Единственное, что более спорно, чем значение Application Security Posture Management (ASPM) является ли инвестиция в ASPM инструментом стоит того. С момента открытия категории поставщики всех типов поспешили заявить, что они это делают, но не так много чернил было посвящено тому, является ли это будущим. В конечном счете, будущее безопасности приложений лучше всего решать, понимая, в чем заключаются ее самые большие проблемы. В этой статье мы поговорим о том, какие проблемы создали категорию ASPM и оценить, предлагает ли он решения, которые ищет рынок.
Проблемы с безопасностью приложений
Слишком много сканеров
Поскольку я изначально выступал за ASPM включая 8 видов сканеров, появилось еще как минимум два. Службы безопасности могут переваривать сканеры, но только если есть смысл отличаться от них. Сканирование серверов во время выполнения не обязательно находиться там же, где и сканирующие репозитории. Проблема в том, что репозитории стали более надежным источником информации о том, где найти и исправить уязвимости.
Находясь в одном месте, репозиторий может содержать десятки различных файлов, выполняющих множество различных задач. Традиционно группам безопасности требовалось настраивать несколько различных образов Docker или двоичных файлов для сканирования этих файлов по мере их изменения и развертывания. Обслуживание сканеров может легко стать несколькими работами на полный рабочий день, поскольку им всем также требуются специальные конфигурации для работы с различными частями кода.
Службы безопасности нужна видимость из всех этих различных сканеров, но получают огромную выгоду от простоты «безагентного» pipeline Webhooks которые выполняют сканирование без какой-либо настройки или, по крайней мере, дают указание одному инструменту выполнить сканирование. ASPM инструменты отлично справляются с обеспечением простой наглядности.
Слишком много ложных срабатываний
Противоположностью объединению всех сканеров в одно место является то, что люди утверждают, что качество сканирования ухудшится. Я чувствителен к этой проблеме, но у меня есть два противоположных мнения. Во-первых, многие инструменты в любом случае просто оборачивают одни и те же материалы с открытым исходным кодом, а сканеры «все в одном» просто более честны в этом отношении. Во-вторых, эти аргументы всегда основываются на идее, что чей-то сканер просто не может быть таким же хорошим, как его собственный.
В конечном счете, проблема заключается в решении проблемы слишком большого количества ложных срабатываний. Достижимость — это идея обнаружения того, может ли уязвимость быть фактически использована или нет. Многие ASPM инструменты имеют встроенные «достаточно хорошие» версии достижимости, поэтому с каждым днем становится все сложнее утверждать, что это невозможно.
Хуже всего то, что сканирование CVE в одиночку может оставить критические слепые пятна, поэтому я ценю таких поставщиков, как Xygeni, по двум причинам: во-первых, их сканирование вверх по течению на наличие вредоносного ПО, а не просто уязвимостей. Во-вторых, их commitмент для поиска других уязвимых конфигураций, таких как pipeline неправильные конфигурации, а также обнаружить, произошли ли эти атаки.
Исправлять ситуацию действительно сложно
Команды безопасности видят очень маленькую скорость в устранении своих уязвимостей. Я слышал многочисленные ужасные истории о том, что даже самые вопиющие нулевые дни требовали месяцев на исправление по всей enterprise экосистемы. Хотя многие инструменты говорят, что проблема в «приоритизации», вы можете расставлять приоритеты хоть целый день, но если инженеры не могут что-то легко исправить, все это напрасно.
Это тенденция, которая больше относится к «управлению уязвимостями». ASPM, но настоящей целью должна быть помощь разработчикам в устранении уязвимостей. ASPM.
Слишком много кода, слишком быстро
Если мы думаем, что облако ускорило развертывание кода, то генеративный ИИ только увеличил скорость написания кода. Еще один малообсуждаемый момент — то, как генеративный ИИ продолжает открывать новую аудиторию для программирования, позволяя всем, от отделов продаж до бухгалтеров, создавать скрипты Python, которые делают простые вещи.
Эти разработки сделали сканирование часто, часто и в различных средах более важным, чем когда-либо. Если для настройки новых приложений со сканированием потребуется длительный процесс утверждения, вы просто будете готовы ослепнуть.
Окружающая среда слишком разнообразна
Хотя количество сканеров может быть подавляющим, когда вы добавляете все вкусы фреймворка Javascript месяца, варианта языка или других фреймворков, поиск «лучших в своем классе точечных решений» просто невозможен больше. Я не вижу, чтобы команды по безопасности искали лучшее в своем классе решение для сканирования для каждого вкуса Javascript. Один ASPM Инструмент может сделать сканирование более доступным, чем попытки сканирования по отдельным языкам.
ASPM Инструментальное решение?
Именно эти проблемы я и определил ASPM
Application Security Posture Management предоставляет все необходимое для сканирования и устранения уязвимостей вашего приложения. Он обеспечивает сканирование безопасности по всему вашему SDLC pipeline, принимает результаты и строит рабочие процессы исправления.
На практике это реализуется как интеграция исходного кода "все в одном", которая бесперебойно сканирует ваш код на наличие уязвимостей, расставляет их по приоритетам и помогает назначить их нужным людям. Давайте посмотрим, как это решает все основные проблемы в AppSec:
Слишком много сканеров
- Это говорит само за себя — больше нет смысла иметь 8 различных решений, когда одно может быть достаточно хорошим, чтобы покрыть большую часть вашего стека.
Слишком много ложных срабатываний
- Пока сохраняется идея «лучших точечных решений», ASPM's обычно имеют гораздо более целостную видимость того, как работает приложение. Будь то отображение зависимостей сборки или картина «код в облако» — эти инструменты обычно лучше справляются с устранением ложных срабатываний.
Исправлять ситуацию действительно сложно
- Справедливости ради, это то, где (в целом) многие поставщики, которые не стали сканировать, создали лучшие движки для исправления ошибок. В любом случае, это то, где ASPM превосходит CSPM – на самом деле у него есть метод передачи результатов тем, кто может их исправить.
Слишком много кода, слишком быстро
- Тот факт, что автоматическое развертывание сканеров в новых репозиториях является такой редкой функцией, говорит о том, что только основанные на веб-перехватчиках ASPM позволяет масштабировать безопасность так же быстро, как и объем кода в среде
Окружающая среда слишком разнообразна
- Хотя всегда могут быть крайние случаи, оценить «лучшее в своем классе» становится все труднее и труднее — разве команда безопасности должна тестировать 8 сканеров на 5 языках с 10 доказательствами концепции?
Я стою рядом ASPM (И ASPM tools) будучи будущим безопасности приложений, он решает большинство проблем, с которыми сталкиваются специалисты по безопасности приложений. Как только существующие контракты закончатся, или даже раньше, специалисты начнут использовать эти новые решения. Единственное, что их останавливает, — это осознание того, что есть лучший способ.
