我看到了收获漏洞的成本控制秘密！

全球第二大市场研究公司MarketsandMarkets预估：渗透测试市场预计将以23.7%的复合年增长率从2016年的5.947亿美元增长至2021年17.243亿美元。从国内企业安全市场需求来看，渗透测试服务也是备受青睐，国内较大规模安全厂商仅渗透测试单项服务收入都已经突破亿元。

为什么企业都会采购渗透测试服务？理由源于渗透测试服务本身的特点：攻击者视角、过程可复现、漏洞定位准确、危害呈现效果佳。

我们再来看看渗透测试模式的发展变化：一个人的战役——背靠背双人守护战——攻防小组团队协作战——万人海啸战。

先说“万人海啸战”，其实就是现在流行的“众测”模式。众测可以分为三类：

1、企业自建SRC(安全响应中心)组织众测项目；

2、投放到第三方互联网漏洞平台的众测项目；

3、企业组织多家安全厂商小规模众测项目。

主要区别

• 企业自建SRC需要通过营销手段增加白帽子活跃度，从而直接获取一手的白帽子漏洞，但需要专人运营SRC平台；

• 第三方漏洞平台有一定白帽子资源，漏洞通过平台转发，需要支付平台服务费；

• 多家安全厂商小规模众测项目参与测试人员有限，测试人员不守规矩的风险可控，但安全厂商投入产出比较低，测试动力不足。

除了“万人海啸战”模式，其他测试模式都是安全服务厂商采用的测试方式，根据安全厂商渗透测试人员储备和安全服务项目量的情况，有些项目就委派一名测试人员完成测试工作，称之为：一个人的战役。采用两名测试人员背靠背交叉方式测试模式，称之为：背靠背双人守护战。专业安全服务公司会组建安全攻防团队开展专业化测试，称之为：“攻防小组团队协作战”。

说了这么多，企业该怎么打好这一仗，如何以较低的成本最大化的收获漏洞呢？先给出结论：“成本控制三步走”。

第一步：内部安全团队或第三方安全公司开展渗透测试，针对发现的问题，与开发团队深度沟通，从代码层及承载环境层面建立强壮的防护方案；

第二步：利用企业SRC或第三方众测平台开展短期众测活动，针对发现的问题修正第一步防护措施存在的不足；

第三步：利用企业SRC面向白帽子常态化收集漏洞，针对发现的问题不断修正之前的防护措施。

“成本控制三步走”成功的关键：

1、第一步的渗透测试质量一定要高，尽量覆盖所有漏洞类型，每类漏洞发现典型问题即可，快速高效发现，以点带面建立防护；

2、第一步发现问题后的防护方案是重中之重，要从全局角度构建防护措施，如：全局过滤器，安全组件调用等；

3、第二步众测是对第一步防护措施有效性的一次检验，因此，本次的防护措施的修正是安全防护能力进阶的关键活动；

4、安全专家是一个重要的角色，对漏洞理解和给出漏洞最佳防护措施尤为重要，直接影响着收漏洞的成本。

5、企业安全防护措施的积累也是影响成本的关键要素，如：安全设计、安全编码、安全组件等。

接下来算算账，先看看市场上漏洞的价格表（粗略数据），大型互联网公司的漏洞奖金丰厚，小规模企业漏洞奖金水平普遍相似。如果非大型企业开展众测想吸引更多的白帽子，高危要到3000元以上，中危要到1000元以上，低危给到600元以上。

假设：一个应用系统未采取“三步走”的第一步，而是直接开启众测，考虑众测规则是“不同链接的同类漏洞都是有效的”，直接开启众测，30000元可以收到3到5个高危，8-10个中危，10-15个低危。相信开展过众测的企业应当深有体会，奖金池很快被吸干。如果用30000元来找专业安全厂商开展渗透测试，收获会比直接投放到众测平台的收益大。下图可以帮助大家理解最佳的成本控制方法。

按照“成本控制三步走”的思路，第一步采用内部或第三方服务公司开展渗透测试成本相对低，漏洞会有遗漏；第二步采用众测模式，成本可控，漏洞查漏补缺；第三步采用SRC常态化模式，成本较低，漏洞不断查漏补缺。

一个二级域名一年收漏洞的成本大概组成如下：（假定：高危漏洞-3000元起、中危漏洞-1000元起、低危600元起。）

1、内部或第三方渗透测试成本：10000元/次至50000元/次

2、众测平台漏洞成本：80000元起/次（10个高危，20中危，30低危）

3、SRC常态化漏洞成本：80000元起/年（10个高危，20中危，30低危）

上述成本计算只是大致估算，企业要想“对号入座”，可以参考历史数据对漏洞数量进行调整，即可计算大概一年的收漏洞成本。

最后说明下：节约成本的方法还有很多，例如：安全工作前移，从整改开发生命周期角度进行安全管控；部署应用防护设备，结合威胁情报，提前将情报转化为防护策略等等。控制成本不是目的，利用有限的成本最大化安全防护效果才是艺术。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP