采用SaaS的高效Web應(yīng)用安全測(cè)試

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

一次Web應(yīng)用安全滲透測(cè)試的咨詢費(fèi)用可以達(dá)到10萬(wàn)美元——許多中等規(guī)模的企業(yè)可望而不可及的一筆費(fèi)用。更經(jīng)濟(jì)實(shí)惠的選擇是使用軟件即服務(wù)（SaaS）模型提供的Web應(yīng)用安全測(cè)試，它的成本低好幾萬(wàn)美元，并可讓你得到自動(dòng)化和連續(xù)的漏洞測(cè)試。　　

Gartner公司的分析師Joseph Feiman說(shuō)：“一些SaaS供應(yīng)商提供標(biāo)準(zhǔn)的軟件包，在那兒，你可以購(gòu)買(mǎi)52個(gè)自動(dòng)掃描程序，并在一天之內(nèi)全部使用，或者花費(fèi)大約9千美元獲得全年使用。對(duì)于更高級(jí)的測(cè)試，需要人工參與業(yè)務(wù)邏輯測(cè)試，一年的費(fèi)用大約1.8萬(wàn)美元?！?/P>

對(duì)于一些中等規(guī)模的公司，這仍然是昂貴的，但昂貴且很難找到不用接受培訓(xùn)的應(yīng)用安全專(zhuān)家的事實(shí)，使成本得到補(bǔ)償，并留住員工。Feiman說(shuō)，SaaS模型也消除了需要管理用于做漏洞掃描的漏洞測(cè)試軟件的服務(wù)器和基礎(chǔ)設(shè)施成本。

在線旅行社Orbitz公司，擁有數(shù)百個(gè)面向客戶的網(wǎng)站，它是白帽（WhiteHat）安全公司杰出的Web漏洞測(cè)試方案的成員，使用該方案，每年每個(gè)站點(diǎn)需要花費(fèi)約1.85萬(wàn)美元。當(dāng)加入更多網(wǎng)站并全天候掃描已發(fā)現(xiàn)漏洞時(shí)，該杰出方案提供了容量折扣。IT公司可以移動(dòng)掃描到指定的站點(diǎn)，并且移動(dòng)包括Web應(yīng)用的人工業(yè)務(wù)邏輯測(cè)試服務(wù)。

業(yè)務(wù)邏輯測(cè)試需要人眼去發(fā)現(xiàn)更迂回的漏洞場(chǎng)景，例如在結(jié)算時(shí)，黑客將產(chǎn)品的價(jià)格從22美元改為2美分。另一種黑客技法是使用網(wǎng)站上的購(gòu)物清單深入挖掘URL以盜取個(gè)人信息，包括客戶的信用卡號(hào)碼和地址，以客戶的名義開(kāi)始為自己購(gòu)物。

Orbitz公司副總裁和首席安全官Ed Bellis說(shuō)：“我們有許多[網(wǎng)站]，我們自己做漏洞測(cè)試是不現(xiàn)實(shí)的?！毙枰?0位全職的安全小組成員，并且由于大多數(shù)公司的網(wǎng)站使用了電子商務(wù)組建，還需要遵守支付卡行業(yè)法規(guī)，Bellis估計(jì)他將不得不聘用約30名安全專(zhuān)家去執(zhí)行由白帽提供的相同級(jí)別的漏洞測(cè)試。

使用白帽安全和競(jìng)爭(zhēng)對(duì)手，例如Cenzic Inc.，用戶可以為每一個(gè)站點(diǎn)的漏洞獲得儀表盤(pán)（dashboard）展示，供應(yīng)商的工作人員來(lái)到客戶現(xiàn)場(chǎng)，深入挖掘漏洞特征，并提供補(bǔ)救措施。趨勢(shì)報(bào)告顯示哪些網(wǎng)站更常受到攻擊，網(wǎng)站有什么類(lèi)型的漏洞，以幫助IT團(tuán)隊(duì)優(yōu)先采取補(bǔ)救措施。

其他在Web安全測(cè)試領(lǐng)域的SaaS提供商包括Veracode公司和Watchfire公司，在2007年，IBM收購(gòu)了Watchfire，并更名為IBM Rational。

Web應(yīng)用安全測(cè)試更便宜的選擇

基于SaaS的Web應(yīng)用安全測(cè)試方案可以縮小到一個(gè)網(wǎng)站或一次性漏洞測(cè)試。使用白帽的基線方案，中等規(guī)模的企業(yè)一年花費(fèi)約3,000美元便可以獲得自動(dòng)化測(cè)試。更低的成本源于必須做更多的自我服務(wù)，以搭建白帽提供的服務(wù)，而且還不包括人工業(yè)務(wù)邏輯測(cè)試。

標(biāo)準(zhǔn)方案附帶了更多的服務(wù)——例如漏洞掃描服務(wù)搭建和配置——每年每個(gè)站點(diǎn)約9,000美元。它包括不受限制的測(cè)試和補(bǔ)救援助，但沒(méi)有業(yè)務(wù)邏輯測(cè)試。

Cenzic的定價(jià)通常在2,000美元至20,000美元，提供從一次性Web安全測(cè)試到全年無(wú)限的掃描服務(wù)。在最低端，中等規(guī)模的公司可以申請(qǐng)7種評(píng)估，例如，可以為他們的網(wǎng)站檢查103種攻擊，例如SQL注入和跨站點(diǎn)腳本漏洞。

SQL注入，盡管不新鮮，但仍然是黑客最喜歡的，根據(jù)Cenzic 2009年上半年的漏洞趨勢(shì)報(bào)告，在商業(yè)Web應(yīng)用代碼中發(fā)現(xiàn)的普遍Web漏洞中，SQL注入占90%。

Cenzic為對(duì)其產(chǎn)品感興趣的潛在客戶提供了一次免費(fèi)的健康檢查。

白帽允許客戶和它測(cè)試的1500網(wǎng)站中的任意網(wǎng)站比較他們的漏洞排名，包括和競(jìng)爭(zhēng)對(duì)手比較。這有助于首席信息官和首席信息安全官提供業(yè)務(wù)案例證據(jù)，以增加更多的測(cè)試或防止漏洞測(cè)試預(yù)算減少。

Bellis說(shuō)：“我們的投資回報(bào)率（ROI）能夠表明，和競(jìng)爭(zhēng)對(duì)手相比，我們的漏洞已經(jīng)下降，我們的整體排名[在白帽的客戶群中]繼續(xù)上升。”