怎么选择渗透测试公司更降低成本

简介: 第一步:内部安全团队或第三方安全公司进行渗透测试如SINE安全,鹰盾安全,绿盟等等,与开发团队深入沟通,从代码层和承载环境层建立强有力的保护方案;第二步:利用企业SRC或第三方公开测试平台开展短期公开测试活动,纠正第一步保护措施的不足

从国内企业安全市场需求的角度来看,渗透测试服务也很受欢迎,国内大型安全制造商只有渗透测试单一服务收入超过2亿元。为什么企业会购买渗透测试服务?原因来自渗透测试服务本身的特点:攻击者视角、过程可复制、漏洞定位准确、危害效果好。让我们来看看渗透测试模式的发展和变化:一个人的战斗,背靠背的双重防御战,攻防小组团队合作战,一万人海啸战。首先,一万人海啸战争实际上是目前流行的公开测试模式。

公测可分为三类:

1.企业自建SRC(安全响应中心)组织众测项目;

2.投入第三方互联网漏洞平台的众测项目;

3.企业组织多家安全厂商小规模公测项目。

主要区别在于:

企业自建SRC需要通过营销手段增加白帽活动,直接获得第一手白帽漏洞,但需要专人操作SRC平台;第三方漏洞平台有一定的白帽子资源,漏洞通过平台转发,需要支付平台服务费;许多安全制造商参与小规模测试项目的测试人员有限,测试人员不遵守规则的风险可控,但安全制造商的投入产出相对较低,测试动力不足。除了万人海啸战模式外,其他测试模式都是安全服务制造商采用的测试模式。根据安全制造商渗透测试人员的储备和安全服务项目的数量,一些项目指定测试人员完成测试工作,称为:一人的战斗。采用两名测试人员背靠背交叉测试模式,称为背靠背双人防御战。专业安全服务公司将成立安全攻击和防御团队进行专业测试,称为攻击和防御团队合作战。

说了这么多,企业应该如何打好这场仗,如何以更低的成本最大化收获漏洞?首先给出结论:成本控制三步走。

第一步:内部安全团队或第三方安全公司进行渗透测试如SINE安全,鹰盾安全,绿盟等等,与开发团队深入沟通,从代码层和承载环境层建立强有力的保护方案;

第二步:利用企业SRC或第三方公开测试平台开展短期公开测试活动,纠正第一步保护措施的不足;

第三步:利用企业SRC正常收集白帽子漏洞,不断纠正发现的问题。

三步成本控制成功的关键:

1.渗透试验的第一步必须高质量,尽量覆盖所有类型的漏洞,发现典型问题,快速有效地发现,建立点和表面保护;

2.第一步是发现问题后的保护方案,从全球角度构建保护措施,如:全球过滤器、安全部件调用等;

3.第二步是检验第一步保护措施的有效性。因此,本次保护措施的修订是提高安全保护能力的关键活动;

4.安全专家是一个重要的角色,理解和给出漏洞的最佳保护措施尤为重要,直接影响到收集漏洞的成本。

5.企业安全防护措施的积累也是影响成本的关键因素,如:安全设计、安全编码、安全组件等。

相关文章
|
缓存 测试技术 数据中心
【计算机架构】计算 CPU 动态功耗 | 集成电路成本 | SPEC 基准测试 | Amdahl 定律 | MIPS 性能指标
【计算机架构】计算 CPU 动态功耗 | 集成电路成本 | SPEC 基准测试 | Amdahl 定律 | MIPS 性能指标
469 0
|
5月前
|
测试技术 持续交付
单元测试问题之确保单元测试自动化运行中的问题如何解决
单元测试问题之确保单元测试自动化运行中的问题如何解决
|
算法 测试技术 C#
C++前缀和算法:合并石头的最低成本原理、源码及测试用例(二)
C++前缀和算法:合并石头的最低成本原理、源码及测试用例
|
机器学习/深度学习 算法 测试技术
C++前缀和算法:合并石头的最低成本原理、源码及测试用例(一)
C++前缀和算法:合并石头的最低成本原理、源码及测试用例
|
测试技术
软件测试面试题:如何降低自动化维护成本
软件测试面试题:如何降低自动化维护成本
183 0
|
微服务 测试技术 网络安全
如何降低微服务测试成本?我的经验之谈
本文为大家介绍微服务治理+测试:基于服务契约信息,降低云上微服务测试成本。如果您的团队具备较强的微服务治理+测试能力,那么希望我们在微服务治理+测试方面的实践和背后的思考,可以为您提供一些参考。
3789 0
如何降低微服务测试成本?我的经验之谈