Uma análise recente feita pelo Gartner, publicada em dezembro último, avaliou a solução de scanners de aplicação desenvolvidos por 15 fornecedores – Acunetix, Cenzic, Codenomicon, HP, IBM, Mavituna Security, Mu Dynamics, nCircle, NT OBJECTives, Parasoft, PortSwigger, Qualys, Quotium Technologies, Veracode e WhiteHat Security – e mostrou os pontos fortes e fracos de cada um deles.
Os scanners de aplicação são ferramentas desenvolvidas para detectar vulnerabilidades em aplicações em execução, como SQL Injection, Cross-site scripting, entre outras. Saiba mais sobre scanners de aplicação…
Os critérios de avaliação utilizados no estudo foram:
- Conhecimento de mercado. Capacidade de o fornecedor entender as necessidades dos compradores e traduzi-las em produtos e serviços.
- Resposta ao mercado. Capacidade de resposta, flexibilidade e vantagem competitiva, acompanhando a evolução das necessidades dos clientes e as mudanças dinâmicas do mercado.
- Sistemática de vendas e precificação. Habilidade nas atividades pré-venda. Inclui gerenciamento de negócios, modelo de preços, negociação, suporte pré-vendas, eficácia global e receptividade do consumidor às vendas e canais parceiros.
- Estratégia de produto. Abordagem adotada pelo fornecedor no desenvolvimento e na distribuição do produto. O equilíbrio entre o foco nas análises de segurança e a satisfação das necessidades das empresas.
- Produto/serviço. Qualidade do produto e serviço prestado. Inclui a atual capacidade do produto/serviço, qualidade e funcionalidades. Foi dada alta pontuação para aqueles que apostaram em amplitude de usuários, como especialistas em testes e em segurança da informação, e fizeram uso de recursos combinados com outras tecnologias.
- Inovação. Desenvolvimento de uma solução que atenda as necessidades dos clientes de forma única e diferenciada.
- Experiência do consumidor. Facilidade de implantação, operação, administração e estabilidade do produto/serviço. Capacidade de oferecer suporte técnico bem como personalização do produto/serviço, a fim de desenvolver características específicas solicitadas pelo cliente.
- Estratégia de marketing. Presença de um claro e diferenciado conjunto de mensagens constantemente comunicado através da organização. Foi dada alta pontuação para aqueles que definiram, com clareza, seu alvo nos mercados de segurança, especialmente segurança de aplicações.
- Viabilidade geral (unidades de negócio, finanças, estratégia e organização). Avaliação da saúde financeira geral da organização. Inclui valor da receita, expertise, número de clientes, número de produtos instalados/utilizados e probabilidade de a empresa continuar investindo em scanners de aplicação e ampliando o mercado de aplicativos de segurança.
O Gartner avaliou fornecedores que participam significativamente do mercado, pelos critérios de presença de mercado e inovação tecnológica.
As principais observações do estudo foram:
- Os principais fornecedores oferecem somente a modalidade “testing as a service” e não oferecem suas ferramentas para venda.
- Cada vez mais, as organizações afirmam preferir usar um produto + um serviço do fornecedor do scanner. Testar as aplicações mais sensíveis usando um scanner internamente e testar as aplicações menos sensíveis usando testing as a service, por exemplo, testar as aplicações já implantadas usando testing as a service e escanear internamente as aplicações em desenvolvimento.
- Futuro: o estudo prevê que até 2016, 40% das empresas utilizarão uma consultoria independente para validar a segurança de serviços de Cloud.
Magic Quadrant for Dynamic Application Security Testing, do Gartner Inc.
