義的安全。安全做得最好的企業一定是將安全和風險意識根植於企業文化中