SaaS的Web應用安全測試 成本低效率高

　　一次Web應用安全滲透測試的咨詢費用可以達到10萬美元——許多中等規(guī)模的企業(yè)可望而不可及的一筆費用。更經(jīng)濟實惠的選擇是使用軟件即服務（SaaS）模型提供的Web應用安全測試，它的成本低好幾萬美元，并可讓你得到自動化和連續(xù)的漏洞測試。Gartner公司的分析師Joseph Feiman說：“一些SaaS供應商提供標準的軟件包，在那兒，你可以購買52個自動掃描程序，并在一天之內(nèi)全部使用，或者花費大約9千美元獲得全年使用。對于更高級的測試，需要人工參與業(yè)務邏輯測試，一年的費用大約1.8萬美元。”

　　對于一些中等規(guī)模的公司，這仍然是昂貴的，但昂貴且很難找到不用接受培訓的應用安全專家的事實，使成本得到補償，并留住員工。Feiman說，SaaS模型也消除了需要管理用于做漏洞掃描的漏洞測試軟件的服務器和基礎設施成本。

　　在線旅行社Orbitz公司，擁有數(shù)百個面向客戶的網(wǎng)站，它是白帽（WhiteHat）安全公司杰出的Web漏洞測試方案的成員，使用該方案，每年每個站點需要花費約1.85萬美元。當加入更多網(wǎng)站并全天候掃描已發(fā)現(xiàn)漏洞時，該杰出方案提供了容量折扣。IT公司可以移動掃描到指定的站點，并且移動包括Web應用的人工業(yè)務邏輯測試服務。

　　業(yè)務邏輯測試需要人眼去發(fā)現(xiàn)更迂回的漏洞場景，例如在結算時，黑客將產(chǎn)品的價格從22美元改為2美分。另一種黑客技法是使用網(wǎng)站上的購物清單深入挖掘URL以盜取個人信息，包括客戶的信用卡號碼和地址，以客戶的名義開始為自己購物。

　　Orbitz公司副總裁和首席安全官Ed Bellis說：“我們有許多網(wǎng)站，我們自己做漏洞測試是不現(xiàn)實的。”需要10位全職的安全小組成員，并且由于大多數(shù)公司的網(wǎng)站使用了電子商務組建，還需要遵守支付卡行業(yè)法規(guī)，Bellis估計他將不得不聘用約30名安全專家去執(zhí)行由白帽提供的相同級別的漏洞測試。

　　使用白帽安全和競爭對手，例如Cenzic Inc.，用戶可以為每一個站點的漏洞獲得儀表盤（dashboard）展示，供應商的工作人員來到客戶現(xiàn)場，深入挖掘漏洞特征，并提供補救措施。趨勢報告顯示哪些網(wǎng)站更常受到攻擊，網(wǎng)站有什么類型的漏洞，以幫助IT團隊優(yōu)先采取補救措施。

　　其他在Web安全測試領域的SaaS提供商包括Veracode公司和Watchfire公司，在2007年，IBM收購了Watchfire，并更名為IBM Rational。

　　Web應用安全測試更便宜的選擇

　　基于SaaS的Web應用安全測試方案可以縮小到一個網(wǎng)站或一次性漏洞測試。使用白帽的基線方案，中等規(guī)模的企業(yè)一年花費約3,000美元便可以獲得自動化測試。更低的成本源于必須做更多的自我服務，以搭建白帽提供的服務，而且還不包括人工業(yè)務邏輯測試。

　　標準方案附帶了更多的服務——例如漏洞掃描服務搭建和配置——每年每個站點約9,000美元。它包括不受限制的測試和補救援助，但沒有業(yè)務邏輯測試。

　　Cenzic的定價通常在2,000美元至20,000美元，提供從一次性Web安全測試到全年無限的掃描服務。在最低端，中等規(guī)模的公司可以申請7種評估，例如，可以為他們的網(wǎng)站檢查103種攻擊，例如SQL注入和跨站點腳本漏洞。

　　SQL注入，盡管不新鮮，但仍然是黑客最喜歡的，根據(jù)Cenzic 2009年上半年的漏洞趨勢報告，在商業(yè)Web應用代碼中發(fā)現(xiàn)的普遍Web漏洞中，SQL注入占90%。

　　Cenzic為對其產(chǎn)品感興趣的潛在客戶提供了一次免費的健康檢查。

　　白帽允許客戶和它測試的1500網(wǎng)站中的任意網(wǎng)站比較他們的漏洞排名，包括和競爭對手比較。這有助于首席信息官和首席信息安全官提供業(yè)務案例證據(jù)，以增加更多的測試或防止漏洞測試預算減少。

　　Bellis說：“我們的投資回報率（ROI）能夠表明，和競爭對手相比，我們的漏洞已經(jīng)下降，我們的整體排名[在白帽的客戶群中]繼續(xù)上升。”