自从互联网时代开始,就有个很有意思的词:Copy to China。在网络安全,这条路也一直在走,国外先有“创新”,产生一个新名词,Gartner把名词定义好,国内就会有公司沿着这个名字把自己的产品做出来,这也是安全喜欢用英语缩写的重要原因。跟随战术,其实也没什么错,承认落后,才能奋起直追。
但这些年的追赶有点慢了,其中一个重要的概念就是ASPM,国内都搞好几年了,好多公司在搞了,国内还没见到,这个比较少见。今天扒一扒。
什么是ASPM
应用程序安全态势管理(ASPM)分析软件开发、部署和运营过程中的安全信号,以提高可见性、更好地管理漏洞并实施控制。安全领导者可以使用 ASPM 来提高应用程序安全效率并更好地管理风险。
- 应用程序安全态势管理创新洞察,Gartner 2023 年
稍微有点抽象,其实这个词到底是什么内涵,确实现在还有不同的说法。油管上有不少讨论的视频,说法也并不一致。在查询了很多资料后,我认为可以按下面的方式理解。
如上图:
我们从研发、现网和基础设施、应用四个纬度划分,得到四个象限。
第二象限,是当前供应链安全的主要内容,包括SAST,DAST,IAST,SCA等,以及对这些工具的自动化调用及编排,合起来叫ASOC。这一块的工具发展了很多年,但综合应用最近几年进步比较快,很受资本关注。
如果对名词不太熟悉,请先参阅人话版安全概念(2) 供应链安全SAST,DAST,SCA…
第四象限,是当前云现网的应用。CWPP,CSPM,CNAPP,这块在国外很火,国内不太火。
如果对名词不太熟悉,请先参阅人话版安全概念:CWPP,CSPM与CNAPP
第三象限,其实不太重要,因为研发环境和现网环境是相互隔离的,对环境的扫描及修改对现网不起作用,所以只是偶而针对特定问题处理的时候才会用(如果漏洞补丁对现网环境的影响),所以我对DAST画了虚框。
最重要的第一象限,原来是空的。针对应用的安全在现网管理缺失,ASPM就是填上这个空缺的。
ASPM的主要功能包括:
完整的应用视图。原来的现网配置库(CMDB)基本是资产纬度的,看不到应用的情况,而SBOM也看不到现网的情况,ASPM对二者强化,形成现网的应用分布图。基于现网的应用分布图,可以更好的察看风险的影响范围。
风险(漏洞)的分级和处理优先级。现在的漏洞已经多到处理不完的程度,有个优先级就非常重要。漏洞对现网的影响,除了CVSS外,还有许多因素要考虑,比如影响的是主要应用,还是次要应用,影响范围有多大,是小部分,还是大部分,受影响的服务是不是直联互联网,如果直联互联网,外边有防护(比如WAF),优先级情况都不一样,研发和现网结合确定处理优先级,是更好的方案。
统一的风险视图,结合1和2,再结合研发段的扫描信息,及基础设计的安全风险信息,统一的察看风险并确定优先级,是更高层面的可视化。(ASPM会收集CNAPP的数据)
应用也有配置文件,错误配置也会出问题,这个在研发段是解决不了的,ASPM可以持续地扫描跟踪,这是填补空白的工作。
数据安全和合规。从应用的角度看数据安全及合规,是个更完整,更准确的工作,比传统方案更好,当然也需要更多的工作量。
还有些其它的,比如安全韧性等,各家表述略不不同。
综合看,用一句话来简单解释:ASPM是应用安全的端到端管理,结合研发和现网基础设施安全数据,形成完整的风险视图及管理,有助于提升应用的整体安全水平。
国外进展
Gartner 2023年定义了ASPM这个品类,但由于相关概念已经发展好几年,所以现在可以查到的产品(厂商)有280多种
https://www.gartner.com/reviews/market/application-security-posture-management-aspm-tools
遗憾的是,国内目前好象还没有。
不过考虑到供应链安全和云安全国内发展都不太理想,这个结果也许是正常的。
注:文中涉及的资料,如有需求可留言或私信,单独发。
END