Erkennen Sie Bewertungen und Alternativen
Detectify ist ein Schwachstellenscan System in zwei Formaten erhältlich: eines für intern Scannen, für in der Entwicklung befindliche Anwendungen geeignet und leistungsstark extern Schwachstellenscans, die IT-Betriebsteams verwenden sollten.
Während die meisten Schwachstellenscanner nach bekannten Exploits wie SQL-Injection suchen, verfolgt Detectify einen anderen Ansatz. Das Unternehmen hat eine Agentur gegründet, um die Forschungsergebnisse von „ White-Hat-Hacker ” und entdecken Sie neue Schwachstellen, die es Hackern heimlich ermöglichen könnten, Systeme zu beschädigen.
Über Detectify
AB erkennen ist ein schwedisches Unternehmen, das 2013 seine Geschäftstätigkeit aufnahm. Zu den Gründern des Unternehmens gehörte ein White-Hat-Hacker und es basiert auf einer etablierten Open-Source-Methode zur Cybersicherheitsforschung – die Bug-Bounty .
Hinter Detectify steht eine Organisation namens Crowdsource erkennen . Dabei handelt es sich um ein System, bei dem sich jeder registrieren und dann eine Sicherheitslücke melden kann. Angenommen, diese Schwachstelle wird nicht bereits in der Detectify-Bibliothek abgedeckt. In diesem Fall wird es hinzugefügt und der Mitwirkende verdient eine Gebühr jedes Mal, wenn diese Schwachstelle in einem Client-System während eines Schwachstellenscans entdeckt wird.
Der Open Source Der Sicherheitsforschungsmechanismus hinter Detectify ist das Alleinstellungsmerkmal des Unternehmens. Die Liste bekannter Schwachstellen wird ständig erweitert, diese werden jedoch nicht mit der gesamten Cybersicherheitsbranche geteilt. Besser noch: Detectify hat es getan keine Vorabkosten bei der Leitung eines Forschungsteams. Penetrationstester werden nur dann bezahlt, wenn sie einen neuen Exploit entdecken.
Die Entdeckung produktspezifischer Schwachstellen kann für Cybersicherheitsunternehmen eine Geldverschwendung sein, denn sobald der Hersteller von dem Problem erfährt, meldet er sich ein Patch und diese Schwäche existiert nicht mehr. Im Wesentlichen erhalten alle Softwarehersteller Kostenlose Systemtests Dienstleistungen von Cybersicherheitsunternehmen, die Forschungslabore betreiben. Dadurch, dass Detectify zum Mittelsmann geworden ist, hat es die hohen Forschungskosten eingespart und das Risiko, die Forschungskosten nie zurückzuerhalten, auf die einzelnen Techniker abgewälzt.
Über Bug Bounties
Die Cybersicherheitsbranche ist auf dem Vormarsch Fehlerprämien für einige Zeit. Dies bietet einen Preis für jeden, der eine Schwachstelle in einem bestimmten System findet. Kurz gesagt: Dies kann günstiger sein als die Beauftragung eines Penetrationstestteams, da nur der Auftraggeber zahlen muss eine Gebühr und erhält möglicherweise die Dienste einer großen Anzahl von White-Hat-Hackern.
Jeder, der versucht, in ein System einzudringen, um eine Bug-Bounty einzufordern, ist im Grunde ein Fehler eine Wette annehmen . Die Arbeit derer, die nicht scheitern. Nur die wenigen, denen es gelingt einen Exploit finden Geld für ihre Bemühungen bekommen.
Natürlich sind Unternehmen, die Bug-Bounties ausstellen, bereits über alle Exploits informiert, wie z OWASP Top 10 . Dies sind die Sicherheitslücken, nach denen jeder Schwachstellenscanner sucht. Daher wird ein Unternehmen, das eine Bug-Bounty anbietet, dies bereits getan haben abgesperrt Alle Schwachstellenscans deckten Exploits auf. Somit haben nur diejenigen Hacker eine Chance, mit der Herausforderung Geld zu verdienen, die neue Schwachstellen entdecken, von denen Cybersicherheitsfirmen noch nichts wissen.
In der Regel gibt es eine Bug-Bounty ein fortlaufendes Angebot , also bekommt das Unternehmen, das es anbietet ständige Bestätigung dass seine Sicherheitssysteme funktionieren. Sie müssen für diese Verifizierung nichts bezahlen, daher fallen die Kosten für die Auszahlung an, wenn die Sicherheit endgültig ist kompromittiert ist ein geringer Preis.
Durch die Einrichtung von Detectify Crowdsource verfügt Detectify über ein permanentes Bug-Bounty-System. Daher verfügt es immer über eine umfangreichere Exploit-Bibliothek als herkömmliche Schwachstellen-Scan-Dienste. Da das Unternehmen keinen Pauschalbetrag zahlt, sondern eine Kommission , ein selten vorkommender Exploit kostet sie nichts.
Das Agenturmodell von Detectify bedeutet, dass es eine unendliche Anzahl potenzieller Schwachstellen auflisten kann, die außergewöhnlich, sehr schwerwiegend sein können selten, und es wäre sonst unwirtschaftlich, sich damit zu beschäftigen. Selbst wenn ein Softwarehersteller einen Exploit abschließt, lohnt es sich dennoch, nach diesem Fehler zu suchen, da es möglicherweise viele Installationen auf der Welt gibt, bei denen dies nicht der Fall ist habe den Patch angewendet das behebt das Problem.
Pläne erkennen
Detectify bietet drei Pläne an. Die ersten beiden davon sind Tiefen-Scan , was für das Scannen innerhalb einer Organisation gilt, und Asset-Überwachung , ein externer Schwachstellenscanner. Der dritte Plan ist Alles bekommen , eine Kombination aus Deep Scan und Asset Monitoring sowie eine Reihe maßgeschneiderter Ratschläge zur Systemsicherheit.
Es ist möglich, sowohl für Deep Scan als auch für Asset Monitoring ein Abonnement abzuschließen. Allerdings wird dies den Get It All-Plan immer noch nicht vollständig widerspiegeln, da es sich bei diesem Top-System um ein maßgeschneidertes Angebot handelt, das alles beinhaltet zusätzliche Beratungsleistungen .
Tiefen-Scan
Der Tiefen-Scan Das System ist für DevOps-Umgebungen geeignet. Es bietet bedarfsgesteuertes, geplantes und kontinuierliches Scannen und eignet sich ideal für die Integration in ein CI/CD-Pipeline .
Der Scanner kann entweder für einen On-Demand-Lauf oder über einen aufgerufen werden Autoerkennung Verfahren. Es ist auch möglich, alle Assets zu identifizieren und zu scannen, um das System zum Laufen zu bringen, indem eine Liste geladen oder ein Feed von einer Plattform wie z. B. abgerufen wird AWS Route 53 oder Google Analytics .
Unabhängig davon, wie das System ausgeführt wird, erhalten Sie anhand der Scanergebnisse eine Liste der identifizierten Assets (bei denen es sich nur um eines handeln kann) und eine Bewertung der Sicherheit jedes einzelnen Assets. Eventuelle Schwachstellen können mit dem behoben werden Orientierungshilfe das dem Ergebnisbericht beiliegt.
Die Deep Scan-Wissensdatenbank wird ständig durch von uns bereitgestellte Entdeckungen aktualisiert Crowdsource erkennen System. Darüber hinaus nutzt der Dienst das Konzept des Fuzzing, um verschiedene Eingabemöglichkeiten zu testen und die Reaktionen der Anwendung zu testen.
Der Hauptvorteil des Deep Scan-Systems ist seine Fähigkeit, als Teil davon zu arbeiten ein DevOps-Projekt System. Integrationen mit Jira, Slack, Trello, OpsGenie, Webhooks und Splunk ermöglichen die Automatisierung von Teststarts und Feedbackpfaden. Dies ermöglicht den automatisierten Start von Anwendungssicherheitstests.
Asset-Überwachung
Asset-Überwachung erkennen ist ein externer Scandienst, der nicht auf dynamischen Teststrategien basiert; Tatsächlich bewirbt sich dieses System als Dienst, der Schwachstellen erkennt, die einer DAST-Methode entgehen würden.
Dieser Dienst wird über das Dashboard von Detectify ausgeführt SaaS-Plattform . Der Benutzer gibt eine URL in ein Feld im Dashboard ein und aktiviert dann das automatische Scannen. Der Schwachstellenmanager startet einen Erkennungsdienst, der alle Seiten einer bestimmten Website durchläuft und alle Komponenten identifiziert. Anschließend sucht es nach dem Standort dieser Dienste und durchsucht sie nach unteren Schichten unterstützender Funktionen. Das rekursiver Prozess wird fortgesetzt, bis die gesamte unterstützende Infrastruktur aufgespürt wurde.
Asset Monitoring kann wie Deep Scan mit Projektmanagement-Tools wie Jira und Slack verknüpft werden. Die Scan-Ergebnisse können auch an wichtiges Personal weitergegeben werden, z Empfehlungen für Korrekturen auf erkannte Probleme.
Der Crowdsource erkennen Die Recherchen fließen in den Schwachstellenscanner ein, der für den Asset Monitoring-Dienst verwendet wird. Ein Scan umfasst periphere unterstützende Dienste wie DNS-Einträge, Container und Containerverwaltungssysteme. Das System identifiziert auch Kanäle für die unbeabsichtigte Offenlegung von Informationen und unachtsam fest codierte Werte.
Wie viel kostet Detectify?
Die beiden unteren Pläne von Detectify haben Abonnementpreise. Der Unternehmen Bei dem Paket handelt es sich eher um einen ausgehandelten Dienst, für den einmalige Gebühren und laufende Abonnements anfallen können.
Die Grundpreise für Detectify-Dienste sind:
- Tiefen-Scan : 85 $ pro Monat, jährliche Abrechnung, 105 $ monatlich
- Asset-Überwachung : 420 $ pro Monat, jährliche Abrechnung, 570 $ monatlich
Beide Pläne können auf erlebt werden ein zweiwöchiges Probetraining .
Bereitstellungsoptionen erkennen
Detectify ist nur verfügbar als eine SaaS-Plattform . Das bedeutet, dass Sie über ein auf dem Detectify-Server gehostetes Dashboard auf den Dienst zugreifen und alle Verarbeitungsfunktionen dort ausgeführt werden.
Durch eine Reihe von Integrationen kann der Dienst mit anderen Tools interagieren. Dies ist besonders wichtig bei den CI/CD-Pipeline-Bereitstellungsoptionen für Tiefen-Scan . Sie können installieren kostenlose Plug-Ins damit das System mit Apps wie Jira, OpsGenie und Splunk interagieren kann.
Ermitteln Sie Vor- und Nachteile
Hier finden Sie eine Zusammenfassung der Vor- und Nachteile eines Detectify-Abonnements.
Vorteile:
- Eine einzigartige Liste von Exploits aus der Hacker-Community
- Ein niedriger Preis im Vergleich zu anderen CI/CD-Testdiensten oder Schwachstellenscannern
- Ein benutzerfreundlicher Dienst, für den lediglich die Eingabe einer Asset-Adresse in das Dashboard erforderlich ist
- Sie müssen keine Software hosten – die gesamte Softwarewartung auf dem Cloud-Server ist im Preis inbegriffen
- Eine Auswahl an internen und externen Scanstrategien
Nachteile:
- Die von Detectify Crowdsource bereitgestellte spezielle Strategie zur Exploit-Erkennung ist möglicherweise nicht sehr effektiv
Alternativen zu Detectify
Die einzigartige Gewinnmethode von Detectify zusätzliche Informationen auf Systemsicherheit durch seine Crowdsource erkennen Das System ist kaum zu schlagen. Dieser Service bedeutet, dass der Schwachstellenscanner Detectify immer Zugriff auf Informationen über Sicherheitslücken hat, die andere Forschungslabore noch nicht entdeckt haben. Darüber hinaus findet das System neue Schadensmöglichkeiten Web Applikationen ohne jeglichen Aufwand für die Finanzierung eines Forschungsteams, sodass das Unternehmen seine Kosten niedrig halten und ähnlich gründliche Anbieter von Schwachstellenscannern unterbieten kann.
Andere innovative Methoden zum Entdecken bereit Zero-Day-Exploits und andere Sicherheitstestdienste könnten bessere Strategien bieten als die von Detectify bereitgestellten.
Hier ist unsere Liste der fünf besten Alternativen zu Detectify:
- Unbesiegbarer Zugang, KOSTENLOSE DEMO Dieser Dienst kann als Schwachstellenscanner für den IT-Betrieb oder als Kontinuitätstester für CI/CD-Pipelines verwendet werden. Obwohl die wichtigsten dynamischen und interaktiven Anwendungssicherheitstestsysteme in diesem Paket effektiv sind, liegt der Vorteil von Invicti in seinem Hawk-Detektorsystem, das erweiterte Szenarien durchspielt, um Out-of-Band-Schwachstellen zu erkennen, die in Testsystemen von Mitbewerbern nicht als Fehler gelten würden, dies aber könnten leicht ein System gefährden. Verfügbar für die Installation auf Windows oder Windows Server oder als Cloud-Dienst. Sie können eine kostenlose Demo erhalten.
- Acunetix-ZUGANG KOSTENLOSE DEMO Dieser Dienst umfasst eine externe Schwachstelle, die nach 7.000 Exploits sucht, und einen internen Netzwerkscanner, der nach 50.000 netzwerkbasierten Exploits sucht. Dieses System kann für den IT-Betrieb oder DevOps-Tests verwendet werden. Der Dienst priorisiert das Scannen von Assets, die mit größerer Wahrscheinlichkeit einem Angriff ausgesetzt sind. Acunetix ist in drei Plänen erhältlich, die auf unterschiedliche Unternehmensgrößen und -typen zugeschnitten sind. Der Dienst ist ein lokales Softwarepaket für Windows, macOS und Linux. Registrieren Sie sich für eine kostenlose Demo.
- GitLab Ultimate Dies ist die Top-Edition von GitLab, einer hoch angesehenen DevOps-Projektmanagementumgebung. Die niedrigste Edition von GitLab ist kostenlos, aber die Ultimate-Version ist der einzige Plan, der integrierte Sicherheitsscans mit einem DAST-System umfasst. Dieses Tool konkurriert mit der Deep Scan-Option von Detectify und ist nicht für diejenigen geeignet, die speziell nach einem Schwachstellenscanner für den IT-Betrieb suchen. Dieses System wird auf einer Cloud-Plattform betrieben und Sie können es entweder auf Ihrem Cloud-Konto hosten oder ein Abonnement für die SaaS-Version abschließen. Erleben Sie die gehostete Version auf einem Kostenlose Testphase .
- Rapid7 InsightAppSec Dieses System wird von den Sponsoren von Metasploit angeboten. Es kann als Schwachstellenscanner für etablierte Live-Assets verwendet oder in eine Entwicklungsumgebung integriert werden, sodass es beide kritischen Editionen von Detectify modelliert. Zu den Berichten, die dieses System für entdeckte Exploits liefert, gehört die Demonstration des Codes, sodass Entwickler verstehen, wie das Problem durch eine Neufassung behoben werden kann. Dieser cloudbasierte Dienst ist 30 Tage lang kostenlos .
- HCL AppScan Dieser Dienst bietet dynamische, statische und interaktive Sicherheitsüberprüfungen für in der Entwicklung befindliche Webanwendungen. Das System kann auch für das externe Schwachstellenscannen für etablierte Websysteme verwendet werden und ist daher ein guter Konkurrent für Deep Scan und Asset Monitoring von Detectify. Mit diesem System lassen sich auch mobile Apps auf Schwachstellen scannen. Das Paket steht zur Installation auf Windows und Windows Server zur Verfügung und wird auch als SaaS-Plattform bezeichnet. AppScan ist für a verfügbar Kostenlose Testphase .
Erwägen Sie Detectify
Es gibt potenzielle Mängel im Detectify Bug-Bounty Strategie. Das Fehlen eines Vorabpreises bedeutet, dass die geringe Belohnung Die vom Dienst angebotenen Informationen ziehen nicht unbedingt alle von den registrierten Forschern gesammelten Informationen an. A White-Hat-Hacker könnte im Laufe der Zeit mit Detectify über sein Provisionssystem Geld verdienen, aber das ist möglicherweise nicht so sofort zufriedenstellend wie vielleicht der Verkauf des neuen Angriffskonzepts auf dem Dunkles Netz gegen eine Vorauszahlung.
Kurz gesagt, während Detectify’s Crowdsource Obwohl die Strategie auf dem Papier gut aussieht, könnte sie lediglich darin bestehen, die Schwachstellen auszunutzen, die die Hacker auf der ganzen Welt entdecken. Stattdessen bietet es eine Schnäppchenjagd für Hacker, die feststellen, dass sie mit einigen der entdeckten Exploits nicht viel Geld verdienen können.
Es lohnt sich, einen Blick auf die Möglichkeiten von Detectify zu werfen, aber das sollte auch der Fall sein Benchmarking Vergleichen Sie alternative Sicherheitstester für Webanwendungen, bevor Sie sich für den Kauf entscheiden.