如何在公開的網絡安全市場中，采購到性價比高的產品或服務呢?

網絡安全市場可謂是亂相叢生，前紐約市長魯迪·喬蘭尼將網絡安全問題比喻成無可醫治的癌癥，而問題重重、備受爭議的 Norse Corporation 卻拿到了畢馬威(KPMG)1140萬美元的風險投資。

[[163793]]

盡管現在我們說網絡安全是泡沫還為時過早，但可信賴的內部技術、鋪天蓋地的專家營銷以及讓人感到恐懼、不確定和懷疑的策略，已經讓人越來越難以區分哪些是真正的安全公司。這也使得網絡安全項目的采購過程對于各種規模的組織來說，都變得更加復雜和具有挑戰性的。

身在安全圈的朋友，或多或少地都聽到過不同組織的安全專家和管理者，抱怨他們在采購各種網絡安全產品或服務方面的失望。開放和透明的報價模式可能是在公開市場中得到高性價比產品和服務的最有效的方法之一。然而，由于網絡安全市場的復雜性和動態變化的環境，那只“看不見的手”可能并不總能正常運作。不過，如果我們考慮一些基礎的重要規則的話，網絡安全采購還是可以取得成功的：

一、確保該項采購符合公司的風險管理策略

在購買任何安全產品、系統或服務之前，確認新的安全控制是否可以在一定程度上減輕亟待解決的安全風險。網絡安全市場時常出現新的趨勢，而通常企業投資新的產品、系統或服務只是為了趕時髦。如果您的企業中最重要的風險是駐留在企業內部的威脅，在沒有確認已經擁有適當可行的數據防泄露系統(DLP)以應對風險之前，把錢花在外部威脅情報上就是錯誤的。

通常，新的安全的趨勢都是圍繞先前已有的風險、威脅和漏洞進行的一個漂亮包裝。然而，有時新趨勢也會真正代表一個重要的、以前忽略或不存在的風險，那就有必要進行風險分析，定義如何減小這種風險。新技術能給企業帶來偉大的洞見，為公司的網絡安全增值、降低成本。并且在部署之前，要確定好如何將其集成到風險管理策略和風險緩解計劃中去。

二、精確把握每一個需求的細節

我們看到過的需求和定義常常非常模糊，如要求產品具備檢測OWASP(開放式Web應用程序安全項目)十大漏洞的功能，但卻未提供任何額外的細節。而如今，我們已經很難找到一個網絡安全廠商不聲稱其產品具備檢測OWASP十大漏洞。所以，更重要的是去了解供應商檢測OWASP十大漏洞的技術、效率和實用功能。

例如，經典的XSS漏洞很容易就可以通過自動化工具進行檢測，然而基于DOM的XSS、JS內部的XSS以及隱含XSS就沒那么容易檢測得到了。WAF邊信道攻擊呢?此外，由于其復雜的特質，一些OWASP十大漏洞是無法通過預定義的自動掃描(DAST)可靠地檢測到的。

檢測的質量、誤報率以及其他的一些細節也很重要。識別所有的沒有防跨站請求偽造令牌的WEB表單很容易，許多WEB漏洞掃描器就可以將它們一網打盡。然而，很少實現了跨站請求偽造保護的站點是可以輕松繞過的，況且許多WEB表單不執行任何敏感操作，并不需要跨站請求偽造保護。設想一下，如果你的跨站請求偽造保護機制靠得住，并拿到一份實際可利用的漏洞列表，或者拿到無數個沒有跨站請求偽造保護的WEB表單，你會怎么想?還是要根據實際的情況來進行判斷，IT 安全采購也是一樣的道理。

三、要求技術人員在您自己的環境中進行演示和測試

許多公司創建了人工環境來證明其產品效率。在WEB安全領域，有各種各樣的WEB框架和應用程序故意繞開漏洞進行測試，并與其他的WEB安全測試解決方案進行橫向對比。不足為奇的是，這些WEB框架和應用程序其內部邏輯、爬行機制和漏洞檢測算法都只適合特定的產品。這樣的測試與現實情況相去甚遠，完全無法用于產品比較。

因此，一定要讓每一家供應商在您自己的環境中進行演示，不要在他們的環境中進行演示，否則就無異于捫櫝估珠。

四、價格要和專業性和經驗相匹配

一定要確保報價最低的公司具備實現相同規模項目的技術經驗、用戶數量和案例，而不是僅僅有可以實現的產品或解決方案。在許多情況下，最低的價格也就意味著最低的交付、實現、支持或維護質量。在進行詢價時，一定不要在價格上糾纏太多，否則就是自掘墳墓，逼迫供應商在競標中忽略報價，前所未有的報價的結果就是供應商會交付一份前所未有的服務。在日后的交付過程中，一旦意識到項目的損失，供應商會不得不削減未來費用，以保證至少維持盈虧平衡，從而無法保證整個項目的質量。

五、別忘了簽署服務等級協議(SLA)

有些公司，靠和銷售人員刷臉或被其華麗麗的營銷材料所迷惑，忘了簽署服務等級協議。銷售人員都有嚴格的KPI考核，顯然不會將產品的全部真相都告訴你，如果你對服務質量有特殊要求，一定讓參與詢價的人員意識到，并得到確認。

例如，WEB應用程序防火墻服務很容易抵御小型的DDoS攻擊。然而，如果沒有簽署合適的服務等級協議，或對于發生DDoS攻擊沒有相應的約束條款，那當大規模DDoS攻擊發生時，那就不必為應用分分種掛掉而驚訝了。這時候再去和銷售人員刷臉，估計也只能刷出一堆借口，而你的網站可能在未來幾天都無法恢復訪問。

為了實現目標，一定要進行POC測試，即針對具體應用的驗證性測試，通俗地講，就是先嘗后買，這樣有助于澄清需求，同時有助于選擇正確的解決方案來解決問題。