Comparativa de precios de software de DAST: Burp Suite, Nessus y más.
Con más de 20 herramientas DAST en el mercado, elegir la más adecuada puede resultar complicado debido a sus diversas características y precios. Hemos recopilado información pública sobre las estrategias de precios de los proveedores, lo que facilita obtener una visión general y estimar los costes probables.
Precios de software DAST de primera categoría
Proveedores | Prueba gratuita | Precio |
|---|---|---|
InsightVM Rapid7 | ✅ (30 días) | La fijación de precios se basa en los activos (al menos 512 activos). |
Suite Burp de PortSwigger | ✅ | Edición comunitaria: gratuita Edición profesional: 449 dólares por persona al año. Edición empresarial: No se comparte públicamente. |
Nessus sostenible | ✅ (7 días) | De 4.390 a 6.390 dólares anuales |
Ahora seguro | ✅ | No se ha compartido públicamente. |
Indusface ERA | ✅ (14 días) | Cuenta con un plan Avanzado, con un precio de 59 dólares al mes. Los planes Premium y MSSP se facturan anualmente de forma personalizada. |
Comparar Evaluar | ❌ | No se ha compartido públicamente. |
Checkmarx DAST | ❌ | No se ha compartido públicamente. |
HCL AppScan | ✅ (30 días) | No se ha compartido públicamente. |
Los siguientes aspectos son importantes a tener en cuenta en lo que respecta a los precios:
- Nivel de funcionalidades: Los proveedores suelen dividir sus productos en niveles según sus capacidades. Nessus Pro y Nessus Expert de Tenable comparten el mismo motor de escaneo, pero solo Expert añade el escaneo de aplicaciones web y el escaneo de la superficie de ataque externa, razón por la cual Expert cuesta aproximadamente 2000 dólares más al año.
- Modelo de licenciamiento: Algunas herramientas cobran por usuario al año (Burp Suite Professional), otras por activo (InsightVM). El precio basado en activos, como el de Rapid7, reduce el costo unitario a mayor volumen, lo que beneficia a las organizaciones grandes, pero supone un costo mínimo elevado para los equipos más pequeños.
- Planes gratuitos: Tanto Burp Suite Community como Indusface WAS ofrecen opciones de entrada gratuitas, pero con importantes limitaciones de funcionalidad. Community carece por completo de escaneo automatizado, mientras que el plan gratuito de Indusface limita la frecuencia de escaneo y elimina el soporte.
Nessus sostenible
Tenable Nessus ofrece dos herramientas DAST: Nessus Pro y Nessus Expert. Ambas requieren una suscripción anual, pero difieren en precio y funcionalidades. Si bien Nessus Pro es más económico, no ofrece tantas funciones como la versión Expert.
Nessus Professional tiene un precio de lista en EE. UU. de 4390 dólares. Incluye evaluaciones ilimitadas de vulnerabilidades de TI, auditorías de configuración, análisis de cumplimiento y puntuación de vulnerabilidades, pero excluye el análisis de aplicaciones web y el descubrimiento de superficies de ataque externas.
Nessus Expert tiene un precio de lista de $6,390 en EE. UU. Añade escaneo de aplicaciones web, detección de superficie de ataque externa y escaneo de IaC a todas las funciones incluidas en Pro. Las organizaciones que ya utilizan Pro pueden probar Expert gratis durante 7 días antes de suscribirse.
Ambas ediciones ofrecen soporte avanzado opcional (teléfono y chat 24/7) como complemento de pago, y las licencias multianuales tienen descuento. Los precios varían según la región; consulte las tarifas vigentes en tenable.com/buy antes de comprar.
Si buscas un reemplazo para Nessus o aún no te has decidido, considera las alternativas de Tenable Nessus .
InsightVM Rapid 7
En 2024, Rapid7 cambió el nombre de su línea de gestión de vulnerabilidades a la plataforma Command. InsightVM ahora funciona como el motor de gestión de vulnerabilidades dentro de Exposure Command, la oferta insignia actual de Rapid7 para la evaluación y remediación de exposiciones.
El plan Exposure Command tiene un precio por activo (número promedio de activos supervisados) y se factura anualmente. Se ofrece en dos niveles según el nivel de madurez en la nube de la organización, e incluye Surface Command sin costo adicional. Los precios específicos por nivel no se publican; las organizaciones reciben un presupuesto basado en la cantidad de activos y el alcance de la implementación.
Figura 4. Modelo de precios de InsightVM 1
Suite Burp de PortSwigger
Burp Suite cuenta con tres ediciones dirigidas a diferentes tipos de usuarios.
Burp Suite Community es gratuito. Incluye pruebas manuales de interceptación HTTP mediante Burp Proxy, manipulación de solicitudes con Burp Repeater y análisis básico de tráfico web. El escaneo automatizado no está incluido; para ello se requiere una edición de pago.
Burp Suite Professional cuesta 475 $/usuario/año. Incluye escaneo automatizado de vulnerabilidades, Burp Intruder para la automatización de ataques personalizados y Burp AI, un asistente inteligente que genera ideas de ataque y guía las pruebas en tiempo real. Está dirigido a pentesters individuales y pequeños equipos de seguridad de aplicaciones.
Burp Suite DAST es un escáner automatizado de nivel empresarial, diseñado para equipos de seguridad de aplicaciones que gestionan grandes carteras de aplicaciones. Admite usuarios ilimitados, integración con pipelines de CI/CD, escaneo programado, gestión masiva de aplicaciones e implementación tanto en servidores propios como en la nube. El precio se basa en presupuestos personalizados de PortSwigger, según el volumen de escaneo y el alcance de la implementación.
Figura 5. Precios de Burp Suite Professional 2
Indusface ERA
Indusface WAS ofrece un modelo de precios por suscripción con diferentes niveles para adaptarse a diversas necesidades y presupuestos. Ofrecen un nivel Avanzado con un costo de $59 por aplicación al mes o $599 por aplicación al año. También existen las ediciones Premium y MSSP, con facturación anual personalizada. (Ver Figura 7).
Si desea obtener más información sobre las características de estas herramientas, consulte las herramientas de escaneo de vulnerabilidades .
Figura 7. Precios de Indusface WAS 3
Preguntas frecuentes
Sí, existen varias herramientas DAST de código abierto , como OWASP ZAP (Zed Attack Proxy) y Arachni. Si bien estas herramientas quizás no ofrezcan el mismo nivel de soporte ni las mismas funciones avanzadas que las soluciones comerciales, pueden ser una opción rentable para organizaciones con presupuestos limitados.
Para maximizar el valor de las herramientas DAST, las organizaciones deben actualizar periódicamente sus metodologías de prueba para tener en cuenta las nuevas amenazas y vulnerabilidades, integrar las pruebas DAST en el ciclo de vida del desarrollo de software (SDLC), priorizar y corregir rápidamente las vulnerabilidades identificadas e invertir en capacitación para garantizar que los miembros del equipo dominen el uso eficaz de la herramienta.
Al evaluar sus opciones, las organizaciones deben tener en cuenta factores como su presupuesto, los requisitos de seguridad específicos de sus aplicaciones, el nivel de experiencia disponible en su equipo y la escalabilidad y flexibilidad de la herramienta DAST.
Además de las tarifas de licencia básicas, las organizaciones pueden incurrir en costos adicionales por servicios como capacitación, implementación, integración con sistemas existentes, soporte continuo y mantenimiento.
Enlaces de referencia
Siguiente para leer
Precios de los 5 mejores programas de gestión de servicios de TI (ITSM)
Comparativa de las 10 mejores herramientas DAST de código abierto/gratuitas
Los 5 mejores programas de gestión de endpoints con precios.
Sé el primero en comentar
Tu dirección de correo electrónico no será publicada. Todos los campos son obligatorios.