SaaS的Web应用安全测试 成本低效率高SaaS
Gartner公司的分析师Joseph Feiman说:“一些SaaS供应商提供标准的软件包,在那儿,你可以购买52个自动扫描程序,并在一天之内全部使用,或者花费大约9千美元获得全年使用。对于更高级的测试,需要人工参与业务逻辑测试,一年的费用大约1.8万美元。”
对于一些中等规模的公司,这仍然是昂贵的,但昂贵且很难找到不用接受培训的应用安全专家的事实,使成本得到补偿,并留住员工。Feiman说,SaaS模型也消除了需要管理用于做漏洞扫描的漏洞测试软件的服务器和基础设施成本。
在线旅行社Orbitz公司,拥有数百个面向客户的网站,它是白帽(WhiteHat)安全公司杰出的Web漏洞测试方案的成员,使用该方案,每年每个站点需要花费约1.85万美元。当加入更多网站并全天候扫描已发现漏洞时,该杰出方案提供了容量折扣。IT公司可以移动扫描到指定的站点,并且移动包括Web应用的人工业务逻辑测试服务。
业务逻辑测试需要人眼去发现更迂回的漏洞场景,例如在结算时,黑客将产品的价格从22美元改为2美分。另一种黑客技法是使用网站上的购物清单深入挖掘URL以盗取个人信息,包括客户的信用卡号码和地址,以客户的名义开始为自己购物。
Orbitz公司副总裁和首席安全官Ed Bellis说:“我们有许多[网站],我们自己做漏洞测试是不现实的。”需要10位全职的安全小组成员,并且由于大多数公司的网站使用了电子商务组建,还需要遵守支付卡行业法规,Bellis估计他将不得不聘用约30名安全专家去执行由白帽提供的相同级别的漏洞测试。
使用白帽安全和竞争对手,例如Cenzic Inc.,用户可以为每一个站点的漏洞获得仪表盘(dashboard)展示,供应商的工作人员来到客户现场,深入挖掘漏洞特征,并提供补救措施。趋势报告显示哪些网站更常受到攻击,网站有什么类型的漏洞,以帮助IT团队优先采取补救措施。
其他在Web安全测试领域的SaaS提供商包括Veracode公司和Watchfire公司,在2007年,IBM收购了Watchfire,并更名为IBM Rational。
Web应用安全测试更便宜的选择
基于SaaS的Web应用安全测试方案可以缩小到一个网站或一次性漏洞测试。使用白帽的基线方案,中等规模的企业一年花费约3,000美元便可以获得自动化测试。更低的成本源于必须做更多的自我服务,以搭建白帽提供的服务,而且还不包括人工业务逻辑测试。
标准方案附带了更多的服务——例如漏洞扫描服务搭建和配置——每年每个站点约9,000美元。它包括不受限制的测试和补救援助,但没有业务逻辑测试。
Cenzic的定价通常在2,000美元至20,000美元,提供从一次性Web安全测试到全年无限的扫描服务。在最低端,中等规模的公司可以申请7种评估,例如,可以为他们的网站检查103种攻击,例如SQL注入和跨站点脚本漏洞。
SQL注入,尽管不新鲜,但仍然是黑客最喜欢的,根据Cenzic 2009年上半年的漏洞趋势报告,在商业Web应用代码中发现的普遍Web漏洞中,SQL注入占90%。
Cenzic为对其产品感兴趣的潜在客户提供了一次免费的健康检查。
白帽允许客户和它测试的1500网站中的任意网站比较他们的漏洞排名,包括和竞争对手比较。这有助于首席信息官和首席信息安全官提供业务案例证据,以增加更多的测试或防止漏洞测试预算减少。
Bellis说:“我们的投资回报率(ROI)能够表明,和竞争对手相比,我们的漏洞已经下降,我们的整体排名[在白帽的客户群中]继续上升。”