High

作者：伊利亚·克罗琴科（Ilia Kolochenko）

前渗透测试员，现为业界领先的网络安全提供商High-Tech Bridge的创始人兼首席执行官，也是屡获殊荣的网络安全平台ImmuniWeb的首席架构师。

正文：

在网络安全的开放市场上，要怎样才能获得最佳性价比的竞标？

近期，前纽约市长鲁迪·朱利安尼（Rudy Giuliani）将网络安全与癌症做了个对比；著名安全专家兼记者布莱恩·克雷布斯（Brian Krebs），也将目光投注于知名网络安全初创公司Norse Corporation爆发的严重问题上——该公司刚接受了毕马威风投注资1140万美元。

两件事都有损于网络安全产业及其从业者的信誉。现在来谈论网络安全泡沫还为时过早，但是，拥有可靠原创技术的真正的安全公司，和那些只靠华而不实的市场营销和FUD（恐惧、不确定性、怀疑）策略捞钱的伪安全公司之间，我们确实是越来越难以分辨了。这也使得网络安全招标（RFP：Request For Proposal）更为复杂和具挑战性，无论公司规模大小均是如此。

去年，不同公司的多位安全专业人士和经理人朋友都抱怨说，要招到合心意的网络安全产品或服务真是太难了。公开透明的招投标，或许是在开放市场上入手最佳性价比方案的最有效方式之一。然而，市场这只看不见的手，却并非总是有效，因为网络安全市场实在是太复杂，变化太快了。不过，如果我们将下列几条简单的规则纳入考虑范围，或许能收获一次成功的网络安全招标：

1. 确保招标与你公司的风险管理策略一致

在购入任何安全产品、系统或服务之前，确保新的安全控制能够按正确的优先级处理你的安全风险。网络安全市场推陈出新很快，公司企业常常跟风购入尖端产品。如果你公司最主要的风险位于内部威胁领域，那么，在保证有对应你风险偏好的可行数据泄露防护（DLP）措施之前，往外部威胁情报上投入任何一分钱都是愚蠢的行为。

很多时候，一轮新的安全风潮，仅仅是新瓶装旧酒换汤不换药，在已有的风险、威胁和漏洞上做个新的漂亮包装而已。不过，有时候新风潮确实代表了一些重要的，之前忽略掉或不存在的风险，这些，还是值得进行风险分析以确定是否需要缓解，以及如何缓解的。新技术可以带来很棒的眼界提升，给你的企业网络安全注入新价值，降低开销和损耗。但是，在部署新技术之前，要确保你对部署方式和部署位置有个清醒的认识，不会让新技术的部署打乱你的风险管理策略和风险缓解计划。

2. 每一条要求都要精确具体

我见过太多的招标书满纸都是模糊不清的需求和定义，比如“要能检测‘开放网络应用安全计划（OWASP）’上位居前十的漏洞”，除此以外没有任何其他的细节。现在恐怕没有哪家网络安全厂商不宣称自己的产品能够检测OWASP前十位漏洞吧？但是，了解厂商的技术，知晓其检测OWASP前十漏洞的效率和实际能力，是非常重要的。

举个例子，经典的跨站脚本攻击（XSS）漏洞，用自动化工具就能非常容易地检出，但若是基于文档对象模型（DOM）的XSS呢？隐身于JS内部的XSS呢？Blind XSS呢？如果遇上网络应用防火墙（WAF）绕过技术又会怎样呢？此外，某些OWASP前十漏洞由于其复杂性，从理论上就无法被自动化扫描可靠检出。

检测质量、误报率，以及其他细微差别也是非常重要的。识别出没有反跨站请求伪造（CSRF）令牌的所有网页表单是相当简单的事，很多网页漏洞扫描器都能检出。但是，实现很烂的CSRF防护可以被绕过，而且很多网页表单不执行任何敏感动作，也就不是真的需要CSRF防护。想知道你的CSRF防护机制是否可靠，是否拦下了一堆能切实被黑客利用的漏洞，或者仅仅是收获了无穷无尽根本不需要CSRF防护的网页表单？实际操作起来可是有很大不同的，统统都体现在了招标书上。

3. 要求在你的实际环境中进行技术演示和测试

很多公司创建人工环境来证明他们产品的功效。在网络安全界，有大量有意留有漏洞的框架和网络应用供人进行测试和对比网络安全解决方案。毫不意外，它们中大多数都适合于某款特定的产品，从内部逻辑到爬取机制，到漏洞检测算法，就跟专门为了展现该产品功效而设似的。这样的测试太脱离实际，根本不能用于进行产品对比。

因此，每个厂家的演示都要挪到自己的环境中来，不要在他们的环境里做。否则，上当受骗的风险太大了。

4. 专业知识和经验才是关注的重点，价格不是

确保报价低的公司同时也具有技术经验、客户参考和与你公司相同规模环境下实现安全项目的案例分析，而不仅仅是一套产品或方案打天下。不过，很多情况下，最低的报价也意味着最低的交货质量、实现、支持和维护。要确保你的招标书里对价格的考虑所占比重不太大，否则你就是在迫使投标公司无视它，而IT集成商也就会在一个错误的价位拿出一个他们从未做过的服务。然后，等他们回过神来意识到自身的损失，他们就不得不削减未来的支出以保本。通常情况下，这种做法会让整个安全项目的质量处于危险边缘。

5. 别忘了服务水平协议（SLA）

有些公司，忘了SLA这回事，寄希望于他们跟厂商销售人员的友谊和那闪瞎人眼的市场营销材料。销售人员有严格的关键业绩指标（KPI），他们明显不会告诉你关于产品缺陷的残酷真相。如果你对服务质量有特定要求，请确保招投标各方都注意到这一点，并准备如约履行。

比如说，网络应用防火墙服务能够轻松挡住小型分布式拒绝服务（DDoS）攻击。但是，一旦缺乏合适的SLA，或者没有违反SLA的经济处罚，当遭遇大型DDoS攻击，你可能就会震惊于竟然数分钟之内就掉线的事实。到时，友好的销售人员在你每次电话找他们的时候都会找出各种理由推脱，而你的网站也撑不了多久了。

普华永道瑞士的网络安全专家罗伯特·麦卡夫（Robert Metcalf）评论到：“要达成目标，就需要有概念验证（POC）。购入之前先试试，这将帮你澄清你的需求，选对适合你具体问题的那个解决方案。”

（翻译：nana，编辑：picar）