如何降低網站滲透測試服務的成本價格

從國內企業安全市場需求的角度來看，滲透測試服務也很受歡迎，國內大型安全製造商只有滲透測試單一服務收入超過2億元。為什麼企業會購買滲透測試服務？原因來自滲透測試服務本身的特點：攻擊者視角、過程可複製、漏洞定位準確、危害效果好。讓我們來看看滲透測試模式的發展和變化：一個人的戰鬥，背靠背的雙重防禦戰，攻防小組團隊合作戰，一萬人海嘯戰。首先，一萬人海嘯戰爭實際上是目前流行的公開測試模式。

公測可分為三類：

1.企業自建SRC（安全響應中心）組織眾測專案；

2.投入第三方網際網路漏洞平臺的眾測專案；

3.企業組織多家安全廠商小規模公測專案。

主要區別在於：

企業自建SRC需要通過營銷手段增加白帽活動，直接獲得第一手白帽漏洞，但需要專人操作SRC平臺；第三方漏洞平臺有一定的白帽子資源，漏洞通過平臺轉發，需要支付平臺服務費；許多安全製造商參與小規模測試專案的測試人員有限，測試人員不遵守規則的風險可控，但安全製造商的投入產出相對較低，測試動力不足。除了萬人海嘯戰模式外，其他測試模式都是安全服務製造商採用的測試模式。根據安全製造商滲透測試人員的儲備和安全服務專案的數量，一些專案指定測試人員完成測試工作，稱為：一人的戰鬥。採用兩名測試人員背靠背交叉測試模式，稱為背靠背雙人防禦戰。專業安全服務公司將成立安全攻擊和防禦團隊進行專業測試，稱為攻擊和防禦團隊合作戰。

說了這麼多，企業應該如何打好這場仗，如何以更低的成本最大化收穫漏洞？首先給出結論:成本控制三步走。

第一步：內部安全團隊或第三方安全公司進行滲透測試如SINE安全，鷹盾安全，綠盟等等，與開發團隊深入溝通，從程式碼層和承載環境層建立強有力的保護方案；

第二步：利用企業SRC或第三方公開測試平臺開展短期公開測試活動，糾正第一步保護措施的不足；

第三步：利用企業SRC正常收集白帽子漏洞，不斷糾正發現的問題。

三步成本控制成功的關鍵：

1.滲透試驗的第一步必須高質量，儘量覆蓋所有型別的漏洞，發現典型問題，快速有效地發現，建立點和表面保護；

2.第一步是發現問題後的保護方案，從全球角度構建保護措施，如：全球過濾器、安全部件呼叫等；

3.第二步是檢驗第一步保護措施的有效性。因此，本次保護措施的修訂是提高安全保護能力的關鍵活動；

4.安全專家是一個重要的角色，理解和給出漏洞的最佳保護措施尤為重要，直接影響到收集漏洞的成本。

5.企業安全防護措施的積累也是影響成本的關鍵因素，如：安全設計、安全編碼、安全元件等。