来自 数据 2021-06-10 22:04 的文章

cdn高防_防ddos攻击服务_无缝切换

cdn高防_防ddos攻击服务_无缝切换

ImmuniWeb>安全博客成功执行网络安全RFP的五条规则1.9k 82 11 9 15更多10 17 10 2月15日星期一,Ilia Kolochenko 2016年CSO阅读时间:4分钟。5个简单的RFP规则,在购买网络安全产品时获得最佳性价比服务。最后本周对于网络安全行业来说是可悲的:前纽约市市长鲁迪•朱利安尼(Rudy Giuliani)将网络安全比作癌症,而著名的安全专家和记者布赖恩(Brian)则将其比作癌症克雷布斯指出,挪威公司(Norse Corporation)存在严重问题,该公司是一家著名的网络安全初创企业,最近得到毕马威(KPMG)风险投资1140万美元的支持。这两起事件都破坏了人们对网络安全行业及其参与者的信任。我认为现在谈论网络安全泡沫还为时过早,然而,越来越难区分真正的安全公司,高防cdn价格,拥有坚实的内部技术,以及拥有华丽营销和FUD(恐惧、不确定性、怀疑)策略的专家。这使得网络安全RFP(征求建议书)的过程对于各种规模的组织都变得更加复杂和具有挑战性。去年,许多矿山安全专家和不同组织的经理的朋友抱怨说,他们对购买各种网络安全产品或服务的RFP感到失望。公开透明的投标可能是在公开市场上获得最佳性价比的最有效方法之一。然而,由于网络安全市场的复杂性和动态变化的环境,这只看不见的手并不一定能正常工作。然而,如果我们考虑到一些简单的规则,网络安全RFP是可以成功的:在购买任何安全产品、系统或服务之前,确保RFP与您的公司风险管理战略保持一致-确保新的安全控制措施将以正确的优先级适当地降低您的安全风险。新的趋势经常出现在网络安全市场上,而公司往往只是为了跟上潮流而投资新产品。如果你的企业最重要的风险来自内部威胁,那么在确保你有一个与你的风险偏好相对应的DLP之前,把钱花在外部威胁情报上是错误的。通常情况下,新的安全趋势只是对以前存在的风险、威胁和漏洞的完美包装。然而,有时新趋势确实代表了一个重要的、以前被忽视或不存在的风险,因此有必要进行风险分析,高防cdn招代理,以确定是否以及如何减轻风险。新技术可以为您的公司网络安全带来巨大的洞察力和附加值,并降低成本。但是,网站cc防御策略,在部署它们之前,请确保您对如何以及在哪里将它们集成到您的风险管理战略和风险缓解计划中有一个清晰的愿景。在每一个需求中都要精确和详细我见过数百个RFP,它们都有非常模糊的要求和定义,比如产品能够检测OWASP十大漏洞,而没有任何额外的细节。今天,很难找到一个web安全供应商不声称他们的产品检测到OWASP十大漏洞。然而,了解供应商的技术、效率和实际能力对于检测OWASP前十名非常重要。例如,经典的XSS漏洞,使用自动化工具很容易检测到,但是基于DOM的XSS、JS中的XSS或盲目XSS呢?WAF旁路怎么样?此外,由于OWASP十大漏洞的复杂性,根据定义,无法通过自动扫描(DAST)可靠地检测到这些漏洞。检测质量、假阳性率和其他细微差别也非常重要。在没有反CSRF令牌的情况下,很容易识别所有的web表单,许多web漏洞扫描程序都会检测到它们。然而,糟糕的CSRF保护可以绕过,而且许多web表单不执行任何敏感操作,也不需要CSRF保护。你想知道你的CSRF保护机制是否可靠,并得到一个实际可利用的漏洞列表,还是只是得到一个没有CSRF保护的所有web表单的无休止的列表?在实践中这可能是一个巨大的差异,在RFP中都是平等的。要求在自己的环境中进行技术演示和测试许多公司创建人工环境来证明他们的产品效率。在web安全方面,有很多种框架和web应用程序故意让它们容易受到测试和比较web安全测试解决方案的影响。不足为奇的是,它们中的许多适合于特定的产品、其内部逻辑、爬行机制和漏洞检测算法。这样的测试离现实非常遥远,ddos防御方案ppt,不能用来进行产品比较。因此,请始终要求每个供应商在您的环境中进行演示,而不是在他们自己的环境中。否则就买只猪来冒险。价格不应超过专业知识和经验,确保价格最低的公司具有技术经验、客户参考资料和实施与贵公司同等规模项目的案例研究,而不仅仅是实施相同的产品或解决方案。在许多情况下,最低价格意味着交付、实施、支持或维护的最低质量。确保不要在你的RFP中对价格给予太多的权重,否则你会迫使有能力的公司忽略它,而it集成商将以错误计算的价格提供他们从未做过的服务。后来,一旦他们意识到自己的损失,他们将不得不削减未来的开支,至少达到盈亏平衡,这常常会使整个项目的质量处于危险之中。不要忘记服务水平协议(SLA)一些公司,忘记SLA,云防御高防cdn,依靠他们与供应商销售人员的友好关系和浮华的营销材料。销售人员有严格的关键业绩指标,显然不会告诉你有关产品的不方便的真相。如果您对服务质量有特殊要求,请确保RFP参与者意识到了这一点,并准备好按照合同承诺。例如,Web应用程序防火墙服务可以轻松抵御小型DDoS攻击。但是,如果没有适当的SLA,或者没有对其违规行为进行经济制裁,在大规模DDoS攻击期间,您可能会突然感到惊讶,因为在攻击开始后几分钟内就离线了。友好的销售人员会在你每次打电话给他们的时候找借口,但是你的网站要过几天才能上线。普华永道瑞士公司(PwC Switzerland)网络安全专家罗伯特·梅特卡夫(Robert Metcalf)评论道:"为了实现您的目标,请求概念证明(POC)是有意义的——购买前先试用——这将有助于澄清您的需求,并帮助您选择正确的问题解决方案。"遵循上述规则,您可以从开放市场的优势而不会使你的项目处于风险之中。函数getSelectionHtml(){var html="";if(typeof窗口.getSelection!="未定义"){var sel=窗口.getSelection();如果(选择范围计数){var容器=文档.createElement("div");对于(var i=0,len=选择范围计数;i