Lo único más debatido que el significado de Application Security Posture Management (ASPM) es si la inversión en un ASPM del IRS Vale la pena. Desde la presentación de la categoría, proveedores de todo tipo se apresuraron a afirmar que lo hacen, pero no se ha dedicado mucha atención a si es el futuro. En definitiva, la mejor manera de abordar el futuro de la seguridad de las aplicaciones es comprender cuáles son sus mayores problemas. En este artículo, hablaremos sobre los problemas que crearon la categoría de... ASPM y evaluar si ofrece las soluciones que el mercado está buscando.
Problemas en la seguridad de las aplicaciones
Demasiados escáneres
Dado que originalmente argumenté a favor ASPM incluyendo 8 tipos de escáneres, han aparecido al menos dos más. Los equipos de seguridad pueden soportar los escáneres, pero sólo si tiene sentido que sean diferentes. Escanear servidores en tiempo de ejecución no necesariamente necesite estar en el mismo lugar que lo que está escaneando los repositorios. El problema es que los repositorios se han convertido en una fuente de información más confiable sobre dónde encontrar y corregir vulnerabilidades.
Un repositorio, aunque se encuentre en un solo lugar, puede albergar docenas de archivos diferentes que realizan diversas funciones. Tradicionalmente, los equipos de seguridad necesitaban configurar múltiples imágenes o binarios de Docker para escanear estos archivos a medida que se modificaban e implementaban. El mantenimiento de los escáneres podía fácilmente requerir varias tareas a tiempo completo, ya que todos requerían configuraciones especiales para trabajar con diferentes fragmentos de código.
Equipos de seguridad Necesita la visibilidad de todos estos diferentes escáneres, pero se benefician enormemente de la simplicidad de ambos "sin agente". pipeline webhooks que escanean sin configuración alguna, o al menos le indican a una sola herramienta que escanee. ASPM Las herramientas hacen un gran trabajo al proporcionar visibilidad simple.
Demasiados falsos positivos
El contrapunto de agrupar todos los escáneres en un solo lugar es que la gente argumenta que habrá una degradación en la calidad del escaneo. Soy sensible a esta preocupación, pero tengo dos puntos en contra. En primer lugar, de todos modos muchas herramientas simplemente envuelven el mismo material de código abierto, los escáneres todo en uno simplemente son más honestos al respecto. En segundo lugar, estos argumentos siempre se basan en la idea de que es simplemente imposible que el escáner de alguien sea tan bueno como el suyo.
En última instancia, el problema radica simplemente en resolver el problema de los falsos positivos. La accesibilidad es la idea de descubrir si una vulnerabilidad puede realmente explotarse o no. Muchos... ASPM Las herramientas han incorporado versiones “suficientemente buenas” de accesibilidad, por lo que cada día resulta más difícil argumentar que no se puede hacer.
Lo peor de todo es escanear en busca de CVE Por sí solos pueden dejar puntos ciegos críticos, por lo que aprecio a proveedores como Xygeni por dos razones: primero, su escaneo ascendente en busca de malware en lugar de solo vulnerabilidades. Segundo, su commitment para buscar otras configuraciones explotables como pipeline configuraciones erróneas, así como detectar si estos ataques han ocurrido.
Arreglar las cosas es muy difícil
Los equipos de seguridad ven muy poca velocidad para solucionar sus vulnerabilidades. He escuchado numerosas historias de terror sobre incluso los días cero más atroces que tardan meses en solucionarse en todo el mundo. enterprise Ecosistemas. Aunque muchas herramientas han señalado que el problema es la "priorización", se puede priorizar todo el día, pero si los ingenieros no pueden solucionar algo fácilmente, todo es en vano.
Esta ha sido una tendencia más del lado de la "gestión de vulnerabilidades". ASPM, pero ayudar a los desarrolladores a solucionar vulnerabilidades debería ser el verdadero objetivo. ASPM.
Demasiado código, demasiado rápido
Si pensamos que la nube aceleró las implementaciones de código, la IA generativa solo ha aumentado la velocidad del código. Otro punto poco discutido es cómo la IA generativa continúa abriendo nuevas audiencias al código, permitiendo que todos, desde los equipos de ventas hasta los de contabilidad, creen scripts en Python que hagan cosas simples.
Estos avances han hecho que el escaneo frecuente, frecuente y en diversos entornos sea más importante que nunca. Si se necesita un largo proceso de aprobación para configurar nuevas aplicaciones con escaneo, estará preparado para quedarse ciego.
Los entornos son demasiado diversos
Si bien la cantidad de escáneres puede ser abrumadora, al agregar el framework de Javascript, la variante del lenguaje u otros frameworks de cada versión, encontrar las mejores soluciones puntuales ya no es posible. No veo que los equipos de seguridad busquen la mejor solución de escaneo para cada versión de Javascript. Una sola ASPM Esta herramienta puede hacer que la cobertura del escaneo esté mucho más ampliamente disponible que intentar hacerlo idioma por idioma.
ASPM ¿Solución de herramienta?
Estos problemas son la razón por la que definí ASPM como:
Application Security Posture Management Proporciona todo lo necesario para escanear y remediar su aplicación en busca de vulnerabilidades. Ofrece escaneo de seguridad en toda su SDLC pipeline, ingiere resultados y crea flujos de trabajo de corrección.
En la práctica, esto se materializa en una integración de código fuente integral que escanea el código sin problemas en busca de vulnerabilidades, las prioriza y ayuda a asignarlas a las personas adecuadas. Veamos cómo esto resuelve todos los problemas. problemas principales en AppSec:
Demasiados escáneres
- Esto se explica por sí solo: ya no hay razón para tener 8 soluciones puntuales diferentes cuando una puede ser lo suficientemente buena para cubrir la mayor parte de su pila.
Demasiados falsos positivos
- Si bien persiste la idea de “mejores soluciones puntuales”, ASPMSuelen ofrecer una visibilidad mucho más holística del funcionamiento de una aplicación. Ya sea al mapear las dependencias de compilación o al integrar el código en la nube, estas herramientas suelen ser más eficaces a la hora de eliminar los falsos positivos.
Arreglar las cosas es muy difícil
- Para ser justos, aquí es donde (en general) muchos proveedores que han evitado el escaneo han desarrollado mejores motores para solucionar los problemas. En cualquier caso, aquí es donde ASPM sobresale sobre CSPM – En realidad, tiene un método para hacer llegar los hallazgos a las personas que pueden solucionarlos.
Demasiado código, demasiado rápido
- El hecho de que la implementación automática de escáneres en nuevos repositorios sea una característica tan poco común indica que solo los webhooks basados en... ASPM Permite que la seguridad escale tan rápido como la cantidad de código en un entorno.
Los entornos son demasiado diversos
- Si bien siempre puede haber casos extremos, “el mejor de su clase” es cada vez más difícil de evaluar: ¿se supone que un equipo de seguridad debe probar 8 escáneres en 5 idiomas con 10 pruebas de conceptos?
estoy a la espera ASPM (y ASPM Las herramientas, que son el futuro de la seguridad de aplicaciones, resuelven la mayoría de los problemas que enfrentan los profesionales. En cuanto finalicen los contratos existentes, o incluso antes, los profesionales recurrirán a estas nuevas soluciones. Lo único que los detiene es saber que existe una solución mejor.
