软件开发在不断发展,应用程序安全也必须随之发展。
传统的应用程序安全解决方案无法跟上当今开发人员的工作方式或攻击者的工作方式。
我们需要一种新的应用程序安全方法,而ASPM在该方法中发挥着关键作用。
什么是 ASPM?
应用程序安全态势管理或 ASPM 让安全团队可以清楚地了解整个软件工厂、其资产、其所有者、其安全控制、其漏洞以及所有这些之间的关系。
通过这种视图,安全团队可以确保每个软件版本的完整性、治理性和合规性。
Gartner 将 ASPM 定义为一种解决方案,它“分析软件开发、部署和操作过程中的安全信号,以提高可见性、更好地管理漏洞并实施控制。”*
应用程序安全态势管理为内部团队提供可见性、优先级和协调,以更高效、有效地保护软件并对其进行验证。
ASPM 解决了什么问题?
开发流程和攻击者策略的变化给现代安全团队带来了巨大挑战。ASPM 是应对这些挑战的独特解决方案。
现代软件开发的安全挑战
开发人员现在比以往任何时候都更加自给自足,能力更强。他们不仅可以构建自己的应用程序,还可以构建与生产环境和持续集成与部署 (CI/CD) 管道完全相同的本地测试环境。
随着容器、Kubernetes 和云架构的出现,他们可以在几分钟内快速测试、迭代、构建、销毁和重建。
如果他们对构建或修复代码有疑问,AI 会立即为他们提供完整的代码片段,排除代码无法正常工作的原因,甚至在他们编码时为他们提供实时建议。
除此之外,如今的开发组织可以非常庞大,拥有成千上万的开发人员,并且由于并购活动几乎在一夜之间呈指数级增长;而且你所拥有的开发环境比我们以前见过的任何环境都更加快速和流动。
在促进前所未有的创新水平的同时,这场软件开发革命也极大地扩展了应用程序的攻击面。
在这种环境下,安全团队面临着以下挑战:
可见性: 缺乏对整个软件工厂(从资产到路径和管道)的可见性。
除了增加风险之外,缺乏对攻击面的可视性还带来了合规性挑战。安全团队正在努力遵守要求提供资产清单和安全控制证据的法规。
关联性:整个 SDLC 中,云、应用程序、供应链等风险类型之间缺乏关联性,导致人工工作量增加
例如,如果在云环境中发现漏洞,云安全团队可能需要花费数小时才能与应用程序安全和开发团队合作来找到造成漏洞的代码。
复杂性:复杂性导致配置错误和开发流程中机密的暴露
现代软件工厂的复杂性为风险配置错误(例如构建系统)以及机密泄露(例如 API 密钥和云凭证)开辟了新的途径。
现代攻击者策略的安全挑战
为了利用现代软件开发环境所造成的漏洞,老练的攻击者已经将注意力扩展到前端应用程序之外。
现在,攻击者也越来越多地瞄准软件供应链工厂组件(管道、构建服务器、库、工具和流程)。
此类攻击已导致全球大规模入侵,例如 3CX、SolarWinds、Codecov 和 CyberLink 遭遇的入侵。
ASPM 有哪些好处?
ASPM 提供了一个平台来控制应用程序安全混乱,随着开发组织的成长和变化而扩展,并提供整个软件工厂、其资产、其所有者、其安全控制、其漏洞以及所有这些之间的关系的清晰视图。
ASPM 帮助团队
1. 缓解高优先级的安全漏洞以智能地降低风险。
2. 发现影子 IT、系统和源代码。
3. 测量漏洞的爆炸半径:系统内安全漏洞的潜在影响。
4. 提供护栏,让开发人员能够快速行动,而不会受到安全控制减慢他们的速度。
5. 通过证明控制措施的部署位置来简化法规遵从性。
6. 评估应用程序业务的关键性。
7. 为高管、开发人员和安全团队提供一种通用语言来了解风险。
8. 展现降低风险的进展。
ASPM 与代码扫描仪
静态分析 (SAST)、动态分析 (DAST) 和软件组成分析 (SCA) 扫描源代码中代码开发不同阶段的漏洞。
仅仅扫描源代码来保证应用程序的安全性是不够的,因为其重点太窄,缺乏背景,并且会产生各种没有关联的结果。
此外,源代码扫描器只关注应用程序风险,而很大程度上忽略了软件工厂中发现的风险,例如 CI/CD 管道中的弱点。这种关注导致目前造成和产生最具破坏性的攻击的区域存在盲点。
ASPM 与 ASOC
应用程序安全编排和关联 (ASOC) 是一种有助于促进漏洞测试和修复的解决方案。这些解决方案关联来自各种来源的扫描数据,包括 SAST、DAST、IAST 和 SCA 工具,有助于确定结果的优先级和重复数据删除。
ASPM 是一种更全面的安全解决方案。ASOC 专注于预生产代码中的漏洞,而 ASPM 则涵盖整个软件工厂,从代码到管道、路径和资产。
ASPM 与 CNAPP
云原生应用保护平台 (CNAPP) 是一种专注于云环境安全的安全解决方案。这些解决方案旨在监控、检测和修复云安全威胁和漏洞。CNAPP 仅专注于运行时保护,而 ASPM 则专注于整个 SDLC 中的应用程序安全。
在 ASPM 解决方案中您应该考虑什么?
ASPM 是一个相对较新的类别,不同的产品具有不同的优势和劣势。评估解决方案时,请考虑:
提供的可见性类型
当今的企业拥有庞大且充满活力的开发团队,而确保 SDLC 的安全需要了解能够进行优先排序和比较的环境视图。
寻找能够提供开发环境和安全性的实时、连续视图的 ASPM 解决方案 - 以及这两个领域的背景,从而可以根据业务风险确定优先级。
此外,能够查看产品和团队级别的视图,而不是查看所有数据的单一汇总视图,这一点很重要,尤其是对于使用不同工具和流程的复杂开发团队而言。例如,借助此视图,团队可以查看与特定开发团队相关的数据并将其与其他开发团队进行比较。
可扩展性
如今的开发组织规模庞大,拥有数千名开发人员,并且由于并购活动几乎在一夜之间呈指数级增长,从而形成了比我们以前所见过的任何环境都更加快速变化和流动的开发环境。
寻找能够支持非常大的分布式开发组织的企业级 ASPM 解决方案。
人工智能发现
生成式人工智能让开发人员能够更轻松地大规模生成代码。然而,它也会生成存在漏洞的代码,就像开发人员创建的代码一样,并且可能包含由其他组织授权的代码。
寻找一种 ASPM 解决方案,该解决方案能够了解开发人员何时何地使用 AI 代码助手,以及识别其业务中的 GenAI 代码和有风险的 AI 模型。
部署灵活性
部署选项是评估 ASPM 解决方案时的一个重要考虑因素。寻找能够作为 SaaS 解决方案、在私有云、本地或混合云中部署的能力。
秘密探测
机密泄露已成为一个日益严重的重大软件安全问题。现代应用程序需要数百个机密才能运行(API 密钥、第三方、云凭证等)。
与此同时,开发人员被迫尽快创新和开发代码,这经常导致他们走捷径以提高效率和速度。其中一条捷径是在开发过程中使用机密来加速测试和 QA。
在 ASPM 解决方案中寻找一流的秘密检测,具有补救、预防和低误报功能。
合规性证明和报告
简化网络安全法规合规性是 ASPM 解决方案的一项关键功能。从SBOM到认证,ASPM 解决方案应能消除手动工作,从而展示整个 SDLC 中实施的安全控制。
寻找一个 ASPM 解决方案,该解决方案将在广泛的法规和安全框架(例如SLSA、NIST SSDF、PCI DSS、FedRAMP 和CISA Attestation )的背景下评估您的安全态势。
该解决方案还应提供验证和证据以支持合规性审计要求和证明要求。
