最后更新于2024年1月17日(星期三)18:14:01 GMT
加速修复从代码到云的漏洞
作者:Eric Sheridan,首席创新官,Tromzo
在这篇由Eric Sheridan撰写的客座博客文章中, Rapid7重要合作伙伴Tromzo的首席创新官, 您将了解Rapid7客户如何利用ASPM解决方案来加速分诊, 优先级, 以及修复来自InsightAppSec和InsightCloudSec等安全测试产品的发现.
应用安全的海量数据问题
应用程序安全团队有一个 海量数据问题. 随着云原生架构的广泛采用和开发技术的日益分散, 许多团队积累了各种专门的安全扫描工具. 这些技术是高度专业化的, 旨在执行全面的安全测试,作为识别尽可能多的漏洞的一种手段.
它们大规模部署的一个自然副产品是, 在总, 应用程序安全(appsec)团队面临着数千个(如果不是数百万个的话)漏洞需要处理. 如果您打算部署高级应用程序安全测试解决方案,那么 当然 将会产生大量的漏洞数据. 事实上,我认为这是 好 遇到的问题. 就像那句老话说的那样:无法衡量的东西就无法改进.
但问题来了:考虑到积压的, 假设在整个产品堆栈中存在20万个严重程度为“关键”的漏洞, 你从哪里开始你的补救工作,为什么? 换句话说:是 这 更重要的 那 至关重要的? 回答这个问题需要额外的背景, 哪些通常是由appsec团队手动获取的. 然后,您如何传播孤立的漏洞并跟踪其补救工作流程以解决问题? 你能否对其他199999个关键漏洞进行复制? 这就是我所说的appsec团队存在大量数据问题的意思. 加速补救、降低风险和展示ROI要求我们能够 行为 根据我们收集的数据 在规模.
应用安全状态管理简介
克服应用程序安全性的海量数据问题需要一种全新的方法来操作漏洞修复, 而这正是应用程序安全状态管理(ASPM)要解决的问题. 在最近的 创新见解, Gartner对ASPM的定义如下:
应用程序安全状态管理分析跨软件开发的安全信号, 部署和操作提高可视性, 更好地管理漏洞并实施控制. 安全负责人可以使用ASPM来提高应用程序安全效率并更好地管理风险.——Gartner
获取和分析“安全信号”需要与各种第三方技术集成,作为导出安全信号的一种手段 上下文 中漏洞的安全含义是必要的 你的 企业及其环境. 为了了解实际情况,让我们重新审视这个问题:“是” 这 更重要的 那 至关重要的?一个健壮的ASPM解决方案将为您提供安全工具报告的漏洞严重程度之外的上下文. 这个漏洞是否与实际部署到生产环境中的资产相关联? 该漏洞是面向internet的还是仅针对内部的? 这些易受攻击的资产是否处理敏感数据, 例如个人身份信息(PII)或信用卡信息? 通过与第三方服务(如源代码管理系统和云运行时环境)集成, 例如, ASPM能够丰富漏洞,以便应用安全团队可以对风险做出更明智的决策. 事实上, 有了这个额外的背景, ASPM可以帮助应用程序安全团队识别那些对组织构成最大风险的漏洞.
然而,识别最重要的漏洞只是第一步. 第二步是 自动化 针对这些漏洞的补救工作流程. ASPM通过与您的开发人员目前已经在使用的票务和工作管理系统集成,支持可伸缩地将安全漏洞传播给各自的所有者. 更好的是, 应用程序安全团队可以监视漏洞的补救工作流程,以便从ASPM中解决所有问题. 从协作的角度来看, 这是一个巨大的双赢:开发团队和应用安全团队能够使用各自的技术在漏洞修复方面进行合作.
当你把这些放在一起, 您将了解到ASPM提供的最大增值,以及我们的客户在 Tromzo:
ASPM解决方案加速了对代表组织最大风险的漏洞的分类和补救.
ASPM核心功能
有效地提供集成体验,加速对代表最大风险的漏洞的分类和补救,需要以下几个核心能力:
- 跨所有扫描工具聚合安全漏洞的能力 而不会妨碍您使用一流的安全性测试解决方案.
- 跨CI/CD管道与开发工具集成并构建上下文的能力.
- 能够派生各种软件资产和从代码到云的安全发现之间的关系.
- 在安全漏洞之上表达和覆盖特定于组织和团队的安全策略的能力.
- 能够从这些元数据中获得行动和见解,从而帮助确定优先级并推动修复最重要的漏洞.
要有效地做到这一点,需要大量的数据、连接性、分析和洞察力. 通过集成70多个工具,Tromzo提供了一流的修复ASPM解决方案.
Rapid7客户如何从ASPM解决方案中获益
就其本质而言, ASPM通过集成各种安全测试解决方案和开发技术,满足了对漏洞补救的自动化和效率的需求. 效率带来了真正的成本节约. 让我们看看Rapid7客户如何使用Tromzo实现运营效率.
打破安全解决方案孤岛
Rapid7的客户已经积累了一流的安全测试解决方案,例如 InsightAppSec 和 InsightCloudSec. ASPM不仅支持将Rapid7产品集成,还支持将所有其他安全测试产品集成到一个整体视图中, 无论是软件组合分析(SCA), 静态应用安全测试(SAST), 秘密扫描, 等. 这有效地打破了单独管理这些独立工具所带来的筒仓和操作开销. 你把自己从分析的需要中解放出来, 伤检分类, 并优先考虑来自具有不同严重性分类和不同漏洞模型的数十种不同安全产品的数据. 相反,它是:一个位置、一个严重性分类法和一个数据模型. 这显然是提高运营效率的一个胜利.
通过深层环境和组织加速漏洞修复 上下文
典型的安全团队正在处理成千上万的安全发现,这将我们带回到我们的问题“是” 这 更重要的 那 至关重要的?”. Rapid7的客户可以利用应用程序安全态势管理解决方案来获得额外的上下文,从而使他们能够更有效地分类和修复由InsightAppSec和InsightCloudSec等最佳技术产生的漏洞. 举个例子, 让我们来探讨一下如何使用ASPM来回答appsec团队提出的一些常见问题:
1. 谁是这个漏洞的“所有者”?
安全团队花了无数个小时试图识别 谁 引入了一个漏洞,以便他们可以识别 谁 需要修复它. ASPM解决方案能够通过与第三方系统(如源代码管理存储库)的集成来帮助识别漏洞所有者. 这种自动归因可以作为由拥有风险的团队和个人驱动补救的基础.
不再浪费时间!
2. 哪些漏洞实际部署到我们的生产环境中?
在对漏洞进行分类时,最常见的问题之一是它是否部署到生产环境中. 这通常会引发其他问题,比如它是否面向互联网, 资产被消耗的频率是多少, 是否有已知的漏洞利用, 等. 至少可以说,得到这些问题的答案是乏味的.
ASPM解决方案提供的“代码到云”可见性使appsec团队能够快速回答这些问题. 举个例子, 考虑在私有注册中心托管的容器中发现的CVE漏洞. 代码到云的故事看起来是这样的:
- 开发人员编写了一个“Dockerfile”或“Containerfile”并将其存储在GitHub中
- GitHub Actions从这个文件构建了一个容器,并将其部署到AWS ECR上
- AWS ECS将这个容器从ECR中取出并部署到生产环境中
与GitHub集成, AWS ECR, 和AWS ECS, 我们可以自信地断定,托管在AWS ECR中的容器是否真的通过AWS ECS部署到生产环境中. 我们甚至可以更进一步:通过与GitHub集成, 我们甚至可以将容器映射回相应的Dockerfile/Containerfile和维护它的开发团队.
没有更多费力的会议!
3. 此申请是否处理个人资料或信用卡号码?
Appsec团队有责任帮助他们的组织实现对各种法规和行业标准的遵从, 包括GDPR, CCPA, HIPAA, 一种总线标准 DSS. 这些标准强调的是 类型 应用程序正在处理的数据, 因此,appsec团队可以了解哪些应用程序处理哪些类型的敏感数据. 不幸的是, 获得这种可见性需要安全团队创建, 分发, 收集, 并保留收件人经常无法完成的调查问卷.
ASPM解决方案能够围绕敏感数据的消费派生上下文,并使用此信息来充实适用的安全漏洞. 部署到生产环境的漏洞,可能会泄露信用卡号码, 例如, 作为避免可能的罚款和与一种总线标准 DSS相关的其他后果的一种手段,是否可能被优先处理.
不再有乏味的问卷调查!
4. 如何自动为漏洞创建票证?
一旦你知道什么需要修复,谁需要修复, 修复问题的任务需要交给能够实现修复的个人或团队. 这可能涉及数百或数千个漏洞, 他们消除重复项, 并将它们分组为可操作的任务,同时以接收团队可使用的格式自动创建票据. 这是一个复杂的工作流,它不仅涉及使用适当级别的补救信息自动生成正确格式化的票据, 还要跟踪该罚单的整个生命周期,直到补救, 然后是kpi报告. 像Tromzo这样的ASPM解决方案非常适合自动化这些票务和治理工作流程, 因为aspm已经集中了所有的漏洞,并且拥有适当的上下文和所有权元数据.
利用ASPM加速漏洞补救
ASPM解决方案使Rapid7客户能够加速修复由他们首选的安全测试技术发现的漏洞. 在当今复杂的混合工作环境中, 攻击者越来越创新,越来越老练, 以及潜在的不稳定市场, 自动化代码到云的可见性和治理对于最大化操作效率是绝对必要的, 特罗姆佐是来帮忙的. 看看 www.tromzo.com 了解更多信息.
