Confronto prezzi software di DAST: Burp Suite, Nessus e altri
Con oltre 20 strumenti DAST sul mercato, scegliere quello più adatto può essere difficile, date le diverse funzionalità e opzioni di prezzo. Abbiamo raccolto informazioni pubblicamente disponibili sulle strategie di prezzo dei fornitori, per facilitare la panoramica e la stima dei costi probabili.
Prezzi dei migliori software DAST
Fornitori | Prova gratuita | Prezzo |
|---|---|---|
InsightVM Rapid7 | ✅ (30 giorni) | La determinazione del prezzo si basa sul numero di asset (almeno 512 asset). |
PortSwigger Burp Suite | ✅ | Edizione Community: Gratuita Edizione professionale: 449 dollari a persona all'anno. Edizione Enterprise: non condivisa pubblicamente |
Nessus Tenibile | ✅ (7 giorni) | Da 4.390 a 6.390 dollari all'anno |
NowSecure | ✅ | Non condiviso pubblicamente |
L'Indo era | ✅ (14 giorni) | Dispone di un piano Avanzato, al prezzo di 59 dollari al mese. I piani Premium e MSSP vengono fatturati annualmente su misura. |
Valutazione del contrasto | ❌ | Non condiviso pubblicamente |
Checkmarx DAST | ❌ | Non condiviso pubblicamente |
HCL AppScan | ✅ (30 giorni) | Non condiviso pubblicamente |
I seguenti aspetti sono importanti da considerare in materia di prezzi:
- Livelli di funzionalità: in genere i fornitori suddividono i loro prodotti in livelli in base alle funzionalità. Nessus Pro e Nessus Expert di Tenable condividono lo stesso motore di scansione, ma solo Expert aggiunge la scansione delle applicazioni Web e la scansione della superficie di attacco esterna, motivo per cui Expert costa circa 2.000 dollari in più all'anno.
- Modello di licenza: alcuni strumenti prevedono un costo per utente all'anno (Burp Suite Professional), altri per risorsa (InsightVM). I prezzi basati sulle risorse, come quello di Rapid7, riducono il costo unitario all'aumentare dei volumi, a vantaggio delle organizzazioni più grandi, ma con un costo minimo elevato per i team più piccoli.
- Piani gratuiti: Burp Suite Community e Indusface WAS offrono entrambi piani gratuiti, ma con significative lacune nelle funzionalità. Community non include affatto la scansione automatizzata, mentre il piano gratuito di Indusface limita la frequenza di scansione e non offre supporto.
Nessus Tenibile
Tenable Nessus offre due strumenti DAST: Nessus Pro e Nessus Expert. Entrambi prevedono un abbonamento annuale, ma si differenziano per costo e funzionalità. Sebbene Nessus Pro sia più economico, non offre lo stesso numero di funzionalità della versione Expert.
Nessus Professional ha un prezzo di listino di 4.390 dollari negli Stati Uniti. Include valutazioni illimitate delle vulnerabilità IT, audit di configurazione, scansioni di conformità e punteggi di vulnerabilità, ma esclude la scansione delle applicazioni web e l'individuazione delle superfici di attacco esterne.
Nessus Expert ha un prezzo di listino di 6.390 dollari negli Stati Uniti. Aggiunge la scansione delle applicazioni web, il rilevamento della superficie di attacco esterna e la scansione dell'IaC a tutte le funzionalità incluse nella versione Pro. Le organizzazioni che utilizzano già la versione Pro possono provare Expert gratuitamente per 7 giorni prima di sottoscrivere l'abbonamento.
Entrambe le edizioni offrono il supporto avanzato opzionale (assistenza telefonica e via chat 24 ore su 24, 7 giorni su 7) come componente aggiuntivo a pagamento, e le licenze pluriennali prevedono uno sconto. I prezzi variano in base all'area geografica; verificare le tariffe aggiornate su tenable.com/buy prima dell'acquisto.
Se stai cercando un sostituto per Nessus o sei indeciso, valuta le alternative a Tenable Nessus .
InsightVM Rapid 7
Nel 2024 Rapid7 ha rinominato la sua linea di gestione delle vulnerabilità nella piattaforma Command. InsightVM ora funziona come motore di gestione delle vulnerabilità all'interno di Exposure Command, l'attuale offerta di punta di Rapid7 per la valutazione e la risoluzione delle esposizioni.
Exposure Command ha un prezzo basato sul numero medio di risorse monitorate e viene fatturato annualmente. È disponibile in due livelli, in base al livello di maturità cloud dell'organizzazione, ed entrambi includono Surface Command senza costi aggiuntivi. I prezzi specifici per ciascun livello non sono pubblicati; le organizzazioni ricevono un preventivo basato sul numero di risorse e sull'ambito di implementazione.
Figura 4. Modello di prezzi di InsightVM 1
PortSwigger Burp Suite
Burp Suite offre tre edizioni pensate per diverse tipologie di utenti.
Burp Suite Community è gratuito. Include test manuali, intercettazione HTTP tramite Burp Proxy, manipolazione delle richieste tramite Burp Repeater e analisi di base del traffico web. La scansione automatizzata non è inclusa; per questa è necessaria una versione a pagamento.
Burp Suite Professional costa 475 dollari per utente all'anno. Include la scansione automatizzata delle vulnerabilità, Burp Intruder per l'automazione personalizzata degli attacchi e Burp AI, un assistente virtuale che genera idee di attacco e guida i test in tempo reale. È pensato per i singoli penetration tester e i piccoli team di sicurezza delle applicazioni.
Burp Suite DAST è lo scanner automatizzato di livello enterprise, progettato per i team di sicurezza delle applicazioni che gestiscono ampi portfolio di applicazioni. Supporta un numero illimitato di utenti, l'integrazione con le pipeline CI/CD, la scansione pianificata, la gestione di applicazioni in blocco e l'implementazione sia in locale che nel cloud. Il prezzo si basa su preventivi personalizzati di PortSwigger, a seconda del volume di scansione e dell'ambito di implementazione.
Figura 5. Prezzi di Burp Suite Professional 2
L'Indo era
Indusface WAS offre un modello di prezzo basato su abbonamento con diversi livelli per soddisfare varie esigenze e budget. È disponibile un livello Advanced con un costo di 59 dollari per app al mese o 599 dollari per app all'anno. Sono inoltre disponibili le edizioni Premium e MSSP, con fatturazione annuale personalizzata (vedere Figura 7).
Se desideri conoscere le funzionalità di questi strumenti, consulta la sezione dedicata agli strumenti di scansione delle vulnerabilità .
Figura 7. Prezzi WAS di Indusface 3
FAQ
Sì, sono disponibili diversi strumenti DAST open source , come OWASP ZAP (Zed Attack Proxy) e Arachni. Sebbene questi strumenti potrebbero non offrire lo stesso livello di supporto e le stesse funzionalità avanzate delle soluzioni commerciali, possono rappresentare un'opzione economicamente vantaggiosa per le organizzazioni con budget limitati.
Per massimizzare il valore degli strumenti DAST, le organizzazioni dovrebbero aggiornare regolarmente le proprie metodologie di test per tenere conto delle nuove minacce e vulnerabilità, integrare i test DAST nel ciclo di vita dello sviluppo del software (SDLC), dare priorità e risolvere tempestivamente le vulnerabilità identificate e investire nella formazione per garantire che i membri del team siano competenti nell'utilizzo efficace dello strumento.
Quando valutano le diverse opzioni, le organizzazioni dovrebbero considerare fattori quali il budget a disposizione, i requisiti di sicurezza specifici delle proprie applicazioni, il livello di competenza del team interno, la scalabilità e la flessibilità dello strumento DAST.
Oltre alle tariffe di licenza di base, le organizzazioni potrebbero dover sostenere costi aggiuntivi per servizi quali formazione, implementazione, integrazione con i sistemi esistenti, supporto continuo e manutenzione.
Collegamenti di riferimento
Sii il primo a commentare
Il tuo indirizzo email non verrà pubblicato. Tutti i campi sono obbligatori.