如何在公开的网络安全市场中,采购到性价比高的产品或服务呢?
网络安全市场可谓是乱相丛生,前纽约市长鲁迪·乔兰尼将网络安全问题比喻成无可医治的癌症,而问题重重、备受争议的 Norse Corporation 却拿到了毕马威(KPMG)1140万美元的风险投资。
尽管现在我们说网络安全是泡沫还为时过早,但可信赖的内部技术、铺天盖地的专家营销以及让人感到恐惧、不确定和怀疑的策略,已经让人越来越难以区分哪些是真正的安全公司。这也使得网络安全项目的采购过程对于各种规模的组织来说,都变得更加复杂和具有挑战性的。
身在安全圈的朋友,或多或少地都听到过不同组织的安全专家和管理者,抱怨他们在采购各种网络安全产品或服务方面的失望。开放和透明的报价模式可能是在公开市场中得到高性价比产品和服务的最有效的方法之一。然而,由于网络安全市场的复杂性和动态变化的环境,那只“看不见的手”可能并不总能正常运作。不过,如果我们考虑一些基础的重要规则的话,网络安全采购还是可以取得成功的:
一、确保该项采购符合公司的风险管理策略
在购买任何安全产品、系统或服务之前,确认新的安全控制是否可以在一定程度上减轻亟待解决的安全风险。网络安全市场时常出现新的趋势,而通常企业投资新的产品、系统或服务只是为了赶时髦。如果您的企业中最重要的风险是驻留在企业内部的威胁,在没有确认已经拥有适当可行的数据防泄露系统(DLP)以应对风险之前,把钱花在外部威胁情报上就是错误的。
通常,新的安全的趋势都是围绕先前已有的风险、威胁和漏洞进行的一个漂亮包装。然而,有时新趋势也会真正代表一个重要的、以前忽略或不存在的风险,那就有必要进行风险分析,定义如何减小这种风险。新技术能给企业带来伟大的洞见,为公司的网络安全增值、降低成本。并且在部署之前,要确定好如何将其集成到风险管理策略和风险缓解计划中去。
二、精确把握每一个需求的细节
我们看到过的需求和定义常常非常模糊,如要求产品具备检测OWASP(开放式Web应用程序安全项目)十大漏洞的功能,但却未提供任何额外的细节。而如今,我们已经很难找到一个网络安全厂商不声称其产品具备检测OWASP十大漏洞。所以,更重要的是去了解供应商检测OWASP十大漏洞的技术、效率和实用功能。
例如,经典的XSS漏洞很容易就可以通过自动化工具进行检测,然而基于DOM的XSS、JS内部的XSS以及隐含XSS就没那么容易检测得到了。WAF边信道攻击呢?此外,由于其复杂的特质,一些OWASP十大漏洞是无法通过预定义的自动扫描(DAST)可靠地检测到的。
检测的质量、误报率以及其他的一些细节也很重要。识别所有的没有防跨站请求伪造令牌的WEB表单很容易,许多WEB漏洞扫描器就可以将它们一网打尽。然而,很少实现了跨站请求伪造保护的站点是可以轻松绕过的,况且许多WEB表单不执行任何敏感操作,并不需要跨站请求伪造保护。设想一下,如果你的跨站请求伪造保护机制靠得住,并拿到一份实际可利用的漏洞列表,或者拿到无数个没有跨站请求伪造保护的WEB表单,你会怎么想?还是要根据实际的情况来进行判断,IT安全采购也是一样的道理。
三、要求技术人员在您自己的环境中进行演示和测试
许多公司创建了人工环境来证明其产品效率。在WEB安全领域,有各种各样的WEB框架和应用程序故意绕开漏洞进行测试,并与其他的WEB安全测试解决方案进行横向对比。不足为奇的是,这些WEB框架和应用程序其内部逻辑、爬行机制和漏洞检测算法都只适合特定的产品。这样的测试与现实情况相去甚远,完全无法用于产品比较。
因此,一定要让每一家供应商在您自己的环境中进行演示,不要在他们的环境中进行演示,否则就无异于扪椟估珠。
四、价格要和专业性和经验相匹配
一定要确保报价最低的公司具备实现相同规模项目的技术经验、用户数量和案例,而不是仅仅有可以实现的产品或解决方案。在许多情况下,最低的价格也就意味着最低的交付、实现、支持或维护质量。在进行询价时,一定不要在价格上纠缠太多,否则就是自掘坟墓,逼迫供应商在竞标中忽略报价,前所未有的报价的结果就是供应商会交付一份前所未有的服务。在日后的交付过程中,一旦意识到项目的损失,供应商会不得不削减未来费用,以保证至少维持盈亏平衡,从而无法保证整个项目的质量。
五、别忘了签署服务等级协议(SLA)
有些公司,靠和销售人员刷脸或被其华丽丽的营销材料所迷惑,忘了签署服务等级协议。销售人员都有严格的KPI考核,显然不会将产品的全部真相都告诉你,如果你对服务质量有特殊要求,一定让参与询价的人员意识到,并得到确认。
例如,WEB应用程序防火墙服务很容易抵御小型的DDoS攻击。然而,如果没有签署合适的服务等级协议,或对于发生DDoS攻击没有相应的约束条款,那当大规模DDoS攻击发生时,那就不必为应用分分种挂掉而惊讶了。这时候再去和销售人员刷脸,估计也只能刷出一堆借口,而你的网站可能在未来几天都无法恢复访问。
为了实现目标,一定要进行POC测试,即针对具体应用的验证性测试,通俗地讲,就是先尝后买,这样有助于澄清需求,同时有助于选择正确的解决方案来解决问题。
