A única coisa mais debatida do que o significado de Application Security Posture Management (ASPM) é se o investimento em um ASPM ferramenta Vale a pena. Desde a revelação da categoria, fornecedores de todos os tipos correram para afirmar que a fazem, mas pouco se tem falado sobre se isso representa o futuro. Em última análise, o futuro da segurança de aplicações é melhor abordado ao compreender quais são os seus maiores problemas. Neste artigo, falaremos sobre os problemas que criaram a categoria de ASPM e avaliar se ela oferece as soluções que o mercado procura.
Problemas na segurança de aplicativos
Muitos scanners
Desde que eu originalmente argumentei a favor ASPM incluam 8 tipos de scanners, pelo menos mais dois apareceram. As equipes de segurança podem tolerar scanners, mas apenas se fizerem sentido ser diferentes. A varredura de servidores em tempo de execução não necessariamente necessidade estar no mesmo lugar que o que está verificando os repositórios. O problema é que os repositórios se tornaram uma fonte de verdade mais confiável sobre onde encontrar e corrigir vulnerabilidades.
Embora esteja em um único local, um repositório pode conter dezenas de arquivos diferentes, realizando diversas funções. Tradicionalmente, as equipes de segurança precisavam configurar diversas imagens do Docker ou binários para escanear esses arquivos à medida que eram alterados e implantados. A manutenção de scanners poderia facilmente exigir várias tarefas em tempo integral, já que todos eles também exigiam configurações especiais para trabalhar em diferentes trechos de código.
Equipes de segurança preciso da visibilidade de todos esses scanners diferentes, mas se beneficiam tremendamente da simplicidade de qualquer um dos “sem agentes” pipeline webhooks que escaneiam sem configuração alguma, ou pelo menos informam uma única ferramenta para escanear. ASPM As ferramentas fazem um ótimo trabalho ao fornecer visibilidade simples.
Muitos falsos positivos
O contraponto de agrupar todos os scanners em um único lugar é que as pessoas argumentam que haverá uma degradação na qualidade da digitalização. Sou sensível a essa preocupação, mas tenho dois contrapontos. Primeiro, muitas ferramentas estão apenas empacotando o mesmo material de código aberto de qualquer maneira, os scanners multifuncionais estão apenas sendo mais honestos sobre isso. Em segundo lugar, estes argumentos baseiam-se sempre na ideia de que é simplesmente impossível que o scanner de alguém seja tão bom quanto o seu.
Em última análise, o problema é apenas resolver a questão de muitos falsos positivos. Acessibilidade é a ideia de descobrir se uma vulnerabilidade pode realmente ser explorada ou não. Muitos ASPM as ferramentas incorporaram versões “boas o suficiente” de acessibilidade, então está ficando cada dia mais difícil argumentar que isso não pode ser feito.
Pior de tudo, a busca por CVEs sozinho pode deixar pontos cegos críticos, e é por isso que aprecio provedores como a Xygeni por dois motivos: primeiro, sua varredura upstream em busca de malware em vez de apenas vulnerabilidades. Segundo, sua commitmento para procurar outras configurações exploráveis, como pipeline configurações incorretas, bem como detectar se esses ataques aconteceram.
Consertar as coisas é muito difícil
As equipes de segurança veem muito pouca velocidade na correção de suas vulnerabilidades. Ouvi inúmeras histórias de horror de até mesmo os dias zero mais flagrantes levando meses para serem corrigidos em todo o enterprise ecossistemas. Enquanto muitas ferramentas dizem que o problema é “priorização”, você pode priorizar o dia todo, mas se os engenheiros não conseguem consertar algo facilmente, é tudo em vão.
Esta tem sido uma tendência mais no lado da “gestão de vulnerabilidades” ASPM, mas ajudar os desenvolvedores a corrigir vulnerabilidades deve ser o verdadeiro objetivo de ASPM.
Muito código, muito rápido
Se pensarmos que a nuvem acelerou as implantações de código, a IA generativa apenas aumentou a velocidade do código. Outro ponto pouco discutido é como a IA generativa continua a abrir novos públicos para o código – permitindo que todos, desde equipes de vendas até contabilidade, criem scripts Python que fazem coisas simples.
Esses desenvolvimentos tornaram a digitalização frequente, frequente e em diversos ambientes mais importante do que nunca. Se for necessário um longo processo de aprovação para configurar novos aplicativos com digitalização, você estará preparado para ficar cego.
Os ambientes são muito diversos
Embora o número de scanners possa ser esmagador, quando você adiciona o framework Javascript do sabor do mês de todos, variante de linguagem ou outros frameworks, encontrar “as melhores soluções pontuais da classe” simplesmente não é mais possível. Não vejo equipes de segurança procurando uma solução de digitalização da melhor classe para cada sabor de Javascript. Um único ASPM A ferramenta pode tornar a cobertura de digitalização muito mais amplamente disponível do que tentar analisar idioma por idioma.
ASPM Solução de ferramenta?
Esses problemas são a razão pela qual eu defini ASPM como:
Application Security Posture Management fornece tudo o que é necessário para escanear e corrigir vulnerabilidades em seu aplicativo. Ele fornece varredura de segurança em todo o seu SDLC pipeline, ingere resultados e cria fluxos de trabalho de correção.
Na prática, isso se concretiza como uma integração completa de código-fonte que verifica seu código em busca de vulnerabilidades, prioriza-as e ajuda a atribuí-las às pessoas certas. Vamos ver como isso resolve todos os problemas. principais problemas em AppSec:
Muitos scanners
- Isso é autoexplicativo – não há mais razão para ter 8 soluções pontuais diferentes quando uma pode ser boa o suficiente para cobrir a maior parte da sua pilha
Muitos falsos positivos
- Embora persista a ideia de “melhores soluções pontuais”, ASPM's normalmente têm uma visibilidade muito mais holística sobre como um aplicativo funciona. Seja mapeando dependências de build ou a imagem do “código para a nuvem” – essas ferramentas normalmente fazem um trabalho melhor eliminando falsos positivos.
Consertar as coisas é muito difícil
- Para ser justo, é aqui que (em geral) muitos provedores que ficaram de fora da varredura construíram mecanismos melhores para consertar as coisas. De qualquer forma, é aqui que ASPM se destaca CSPM – na verdade, ele tem um método para levar as descobertas às pessoas que podem corrigi-las.
Muito código, muito rápido
- O fato de que a implantação automática de scanners em novos repositórios é um recurso tão raro mostra como apenas os baseados em webhook ASPM permite que a segurança seja dimensionada tão rapidamente quanto a quantidade de código em um ambiente
Os ambientes são muito diversos
- Embora sempre possa haver casos extremos, o “melhor da categoria” está cada vez mais difícil de avaliar – uma equipe de segurança deveria testar 8 scanners em 5 idiomas com 10 provas de conceito?
Eu fico por perto ASPM (E ASPM tools) sendo o futuro da segurança de aplicativos, ele resolve a maioria dos problemas enfrentados pelos profissionais de segurança de aplicativos. Assim que os contratos existentes terminarem, ou mesmo antes, os profissionais vão correr para essas soluções mais novas. A única coisa que os impede é a consciência de que há uma maneira melhor.
