gtxyzz

2022年:应用安全编排与关联(ASOC)“兴起元年”

gtxyzz 安全防护 2023-01-01 343浏览 0

2022年:应用安全编排与关联(ASOC)“兴起元年”

2022年将是越来越多的组织开始利用应用程序安全(AppSec)作为业务推动因素的一年。传统上,AppSec被视为阻碍业务进展的资源密集型障碍。但是现在,这种观念发生了颠覆,组织逐渐意识到AppSec与我们构建、部署和运行软件的方式密不可分,而且它对于企业安全和合规性同样至关重要。同时,通过AppSec自动化还可以减少保护软件所需的时间和资源。

对于软件开发的企业而言,2022年将是AppSec重要性愈发凸显的一年。当AppSec工具自动运行,并且结果与现有流程和问题追踪器集成时,开发人员可以将修复安全漏洞作为其日常工作流程,无需再单个系统的手动操作,也无需逐条浏览安全团队的数千页PDF报告,来试图找到需要做的事情。当安全测试自动化并集成到安全开发过程中时,它就成为了应用程序开发的无缝部分。

与此同时,企业组织也开始认识到AppSec是风险管理的关键部分,正确实施AppSec计划能够带来商业利益。好的AppSec意味着更少的软件漏洞,这也就意味着更少的灾难或令人尴尬的声誉风险,但同时也会导致更少的支持案例、更少的紧急更新、更高的生产力和更安心的客户。但是,企业组织如何才能将这些知识转化为力量呢?

应用安全编排和关联(Application security orchestration and correlation,通常称为ASOC)可以提供兼顾开发速度与安全的解决方案。虽然业内都明白开发安全的重要性,但他们普遍认为增加安全性投入会降低开发速度。

在现代软件开发过程中,速度是关键。构建速度要求比以往任何时候都快。仅在Android上,Facebook每天就有50,000到60,000次构建。此外,据报道,亚马逊每秒都会将新软件部署到生产中。换句话说,每天有86,400次构建。

ASOC工具通过自动化工作流来简化软件漏洞的测试和修复。首先是安全测试自动化,其次将来自多个源(SAST、DAST、IAST、SCA、漏洞评估等)的数据提取到数据库中,再通过关联和分析检测结果,以实现修补措施的统一和优先级排序。

随着DevSecOps越来越被广大企业所接受,ASOC在两个关键领域所提供的便利将越来越明显:一是对应用程序安全测试计划的简化,以带来在管理工作流方面的效率提升;二是为最关键的安全风险进行优先级排序,进而解决资源稀缺的问题。

2019年,分析公司Gartner将“ASOC”一词添加到了炒作周期中,进一步肯定了其重要性。未来,ASOC还会有更大的发展空间,因为它可以帮助开发人员过滤信息过载的噪音。

但要如何实现呢?一个有效的ASOC解决方案将完成以下五件主要的事情,以提升软件安全测试的效果,同时跟上不断加快的开发步伐:

执行测试

ASOC使用企业组织拥有的任何AppSec测试工具运行应用安全测试。工具的编排组件经过编程,以适应被测试的应用类型和组织的需求,可确保在正确的时间进行正确的测试。

关联结果

不同的测试工具以不同的格式和命名法呈现结果。ASOC将它们标准化为统一的命名法,然后匹配它们以消除冗余。然后将结果组合,并聚合成超集。

优先排序

并非所有的软件漏洞都是同等水平的:有些微不足道,但有些则是至关重要的。开发团队应该专注于关键的事情。强大的ASOC工具可以通过两种方式实现优先排序:首先,通过可定制的规则,组织可以优先修复某些漏洞;第二种方法是通过机器学习(ML)来了解哪些项目应该重点关注和修复,哪些应该忽略。执行扫描时,ASOC工具应该能够向开发人员显示一组基于先前活动的结果,这些结果反映了其修复优先级。

追踪修复

优秀的ASOC工具可以拥有最高优先级,以快速发现漏洞,并在漏洞追踪器(例如Jira、Bugzilla)中自动打开工单。它可以将信息连同漏洞的类型、它在代码中的位置一起发送给开发人员,还可以提供修复指导。此外,它还可以验证漏洞何时得到纠正,并在完成后自动关闭故障单——这被称为双向问题追踪器集成。

中心化平台

分析师或高管不需要使用每个单独的工具来了解软件存在哪些问题,以及正在采取哪些措施来解决这些问题。ASOC解决方案可以充当AppSec记录系统。它还可以帮助安全主管回答一些基本问题,这些问题在关于“安全团队如何最大限度地降低业务风险”的董事会讨论中,以及存在有关安全合规问题的情况下都发挥着重要作用。此类问题可能包括:

软件是否经过测试以及何时测试?

  • ASOC 将这些信息存储在其中央数据日志中,并且可以全面呈现。

发现了哪些安全和质量缺陷?

  • 虽然这看似是一个很容易回答的问题,但如果您的所有结果都在不同的孤岛中,它可能会变得异常复杂。一个有效的ASOC 解决方案可以很容易地回答这个问题,因为它已经记录了各种AppSec工具和技术确定的所有问题,并对其进行了优先排序。

这些问题解决了吗?

  • 如果ASOC解决方案连接了漏洞跟踪器并记录了修复状态,您几乎可以立即回答这个问题。

我在哪里能看到我的风险状态?

  • ASOC解决方案可为风险报告提供单一平台。

本文翻

继续浏览有关 安全 的文章
发表评论