¿Qué empresa ofrece la mejor seguridad de aplicaciones web con un precio mínimo?

Es muy difícil juzgar lo mejor.

Si está buscando pruebas manuales de penetración de aplicaciones web, es muy importante identificar la metodología.

Consulte la metodología de Entersoft en Pruebas de aplicaciones web avanzadas

Si está buscando seguridad automatizada de aplicaciones web, consulte los siguientes productos.
Detectar – Mantenerse seguro – ¡Vete a hackear!
Comprueba tus vulnerabilidades en Enrpobe
Plataforma de priorización y monitoreo de amenazas de vulnerabilidad
ScanMyServer: pruebe la seguridad de su sitio web, servidor web o blog

Diferentes productos cubren diferentes matrices de amenazas.

Pruebe las siguientes herramientas si tiene la capacidad de ejecutar un WAPT

• Acunetix
• Eructar

Otras herramientas son difíciles de configurar o costosas.

Bueno, si necesita una solución para mejorar la seguridad de su sitio web, existen WAF (firewall de aplicaciones web). WAF analiza las solicitudes que llegan a su aplicación web y bloquea las maliciosas que pueden ser peligrosas.

Gratis

1. Mod_security (Firewall de aplicaciones web de código abierto). El más popular entre los de código abierto. Puede usarlo de forma gratuita usando los conjuntos de reglas predeterminados, pero esté listo para ajustar las reglas de bloqueo con cada actualización significativa de código (de lo contrario, obtendrá falsos positivos)
2. naxsi (nbs-system / naxsi) también es gratuito y mucho más fácil de mantener. Utiliza un pequeño subconjunto de reglas simples (naxsi_core.rules) que contienen el 99% de los patrones conocidos involucrados en las vulnerabilidades de los sitios web y tiene un modo de aprendizaje para crear listas blancas para evitar falsos positivos.

Pagado

1. Incapsula (CDN, Seguridad del sitio web, Protección DDoS, Equilibrio de carga | Incapsula) es un servicio SaaS con WAF incorporado. Mantenido por el líder en el mercado WAF de la empresa iMPERVA. Instalación sencilla con solo cambios en la configuración de DNS del sitio web.
2. Wallarm (Wallarm – Protección contra hackers). El firewall de aplicaciones web basado en NGINX que utiliza el aprendizaje automático para encontrar anomalías y ataques subyacentes y un escáner de vulnerabilidades incorporado para verificar el nivel de riesgo de cada ataque detectado.

Algunos de los proveedores de SaaS tienen paquetes estándar donde puede comprar 52 escaneos automáticos y usarlos todos en un día o usarlos durante todo el año por alrededor de $ 9, 000 “, dijo Joseph Feiman, analista de Gartner Inc. en Stamford, Connecticut. “Para las pruebas más avanzadas que requieren que alguien entre manualmente para las pruebas de lógica de negocios, oscila alrededor de $ 18,000 por año”.

Eso sigue siendo costoso para algunas empresas del mercado medio, pero el costo puede compensarse por el hecho de que los especialistas en seguridad de aplicaciones costosos y difíciles de encontrar no tienen que ser entrenados y mantenidos en el personal. El modelo SaaS también elimina los costos de los servidores y la infraestructura necesarios para albergar el software de prueba de vulnerabilidad utilizado para hacer los escaneos de vulnerabilidad, dijo Feiman.

La agencia de viajes en línea Orbitz LLC, que tiene cientos de sitios web orientados al cliente, paga alrededor de $ 18,500 por sitio por año por el servicio de pruebas de seguridad web de WhiteHat Security Inc. El programa escanea sitios en busca de vulnerabilidades las 24 horas. TI puede mover los escaneos a sitios específicos y el servicio incluye pruebas manuales de lógica de negocios de aplicaciones web.

Las pruebas de lógica empresarial requieren que los ojos humanos descubran escenarios de vulnerabilidad más tortuosos, como los piratas informáticos que cambian el precio de un producto de $ 22 a 2 centavos al momento del pago. Otro truco de hackers es usar las opciones de la lista de deseos en los sitios web para profundizar en la URL de información personal, incluidos los números y las direcciones de las tarjetas de crédito del cliente, para comenzar a hacer sus propias compras con el nombre del cliente.

“Llegamos a un número [de sitios web] donde no era realista evaluar las vulnerabilidades nosotros mismos”, dijo Ed Bellis, vicepresidente y director de seguridad de Orbitz. Con 10 miembros del equipo de seguridad a tiempo completo y la necesidad de seguir las regulaciones de la industria de tarjetas de pago dado que la mayoría de los sitios web de la compañía tienen componentes de comercio electrónico, Bellis estima que habría tenido que contratar a unos 30 especialistas en seguridad para realizar el mismo nivel de pruebas de vulnerabilidad proporcionado por WhiteHat.

Con WhiteHat Security y competidores como Cenzic Inc., los usuarios obtienen una pantalla de panel de vulnerabilidades para cada sitio, un desglose de las vulnerabilidades y recomendaciones para la reparación, que los miembros del personal del proveedor guían al equipo de TI del cliente. Los informes de tendencias también muestran información como qué sitios están siendo atacados con mayor frecuencia y qué tipos de vulnerabilidades tienen los sitios, para ayudar a los equipos de TI a priorizar las soluciones.

Otros proveedores de SaaS en el espacio de pruebas de seguridad web incluyen Veracode Inc. y Watchfire, que fue adquirida por IBM en 2007 y renombrada IBM Rational.

Opciones menos costosas para pruebas de seguridad de aplicaciones web

Los programas de pruebas de seguridad de aplicaciones web basadas en SaaS pueden reducirse a pruebas de vulnerabilidad de un sitio o de una sola vez. Con el programa de línea de base de WhiteHat, las empresas medianas obtienen pruebas de vulnerabilidad automatizadas por alrededor de $ 3,000 al año. El costo más bajo proviene de tener que hacer más autoservicio para configurar el servicio con WhiteHat, y no incluye pruebas manuales de lógica de negocios.

Un programa estándar viene con un poco más de servicio, como la configuración y configuración del servicio de escaneo de vulnerabilidades, por aproximadamente $ 9,000 por sitio, por año. Incluye pruebas ilimitadas y asistencia de corrección, pero no pruebas de lógica de negocios.

El precio de Cenzic generalmente cuesta de $ 2,000 a $ 20,000, con servicios que van desde pruebas de seguridad web únicas hasta escaneos ilimitados durante el año. En el extremo más bajo, las empresas del mercado medio pueden suscribirse a siete evaluaciones, por ejemplo, en las que se comprobarán sus sitios para detectar 103 ataques, como inyecciones SQL y vulnerabilidades de secuencias de comandos entre sitios.

Las inyecciones SQL, aunque no son nada nuevo, siguen siendo un favorito de los piratas informáticos y el 90% de las vulnerabilidades web en general se encontraron en el código de aplicaciones web comerciales, según el informe de tendencias de vulnerabilidad de Cenzic para el primer semestre de 2009.

Cenzic ofrece un chequeo de salud gratuito por única vez a clientes potenciales interesados ​​en probar su oferta.

Avani permite a los clientes comparar su clasificación de vulnerabilidad con cualquiera de los 1,500 sitios web que prueba el proveedor, incluidos los competidores. Esto ayuda a los CIO y a los directores de seguridad de la información a presentar un caso de negocios para agregar más pruebas o evitar que el presupuesto de pruebas de vulnerabilidad se reduzca.

El que te da seguridad mientras estás dentro de tu presupuesto.

En otras palabras, será el que elijas.

Antes de elegir, piense en algunos de los siguientes puntos

1. ¿Cuál es la necesidad principal de seguridad de la aplicación web? ¿Es impulsado por los requisitos del cliente o le gustaría ser proactivo?
2. ¿Cuál crees que es la amenaza? Ataques de piratas informáticos, pérdida de datos de clientes, pérdida de reputación.
3. ¿Qué tan experimentados / experimentados son sus desarrolladores? Cualquier tipo de seguridad es un esfuerzo único. Una vez que obtienen un informe de una prueba de seguridad, ¿son capaces de solucionar los problemas y también de asegurarse de que no vuelvan a cometer los mismos errores?
4. ¿Qué te hizo pensar en la seguridad de las aplicaciones web ahora?
5. ¿Has oído hablar de OWASP Top 10?
6. ¿Quién configurará su servidor? ¿Entienden cómo alojar sitios web de forma segura?

Con estas respuestas, obtendrá una mejor idea de qué preguntarle al proveedor con el que está hablando. También le dará más claridad sobre por qué está haciendo esto ahora y observará la capacidad interna.

Lo más importante es encontrar un proveedor / persona / consultor / empresa en el que pueda confiar y con la que se sienta seguro.

Si no tiene ninguna garantía, no verá ningún valor en la cantidad de dinero y esfuerzo gastado. 🙂

ps Hay muchas herramientas excelentes de código abierto y gratuito para comenzar esto por su cuenta, si así lo desea.

Puede probar todo esto de forma gratuita y comparar los resultados.

• OWASP ZAP http://code.google.com/p/zaproxy …
• Edición gratuita de Netsparker https://www.netsparker.com/commu…
• Ironwasp http://ironwasp.org/

Todo lo mejor en su viaje de seguridad.

Existen numerosos proveedores de servicios de seguridad que ofrecen servicios de prueba de seguridad de aplicaciones web y móviles de alto nivel. A continuación hay algunos de ellos.

La plataforma de seguridad de aplicaciones más potente del planeta

Seguridad de aplicaciones y software de seguridad como servicio | Cigital

Servicios de pruebas de seguridad de aplicaciones web India- Avyaan

Servicios de investigación de Internet, antiphishing y seguridad PCI

cWatch Website Security le ofrece la mejor seguridad de aplicaciones web Con precio asequible. Usé esto durante 1 año. Tuve una experiencia increíble con ellos, me apoyaron 24/7. Por lo tanto, sugiero que cWatch lo use para escanear y monitorear su sitio web.

Hola,

Sin medidas de seguridad excepcionales, su aplicación o sitio web no estarán seguros, existen numerosos métodos que los hackers o intrusos afectarán su aplicación o sitio web. Para evitar este tipo de ataques, utilizamos servicios de seguridad de firewall de aplicaciones web (WAFS) .

Una de las mejores empresas que brinda servicios de seguridad de firewall de aplicaciones web es Fgrade Global Services.

WAFS es un servicio de seguridad en la nube que cada visitante de su sitio web o aplicación vendrá a WAFS, según las reglas o la actividad del visitante. WAFS permitirá que el visitante ingrese a su sitio.

Caracteristicas

• Protección contra piratería
• Protección de inyección SQL
• Protección contra malware y limpieza automática
• Lista negra y lista blanca páginas particulares
• Bloquear ubicaciones particulares o Ip’s

mucho más…….

Viene con el cumplimiento de PCI para la seguridad de datos y la protección contra malware, así que opte por dicho servicio si desea conocer las mejores opciones para sus requisitos, le sugerimos que nos envíe un ping a Fgrade.

Me haría eco de lo que otros han sugerido en sus respuestas anteriores. Su pregunta es bastante amplia / abierta. Como proveedor de seguridad total de aplicaciones, estoy convencido de que mi solución es la mejor relación calidad-precio, pero aquí estoy asumiendo que su problema está en línea con la solución que ofrezco. Ofrecemos un paquete único de “Detectar, proteger, defender”.

Detectar: combinamos vulnerabilidad de aplicaciones, pruebas de penetración y monitoreo de malware en nuestra solución web Indusguard. Esto le permite detectar problemas en su aplicación implementada (es decir, somos DAST y no SAST, si conoce estas terminologías específicas de la industria).

Proteger: una vez que detectemos problemas en su aplicación, puede parchear los problemas en su código (muy recomendable, y solo una solución permanente a problemas de seguridad reales). Muchas veces, eso no es posible por varias razones (la aplicación está desactualizada, le preocupa que los desarrolladores rompan dos cosas al intentar solucionar un problema, el contratista cerró la tienda, etc.) y es entonces cuando llega nuestra “Solución de parcheo virtual instantáneo” en. Desarrollamos reglas para nuestro Firewall de aplicaciones web (WAF) para parchear sus vulnerabilidades identificadas.

Defender: Publicar parches virtuales iniciales, nuestra solución monitoreará constantemente su sitio web para detectar vulnerabilidades de seguridad futuras, además de bloquear cualquier intento de explotar vulnerabilidades identificadas en el pasado. Registramos cualquier actividad sospechosa por “vulnerabilidades potenciales” y le brindamos la opción de bloquear dichas actividades cuando cruzan cierto umbral.

Además de esto, garantizamos Cero WAF Falso positivo (otros proveedores reclamarán cero falso positivo en la parte “Detectar” de la solución que describí anteriormente, proporcionamos esto en la parte de protección, mucho más difícil). Además, también ofrecemos el “Servicio de mitigación DDoS de aplicaciones”.

Si uno está interesado en el paquete completo y puede apreciar los USP de nuestra oferta, tenemos el mejor valor en la ciudad. Pero si está buscando soluciones de comida de una pieza, es posible que no seamos la solución más barata. De nuevo, una respuesta bastante amplia a una pregunta muy amplia. Pero espero que esto ayude a aclarar algunos procesos de pensamiento en torno a “put y take” de “Seguridad de la aplicación”.

Feliz de discutir esto más a fondo. También puede leer más sobre esto en Indusface – Prueba de penetración de aplicaciones

Mehul

No necesita 10000 investigadores de seguridad, sino 1 o 2 hackers sangrientos y poderosos (hombres de sombrero blanco).

Y he estado en el hackeo desde el 16, al que llamas ahora como prueba de seguridad o prueba de penetración o seguridad de la aplicación. Veo todo esto como sinónimos.

Hablemos de qué quiere decir menos precios. Veamos si su menor precio funciona para nosotros 🙂 Vea más en Security Testing Services – Pruebas de aplicaciones web – Pruebas de aplicaciones móviles – Test Insane

Es posible que le resulten útiles las opiniones reales de los usuarios de todas las principales herramientas de seguridad de aplicaciones en IT Central Station.

A modo de ejemplo, los usuarios interesados ​​en este tipo de herramientas leen reseñas de HPE Fortify on Demand. Este usuario escribe: “La solución simplemente identifica cualquier falla de seguridad que pueda tener cualquiera de nuestras aplicaciones”. Puede leer el resto de su revisión aquí: Revisión de HPE Fortify on Demand por un usuario real

Si está buscando un firewall de aplicaciones web llave en mano, no hay muchos que ofrezcan soluciones sólidas. Imperva es uno de los líderes en el espacio. Si está buscando un marco de seguridad de código de aplicación, miraría Checkmarx.

Bugcrowd ofrece a las empresas acceso a su comunidad de 8,000 investigadores de seguridad a través de su plataforma gratuita de divulgación responsable (descargo de responsabilidad: trabajo para Bugcrowd).

La plataforma, conocida como Crowdcontrol, permite a su equipo recibir y revisar envíos de vulnerabilidades, validarlos y recompensar a los investigadores con puntos o recompensas.

Permite una cobertura máxima porque los investigadores humanos descubrirán vulnerabilidades creativas (no solo escáneres automáticos).

Le proporcionamos la plataforma y los investigadores que necesita para conocer de forma gratuita dónde es vulnerable. Hacemos fin a la carne si necesita ayuda para validar o si decide recompensar a los evaluadores con recompensas en efectivo.

Hola,

La seguridad de TI es la mayor necesidad de hoy. ¡Te sugiero que eches un vistazo a Immunity Networks!

Immunity Networks es una empresa proveedora de servicios y soluciones de consultoría de seguridad informática con oficinas en Mumbai, India y Dubai, EAU.

¡Immunity Networks & Technologies ofrece servicios de seguridad de TI de extremo a extremo, altamente confiables, personalizados y asequibles junto con un alto nivel de soporte técnico para todas sus necesidades!

Si está buscando proveedores de seguridad de aplicaciones web, puede detenerse aquí @ Avyaan ofrece soluciones innovadoras de seguridad cibernética para la protección de aplicaciones a un precio asequible.

Nuestro equipo acepta mucha experiencia en funciones y código de la aplicación, desde el punto de vista de la seguridad web, operando en varias plataformas como ASP.NET, ASP, Java, C ++, PHP, etc.

Otra opción es hacer un programa de recompensas de errores. Esto le proporcionará una prueba realizada por probadores que utilizan múltiples tipos de escáneres, así como la lógica humana. Esto le brinda una prueba de alta calidad. Como solo está pagando por errores válidos, también es muy rentable.

Nuestra plataforma CrowdCurity es una de las opciones disponibles para iniciar fácilmente un programa.

El dinero siempre es considerable. Cuando estaba buscando uno, IndusGuard Web Advanced me sirvió mucho. Echale un vistazo.

Cyberoma es una de las mejores empresas que ofrece suscripción de firewall de aplicaciones web en sus aplicaciones de seguridad de red para sitios web seguros y aplicaciones basadas en web en organizaciones contra ataques. cyberoam.com/webapplicationfirewall.html

Bueno, si está buscando un escáner de seguridad de aplicaciones web basado en la nube, le sugiero que pruebe el Blackhound de Wegilant http://weg.io/BlackHoundFreeTrial

Empresa de consultoría en seguridad de la información – Torrid Networks