如何计算客户的安全测试或渗透测试成本？

Question

详细信息：

客户希望详细了解渗透测试造成的成本，以及渗透带来的好处。

此外，它有效地意味着通过安全节省成本。

最后一点，我不能完全收窄，因此，我在这方面的问题：

• 我是否可以将安全问题的成本与发生并需要修复的错误相抵消？
• 这里有计算吗？

Answer 1

我曾参与组织雇主软件的渗透测试，而我所经历的是，报价取决于以下两种方法的组合：

• 软件有多大/多复杂(通常近似于web应用程序中的页面数)
• 渗透测试人员需要多长时间才能通过软件？

作为一般的指导方针，如果渗透测试器(S)将完全通过使用标准工具之一扫描应用程序并解释结果，那么它将比自动化和手动安全测试的混合使用成本更低。

最好将渗透测试的成本考虑为保险:根据客户所在国家的不同，对数据泄露的罚款可能非常大(并可能导致破产)。通过查找和修复安全漏洞，安全测试有助于防止数据泄露。因此，与其说是预防可以节省多少钱，不如说是企业没有预防就能负担得起。

Answer 2

总成本可能取决于几个因素，例如渗透测试的类型、范围、长度和测试人员的数量。

型

这公司提供几种类型：

• 外部网络渗透试验
• 内网渗透试验
• 枢轴(假定妥协)试验
• WEB应用程序渗透测试
• 指挥控制与数据外泄评估
• 红队
• 移动应用评估
• 无线穿透试验

(我没有隶属于这家公司，这只是一个例子)

范围

范围与成本成正比，这是相当明显的。需要测试更多的服务器/地点，需要支付更多的工时。

长度和测试人员数量

您可以雇用一名测试人员一天，或多名测试人员多周/多个月。

Benfefit

这取决于数据或服务器的停机时间或赎金的价值，或者任何会对您造成最大伤害的因素。

Answer 3

渗透测试或安全测试服务的实际成本取决于几个因素，例如:产品大小、测试范围和用于测试产品的方法类型。

以下是在确定应用程序的渗透或安全测试服务成本方面发挥关键作用的几个因素：

测试范围:对于每个渗透测试，它必须遵循组织定义的测试范围。该范围包含测试用例计数、平台、API等。

方法:渗透测试的成本可能会波动，取决于测试和方法的全面性，因为每种方法都有一套不同的测试和重点领域。

产品规模:投资渗透测试完全取决于复杂程度和产品规模。随着比例的描述，帐户/记录的数量和复杂性显示了与产品合并的服务类型。