الشيء الوحيد الأكثر إثارة للجدل من معنى Application Security Posture Management (ASPM) هو ما إذا كان الاستثمار في ASPM أداة يستحق الأمر. منذ إطلاق هذه الفئة، سارع البائعون من جميع الأنواع إلى الادعاء بأنهم يقومون بها، ولكن لم يُكتب الكثير عن مستقبلها. في النهاية، يُمكن معالجة مستقبل أمن التطبيقات بشكل أفضل من خلال فهم أكبر مشاكلها. في هذه المقالة، سنتحدث عن المشاكل التي أدت إلى ظهور هذه الفئة. ASPM وتقييم ما إذا كان يقدم الحلول التي يبحث عنها السوق.
مشاكل في أمن التطبيقات
عدد كبير جدًا من الماسحات الضوئية
منذ أن جادلت في الأصل لصالح ASPM بما فيها 8 أنواع من الماسحات الضوئية، ظهر اثنان آخران على الأقل. يمكن لفرق الأمن أن تتقبل الماسحات الضوئية، لكن فقط إذا كان من المنطقي أن تكون مختلفة. ليس من الضروري إجراء فحص للخوادم في وقت التشغيل حاجة أن تكون في نفس المكان الذي يتم فيه فحص المستودعات. تكمن المشكلة في أن المستودعات أصبحت مصدرًا أكثر موثوقية للحقيقة فيما يتعلق بمكان العثور على الثغرات الأمنية وإصلاحها.
في مكان واحد، يمكن لمستودع تخزين عشرات الملفات المختلفة التي تؤدي مهامًا متعددة. تقليديًا، كانت فرق الأمن بحاجة إلى إعداد عدة صور أو ملفات ثنائية مختلفة من Docker لفحص هذه الملفات أثناء تعديلها ونشرها. يمكن بسهولة أن تكون صيانة الماسحات الضوئية مهامًا متعددة بدوام كامل، حيث تحتاج جميعها أيضًا إلى تكوينات خاصة للعمل على أجزاء مختلفة من الشيفرة البرمجية.
فرق الأمن بحاجة إلى الرؤية من بين كل هذه الماسحات الضوئية المختلفة، ولكنها تستفيد بشكل كبير من بساطة "بدون وكيل" pipeline الويبhooks هذا المسح الضوئي بدون أي تكوين، أو على الأقل إخبار أداة واحدة بالمسح الضوئي. ASPM تؤدي الأدوات عملاً رائعًا في توفير رؤية بسيطة.
الكثير من الإيجابيات الكاذبة
والنقطة المقابلة لتجميع كل ماسح ضوئي في مكان واحد هي أن الناس يجادلون بأنه سيكون هناك تدهور في جودة المسح الضوئي. أنا حساس لهذا القلق، ولكن لدي نقطتين مضادتين. أولاً، تقوم العديد من الأدوات بتغليف نفس العناصر مفتوحة المصدر على أي حال، والماسحات الضوئية الشاملة أكثر صدقًا بشأن هذا الأمر. ثانيًا، تعتمد هذه الحجج دائمًا على فكرة أنه من المستحيل أن يكون الماسح الضوئي الخاص بشخص ما بنفس جودة الماسح الضوئي الخاص به.
في النهاية، تكمن المشكلة في حل مشكلة كثرة الإيجابيات الخاطئة. أما قابلية الوصول فهي فكرة اكتشاف إمكانية استغلال الثغرة الأمنية أم لا. ASPM لقد تم تضمين إصدارات "جيدة بما فيه الكفاية" من إمكانية الوصول في الأدوات، لذلك أصبح من الصعب كل يوم الجدال حول عدم إمكانية القيام بذلك.
الأسوأ من ذلك كله هو البحث عن مكافحة التطرف العنيف يمكن أن يؤدي استخدام هذه البرامج بمفردها إلى ترك نقاط عمياء حرجة، وهذا هو السبب في أنني أقدر مقدمي الخدمات مثل Xygeni لسببين: أولاً، يقومون بفحص البرامج الضارة بدلاً من مجرد نقاط الضعف. ثانيًا، commitمنة للبحث عن تكوينات أخرى قابلة للاستغلال مثل pipeline التكوينات الخاطئة، بالإضافة إلى اكتشاف ما إذا كانت هذه الهجمات قد حدثت أم لا.
إصلاح الأشياء أمر صعب حقًا
لا تشهد فرق الأمن سرعة كبيرة في إصلاح ثغراتها الأمنية. سمعتُ قصصًا مروعة عن أشهرٍ لإصلاح حتى أسوأ حالات الثغرات الأمنية في جميع أنحاء العالم. enterprise الأنظمة البيئية. بينما أشارت العديد من الأدوات إلى أن المشكلة تكمن في "تحديد الأولويات"، يمكنك تحديد الأولويات طوال اليوم، ولكن إذا لم يتمكن المهندسون من إصلاح مشكلة ما بسهولة، فسيكون كل ذلك بلا جدوى.
لقد كان هذا اتجاهًا أكثر نحو جانب "إدارة الثغرات الأمنية" ASPMولكن مساعدة المطورين في إصلاح نقاط الضعف يجب أن يكون الهدف الحقيقي ASPM.
الكثير من التعليمات البرمجية وسريعة جدًا
إذا كنا نعتقد أن السحابة تعمل على تسريع عمليات نشر التعليمات البرمجية، فإن الذكاء الاصطناعي التوليدي لم يؤدي إلا إلى زيادة سرعة التعليمات البرمجية. وهناك نقطة أخرى لم تتم مناقشتها وهي كيف يستمر الذكاء الاصطناعي التوليدي في فتح جماهير جديدة للبرمجة - مما يسمح للجميع، من فرق المبيعات إلى المحاسبة، بإنشاء نصوص برمجية بلغة بايثون تقوم بأشياء بسيطة.
جعلت هذه التطورات المسح بشكل متكرر وفي كثير من الأحيان وفي بيئات متنوعة أكثر أهمية من أي وقت مضى. إذا كانت هناك حاجة إلى عملية موافقة طويلة لإعداد تطبيقات جديدة مع المسح الضوئي، فستكون مستعدًا للإصابة بالعمى.
البيئات متنوعة للغاية
مع أن عدد الماسحات الضوئية قد يكون هائلاً، إلا أنه عند إضافة إطار عمل جافا سكريبت المفضل لكل شخص، أو أي لغة أخرى، أو أي إطار عمل آخر، يصبح العثور على "أفضل الحلول في فئتها" أمرًا مستحيلًا. لا أرى فرق الأمن تبحث عن أفضل حل مسح ضوئي في فئته لجميع أنواع جافا سكريبت. ASPM يمكن للأداة أن تجعل تغطية المسح متاحة على نطاق أوسع بكثير من محاولة العمل على أساس كل لغة على حدة.
ASPM حل الأداة؟
هذه المشاكل هي السبب وراء تعريفي ASPM على النحو التالي:
Application Security Posture Management يوفر كل ما يلزم لفحص تطبيقك وإصلاح الثغرات الأمنية. كما يوفر فحصًا أمنيًا شاملاً SDLC pipeline، ويستوعب النتائج، ويبني سير عمل المعالجة.
عمليًا، يُثمر هذا التكامل الشامل لشفرة المصدر، والذي يفحص شفرتك بسلاسة بحثًا عن الثغرات الأمنية، ويُحدد أولوياتها، ويساعد في توجيهها إلى الأشخاص المناسبين. دعونا نلقي نظرة على كيفية حل هذا لجميع هذه المشكلات. المشاكل الرئيسية في AppSec:
عدد كبير جدًا من الماسحات الضوئية
- هذا واضح بذاته - لم يعد هناك سبب لوجود 8 حلول مختلفة للنقاط عندما يكون أحدها جيدًا بما يكفي لتغطية معظم كومة النقاط لديك
الكثير من الإيجابيات الكاذبة
- في حين أن فكرة "حلول النقاط الأفضل" لا تزال قائمة، ASPMعادةً ما تتمتع أدوات "التحسين" برؤية أكثر شمولية لكيفية عمل التطبيق. سواءً كان الأمر يتعلق بربط تبعيات البناء، أو بتحليل "البرمجة السحابية"، فإن هذه الأدوات عادةً ما تؤدي وظيفة أفضل في التخلص من النتائج الإيجابية الخاطئة.
إصلاح الأشياء أمر صعب حقًا
- للإنصاف، هذا هو المكان (بشكل عام) الذي بنى فيه العديد من مقدمي الخدمات الذين ابتعدوا عن المسح محركات أفضل لإصلاح المشاكل. على أي حال، هذا هو المكان الذي ASPM تتفوق CSPM - في الواقع لديه طريقة لإيصال النتائج إلى الأشخاص الذين يمكنهم إصلاحها.
الكثير من التعليمات البرمجية وسريعة جدًا
- إن حقيقة أن نشر الماسحات الضوئية تلقائيًا في مستودعات جديدة هي ميزة نادرة جدًا تخبرك كيف أن Webhook فقط هو ما تحتاجه ASPM يسمح للأمان بالتوسع بسرعة مثل حجم التعليمات البرمجية الموجودة في البيئة
البيئات متنوعة للغاية
- على الرغم من أنه قد تكون هناك دائمًا حالات حافة، إلا أن تقييم "الأفضل في فئته" يزداد صعوبة أكثر فأكثر - هل من المفترض أن يقوم فريق أمني باختبار 8 ماسحات ضوئية مقابل 5 لغات مع 10 إثباتات للمفاهيم؟
أنا أقف بجانب ASPM (و ASPM تُمثل الأدوات (مثل أدوات الأمن) مستقبل أمن التطبيقات، فهي تُحل معظم المشكلات التي يواجهها متخصصو أمن التطبيقات. بمجرد انتهاء العقود الحالية، أو حتى قبل ذلك، سيلجأ الممارسون إلى هذه الحلول الأحدث. الشيء الوحيد الذي يمنعهم هو الوعي بوجود طريقة أفضل.
