當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 湖南OA系統(tǒng) > 長沙OA系統(tǒng) > 長沙OA軟件行業(yè)資訊
采用SaaS的高效Web應(yīng)用安全測試
一次Web應(yīng)用安全滲透測試的咨詢費(fèi)用可以達(dá)到10萬美元——許多中等規(guī)模的企業(yè)可望而不可及的一筆費(fèi)用。更經(jīng)濟(jì)實(shí)惠的選擇是使用軟件即服務(wù)(SaaS)模型提供的Web應(yīng)用安全測試,它的成本低好幾萬美元,并可讓你得到自動化和連續(xù)的漏洞測試?! ?/P>
Gartner公司的分析師Joseph Feiman說:“一些SaaS供應(yīng)商提供標(biāo)準(zhǔn)的軟件包,在那兒,你可以購買52個自動掃描程序,并在一天之內(nèi)全部使用,或者花費(fèi)大約9千美元獲得全年使用。對于更高級的測試,需要人工參與業(yè)務(wù)邏輯測試,一年的費(fèi)用大約1.8萬美元。”
對于一些中等規(guī)模的公司,這仍然是昂貴的,但昂貴且很難找到不用接受培訓(xùn)的應(yīng)用安全專家的事實(shí),使成本得到補(bǔ)償,并留住員工。Feiman說,SaaS模型也消除了需要管理用于做漏洞掃描的漏洞測試軟件的服務(wù)器和基礎(chǔ)設(shè)施成本。
在線旅行社Orbitz公司,擁有數(shù)百個面向客戶的網(wǎng)站,它是白帽(WhiteHat)安全公司杰出的Web漏洞測試方案的成員,使用該方案,每年每個站點(diǎn)需要花費(fèi)約1.85萬美元。當(dāng)加入更多網(wǎng)站并全天候掃描已發(fā)現(xiàn)漏洞時,該杰出方案提供了容量折扣。IT公司可以移動掃描到指定的站點(diǎn),并且移動包括Web應(yīng)用的人工業(yè)務(wù)邏輯測試服務(wù)。
業(yè)務(wù)邏輯測試需要人眼去發(fā)現(xiàn)更迂回的漏洞場景,例如在結(jié)算時,黑客將產(chǎn)品的價格從22美元改為2美分。另一種黑客技法是使用網(wǎng)站上的購物清單深入挖掘URL以盜取個人信息,包括客戶的信用卡號碼和地址,以客戶的名義開始為自己購物。
Orbitz公司副總裁和首席安全官Ed Bellis說:“我們有許多[網(wǎng)站],我們自己做漏洞測試是不現(xiàn)實(shí)的?!毙枰?0位全職的安全小組成員,并且由于大多數(shù)公司的網(wǎng)站使用了電子商務(wù)組建,還需要遵守支付卡行業(yè)法規(guī),Bellis估計(jì)他將不得不聘用約30名安全專家去執(zhí)行由白帽提供的相同級別的漏洞測試。
使用白帽安全和競爭對手,例如Cenzic Inc.,用戶可以為每一個站點(diǎn)的漏洞獲得儀表盤(dashboard)展示,供應(yīng)商的工作人員來到客戶現(xiàn)場,深入挖掘漏洞特征,并提供補(bǔ)救措施。趨勢報告顯示哪些網(wǎng)站更常受到攻擊,網(wǎng)站有什么類型的漏洞,以幫助IT團(tuán)隊(duì)優(yōu)先采取補(bǔ)救措施。
其他在Web安全測試領(lǐng)域的SaaS提供商包括Veracode公司和Watchfire公司,在2007年,IBM收購了Watchfire,并更名為IBM Rational。
Web應(yīng)用安全測試更便宜的選擇
基于SaaS的Web應(yīng)用安全測試方案可以縮小到一個網(wǎng)站或一次性漏洞測試。使用白帽的基線方案,中等規(guī)模的企業(yè)一年花費(fèi)約3,000美元便可以獲得自動化測試。更低的成本源于必須做更多的自我服務(wù),以搭建白帽提供的服務(wù),而且還不包括人工業(yè)務(wù)邏輯測試。
標(biāo)準(zhǔn)方案附帶了更多的服務(wù)——例如漏洞掃描服務(wù)搭建和配置——每年每個站點(diǎn)約9,000美元。它包括不受限制的測試和補(bǔ)救援助,但沒有業(yè)務(wù)邏輯測試。
Cenzic的定價通常在2,000美元至20,000美元,提供從一次性Web安全測試到全年無限的掃描服務(wù)。在最低端,中等規(guī)模的公司可以申請7種評估,例如,可以為他們的網(wǎng)站檢查103種攻擊,例如SQL注入和跨站點(diǎn)腳本漏洞。
SQL注入,盡管不新鮮,但仍然是黑客最喜歡的,根據(jù)Cenzic 2009年上半年的漏洞趨勢報告,在商業(yè)Web應(yīng)用代碼中發(fā)現(xiàn)的普遍Web漏洞中,SQL注入占90%。
Cenzic為對其產(chǎn)品感興趣的潛在客戶提供了一次免費(fèi)的健康檢查。
白帽允許客戶和它測試的1500網(wǎng)站中的任意網(wǎng)站比較他們的漏洞排名,包括和競爭對手比較。這有助于首席信息官和首席信息安全官提供業(yè)務(wù)案例證據(jù),以增加更多的測試或防止漏洞測試預(yù)算減少。
Bellis說:“我們的投資回報率(ROI)能夠表明,和競爭對手相比,我們的漏洞已經(jīng)下降,我們的整體排名[在白帽的客戶群中]繼續(xù)上升?!?/P>
- 1廈門OA軟件
- 2合肥OA軟件行業(yè)資訊
- 3杭州OA軟件
- 4鄭州OA軟件
- 5濟(jì)南OA軟件
- 6青島OA軟件
- 7太原OA軟件
- 8上海OA軟件
- 9上海OA軟件行業(yè)資訊
- 10石家莊OA軟件
- 11天津OA軟件
- 12沈陽OA軟件
- 1自動分層存儲越精細(xì)越好?
- 2數(shù)據(jù)中心與云服務(wù),兩項(xiàng)服務(wù)可否共存?
- 3運(yùn)用云計(jì)算技術(shù)實(shí)現(xiàn)多業(yè)務(wù)云的架構(gòu)設(shè)計(jì)
- 4生物識別技術(shù)加強(qiáng)身份安全管理
- 5什么是下一代商業(yè)智能?
- 6電信級技術(shù)已悄然在網(wǎng)絡(luò)視頻監(jiān)控中啟動
- 7YiGo正在傾聽的CIO心聲
- 8固態(tài)硬盤:2010年存儲領(lǐng)域?qū)⑷绾紊涎?
- 9無線局域網(wǎng)協(xié)議802.11b
- 10電子紙飛躍即將來臨
- 11六步措施保障Web應(yīng)用安全
- 12虛擬化打造綠色數(shù)據(jù)中心
- 13自動精簡配置存儲的優(yōu)勢
- 14長沙市長沙市政府采購中心OA辦公軟件招標(biāo)
- 15五個您必須立刻實(shí)施的組策略選項(xiàng)
- 16開福法院引進(jìn)的OA網(wǎng)絡(luò)辦公管理包括電子卷宗、便民訴訟服務(wù)
- 17無線網(wǎng)協(xié)議IEEE 802.11n 問答
- 18安防視頻監(jiān)控系統(tǒng)的組成技術(shù)
- 19存儲自動化鋒芒初露
- 20基于可復(fù)用構(gòu)件思想的ETL架構(gòu)設(shè)計(jì)
- 21統(tǒng)一通訊助推“企業(yè)信息化到桌面”
- 22如何選擇數(shù)字光端機(jī)以及光端機(jī)使用保養(yǎng)
- 23解析VDSL2技術(shù)在高清視頻傳輸中的應(yīng)用
- 24重復(fù)數(shù)據(jù)刪除與壓縮孰優(yōu)孰劣?
- 25基于文件存儲將大行其道
- 26(長沙鎮(zhèn))召開信息工作暨OA辦公系統(tǒng)培訓(xùn)會
- 27虛擬化技術(shù)的安全:IDS/IPS實(shí)施策略
- 28從安防監(jiān)控發(fā)展看系統(tǒng)中的視頻處理技術(shù)
- 29智能電網(wǎng)中的無線通信技術(shù)解析
- 302010年數(shù)據(jù)中心網(wǎng)絡(luò):雙層網(wǎng)絡(luò)來臨
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓