2022年:應用安全編排與關聯(ASOC)“興起元年”
2022年將是越來越多的組織開始利用應用程序安全(AppSec)作為業務推動因素的一年。傳統上,AppSec被視為阻礙業務進展的資源密集型障礙。但是現在,這種觀念發生了顛覆,組織逐漸意識到AppSec與我們構建、部署和運行軟件的方式密不可分,而且它對于企業安全和合規性同樣至關重要。同時,通過AppSec自動化還可以減少保護軟件所需的時間和資源。
對于軟件開發的企業而言,2022年將是AppSec重要性愈發凸顯的一年。當AppSec工具自動運行,并且結果與現有流程和問題追蹤器集成時,開發人員可以將修復安全漏洞作為其日常工作流程,無需再單個系統的手動操作,也無需逐條瀏覽安全團隊的數千頁PDF報告,來試圖找到需要做的事情。當安全測試自動化并集成到安全開發過程中時,它就成為了應用程序開發的無縫部分。
與此同時,企業組織也開始認識到AppSec是風險管理的關鍵部分,正確實施AppSec計劃能夠帶來商業利益。好的AppSec意味著更少的軟件漏洞,這也就意味著更少的災難或令人尷尬的聲譽風險,但同時也會導致更少的支持案例、更少的緊急更新、更高的生產力和更安心的客戶。但是,企業組織如何才能將這些知識轉化為力量呢?
應用安全編排和關聯(Application security orchestration and correlation,通常稱為ASOC)可以提供兼顧開發速度與安全的解決方案。雖然業內都明白開發安全的重要性,但他們普遍認為增加安全性投入會降低開發速度。
在現代軟件開發過程中,速度是關鍵。構建速度要求比以往任何時候都快。僅在Android上,Facebook每天就有50,000到60,000次構建。此外,據報道,亞馬遜每秒都會將新軟件部署到生產中。換句話說,每天有86,400次構建。
ASOC工具通過自動化工作流來簡化軟件漏洞的測試和修復。首先是安全測試自動化,其次將來自多個源(SAST、DAST、IAST、SCA、漏洞評估等)的數據提取到數據庫中,再通過關聯和分析檢測結果,以實現修補措施的統一和優先級排序。
隨著DevSecOps越來越被廣大企業所接受,ASOC在兩個關鍵領域所提供的便利將越來越明顯:一是對應用程序安全測試計劃的簡化,以帶來在管理工作流方面的效率提升;二是為最關鍵的安全風險進行優先級排序,進而解決資源稀缺的問題。
2019年,分析公司Gartner將“ASOC”一詞添加到了炒作周期中,進一步肯定了其重要性。未來,ASOC還會有更大的發展空間,因為它可以幫助開發人員過濾信息過載的噪音。
但要如何實現呢?一個有效的ASOC解決方案將完成以下五件主要的事情,以提升軟件安全測試的效果,同時跟上不斷加快的開發步伐:
執行測試
ASOC使用企業組織擁有的任何AppSec測試工具運行應用安全測試。工具的編排組件經過編程,以適應被測試的應用類型和組織的需求,可確保在正確的時間進行正確的測試。
關聯結果
不同的測試工具以不同的格式和命名法呈現結果。ASOC將它們標準化為統一的命名法,然后匹配它們以消除冗余。然后將結果組合,并聚合成超集。
優先排序
并非所有的軟件漏洞都是同等水平的:有些微不足道,但有些則是至關重要的。開發團隊應該專注于關鍵的事情。強大的ASOC工具可以通過兩種方式實現優先排序:首先,通過可定制的規則,組織可以優先修復某些漏洞;第二種方法是通過機器學習(ML)來了解哪些項目應該重點關注和修復,哪些應該忽略。執行掃描時,ASOC工具應該能夠向開發人員顯示一組基于先前活動的結果,這些結果反映了其修復優先級。
追蹤修復
優秀的ASOC工具可以擁有最高優先級,以快速發現漏洞,并在漏洞追蹤器(例如Jira、Bugzilla)中自動打開工單。它可以將信息連同漏洞的類型、它在代碼中的位置一起發送給開發人員,還可以提供修復指導。此外,它還可以驗證漏洞何時得到糾正,并在完成后自動關閉故障單——這被稱為雙向問題追蹤器集成。
中心化平臺
分析師或高管不需要使用每個單獨的工具來了解軟件存在哪些問題,以及正在采取哪些措施來解決這些問題。ASOC解決方案可以充當AppSec記錄系統。它還可以幫助安全主管回答一些基本問題,這些問題在關于“安全團隊如何最大限度地降低業務風險”的董事會討論中,以及存在有關安全合規問題的情況下都發揮著重要作用。此類問題可能包括:
軟件是否經過測試以及何時測試?
- ASOC 將這些信息存儲在其中央數據日志中,并且可以全面呈現。
發現了哪些安全和質量缺陷?
- 雖然這看似是一個很容易回答的問題,但如果您的所有結果都在不同的孤島中,它可能會變得異常復雜。一個有效的ASOC 解決方案可以很容易地回答這個問題,因為它已經記錄了各種AppSec工具和技術確定的所有問題,并對其進行了優先排序。
這些問題解決了嗎?
- 如果ASOC解決方案連接了漏洞跟蹤器并記錄了修復狀態,您幾乎可以立即回答這個問題。
我在哪里能看到我的風險狀態?
- ASOC解決方案可為風險報告提供單一平臺。
本文翻譯自:https://www.information-age.com/2022-will-see-rise-in-application-security-orchestration-correlation-asoc-123498130/如若轉載,請注明原文地址。
