Juli könnte den altmodischen Markt für dynamisches Anwendungssicherheitsscanning (Dynamic Application Security Scanning, DAST) trotz der bevorstehenden Ferienzeit gehörig durcheinanderbringen und aufmischen. Die bahnbrechende Innovation kommt von ImmuniWeb, einem globalen Unternehmen für Anwendungssicherheit, das unter anderem für seine kostenlose Community Edition bekannt ist, die täglich über 100.000 Sicherheitsscans von Web- und Mobilanwendungen durchführt.
Heute gab ImmuniWeb bekannt, dass sein neues Produkt – Neuron – öffentlich verfügbar ist. Das wäre eine weitere langweilige Pressemitteilung eines Softwareanbieters, aber die Leute von ImmuniWeb haben es geschafft, eine geheime Soße hinzuzufügen, der du wahrscheinlich nicht widerstehen kannst. Der DAST-Scandienst ist flexibel als SaaS verfügbar und enthält, wenig überraschend, alle modischen Funktionen, die von den Mitbewerbern auf dem schnell wachsenden globalen Markt angepriesen werden: von der nativen CI/CD-Integration bis hin zur erweiterten Konfiguration von Sicherheitsscans, vorprogrammierten oder authentifizierten Tests.
Das bahnbrechende Merkmal ist jedoch Neurons vertragliches Null-Fehlalarm-SLA, das in jeden Kundenvertrag aufgenommen wird. Du bekommst dein Geld für jeden Fehlalarm zurück, den du in deinem Schwachstellen-Scanbericht entdeckst – so einfach ist das – und verbindlich durch einen rechtlich durchsetzbaren Vertrag. Das SLA deckt jedoch keine trivialen Sicherheitswarnungen ab, wie z. B. Fehlkonfigurationen von Cookies oder HTTP-Headern.
Im Gegensatz zu einem Kasino kannst du dich mit dem SLA auch nicht bereichern – die Geld-zurück-Klausel ist durch den Preis deines Jahresabonnements gedeckelt, was aus geschäftlicher Sicht für alle sinnvoll ist. Das SLA gilt für Webanwendungen, Cloud-native Microservices, RESTful APIs und alle anderen HTTP/HTTPS-Ziele, die du mit einem Klick über das benutzerfreundliche Neuron-Dashboard scannen kannst:
Eine weitere bahnbrechende Funktion von Neuron ist der unbegrenzte technische Support, der für alle Kunden ohne zusätzliche Kosten verfügbar ist. Wenn du Fragen zu entdeckten Schwachstellen hast oder deine Softwareentwickler Hilfe bei der Behebung der gefundenen Schwachstellen benötigen, sind die Sicherheitsanalysten von ImmuniWeb dein Nordstern. Andere Sicherheitsanbieter berechnen diese Option üblicherweise separat als kostspielige Beratungsleistung und verdienen daran. Dieser Vorteil macht das Preis-Leistungs-Verhältnis von Neuron inmitten der sich abzeichnenden Inflation und der drohenden Rezession, die wahrscheinlich auch die Cybersicherheitsbranche treffen wird, äußerst wettbewerbsfähig.
Apropos Preis-Leistungs-Verhältnis: Besonders gut gefallen hat uns Neurons Paket- und Lizenzierungsmodell, das eine erfrischende Flexibilität in den bestehenden DAST-Markt bringt. Anstatt während des gesamten Abonnements an deine Zieldomänen gefesselt zu sein, kannst du sie dynamisch ändern – ohne einen zusätzlichen Cent zu bezahlen – solange deine Webanwendung oder API die gleiche bleibt. Dies kann eine budgetschonende Option für Unternehmen sein, die ihre Zieldomänen häufig zwischen verschiedenen Umgebungen wechseln, bevor sie ihren Code in die Produktion überführen. Die Integration von Neuron in das ASM-Angebot (Attack Surface Management) von ImmuniWeb ist sowohl für DevOps als auch für Compliance-Teams sehr sinnvoll: Sie können zunächst ihre Schatten-IT und vergessenen Web-Assets beleuchten und dann ihr Testprogramm für die Webanwendungssicherheit mit einem ganzheitlichen und risikobasierten Testplan erweitern.
In seinem exklusiven Statement für The Hacker News sagte der Chief Architect von ImmuniWeb, dass Neuron nur eine der großen Ankündigungen ist, die das Unternehmen für 2022 plant. Der Anbieter mit Hauptsitz in der Schweiz hat eine ehrgeizige Roadmap, um noch mehr Produkte zu seinem Portfolio hinzuzufügen, das bereits mehr als 20 Anwendungsfälle abdeckt, von Cloud- und mobilen Sicherheitstests bis hin zum Dark Web Monitoring. Die Zusammenführung von Bedrohungsdaten und Daten aus dem Dark Web mit den Sicherheitstests deiner Anwendungen scheint eine weitere clevere Idee von ImmuniWeb zu sein: Es lohnt sich nicht, deine Website auf XSS zu scannen, wenn du Hunderte von gestohlenen Zugangsdaten im Dark Web hast, mit denen sich böse Jungs einloggen können. Wir sind begeistert von den Synergieeffekten, die die ImmuniWeb-Plattform ihren Kunden in konsumierbarer und umsetzbarer Form bietet.
Wir werden die steigende Marktattraktivität von ImmuniWeb im Auge behalten. Wir verfolgen ImmuniWeb seit mehreren Jahren und glauben, dass die Firma halten kann, was sie verspricht. Es lohnt sich auf jeden Fall, Neuron mit einer kostenlosen Demo auszuprobieren.