推进网安网信融合工作（网安加百家讲坛）

推进网安网信融合工作（网安加百家讲坛）安全人员经常有灵魂三问：而APSM关注是工作负载层的细节，包括应用系统而且其附属的服务、API、第三方依赖库、依赖系统以及数据流等。ASPM应该能过自动化确定业务风险的过程，以了解外界攻击者是否可以利用该安全风险并对业务系统造成重大影响。到目前为止，虽然Gartner等分析公司还没有将ASPM 确立为一个类别，但是未来的一个趋势，特别是当企业采用持续交付、云和软件API来进行业务创新并为客户提供全新体验时，这种需求会更加的迫切。这个就是APSM与CNAPP（Cloud-Native Application Protection Platforms）的差异的图形，绿色部分是CNAPP，白色部分是APSM。从下图可以看到，CNAPP对应用程序的可见性有限，因为CNAPP通常只关注云平台本身、操作系统、容器编排和工作负载层，而应用系统位于工作负载层，但CNAPP得不到更多细节。

作者简介：肖文棣，OWASP中国广东分会负责人、网安加社区特聘专家，现任某外企安全架构师，负责应用安全设计、管理和评审等工作。

一、什么是ASPM

ASPM是应用安全态势管理（Application Security Posture Management）的简称，是一种让应用系统更加安全且更具有弹性，并且能显著降低业务风险的实践。

ASPM的目标是对生产环境中运行的应用程序的安全风险态势进行全面系统而且持续的管理，并且实施更新，这里的安全风险态势包括包括应用程序的所有服务、第三方依赖库、涉及的API、依赖项、攻击面和敏感数据流等。

ASPM应该允许安全团队在任何时间点快速识别应用程序中存在的最重要的业务关键风险并确定风险的优先级。

ASPM应该能过自动化确定业务风险的过程，以了解外界攻击者是否可以利用该安全风险并对业务系统造成重大影响。

到目前为止，虽然Gartner等分析公司还没有将ASPM 确立为一个类别，但是未来的一个趋势，特别是当企业采用持续交付、云和软件API来进行业务创新并为客户提供全新体验时，这种需求会更加的迫切。

这个就是APSM与CNAPP（Cloud-Native Application Protection Platforms）的差异的图形，绿色部分是CNAPP，白色部分是APSM。从下图可以看到，CNAPP对应用程序的可见性有限，因为CNAPP通常只关注云平台本身、操作系统、容器编排和工作负载层，而应用系统位于工作负载层，但CNAPP得不到更多细节。

而APSM关注是工作负载层的细节，包括应用系统而且其附属的服务、API、第三方依赖库、依赖系统以及数据流等。

安全人员经常有灵魂三问：

1. 当前的生产系统中最关键最迫切的业务风险是什么？
2. 当前的生产系统有多少个服务（微服务）和API？
3. 当前的生产系统中暴露了哪些敏感数据？

ASPM应该能够回答并且必须能够回答这三个问题，因为ASPM就是为了解决这灵魂三问而诞生的。

ASPM是一种专注于生产环境中的应用程序的安全解决方案。ASPM是整个CI/CD管道中使用的应用程序测试工具（AST）的有效补充，ASPM是建立在云安全态势管理（CSPM）的基础上。

ASPM能够对使用现有安全工具发现的威胁结合业务场景进行分析，以便安全团队可以快速了解每个威胁背后的业务风险。

ASPM的核心业务优势

ASPM有三个核心业务优势：

1. 更强大的安全态势

2. 更好的应用程序数据隐私性和合规性

3. 更好的弹性应用程序架构

优势一：更强大的安全态势

ASPM可以快速发现其他网络安全解决方案（如CSPM）无法检测到的安全风险并确定这些安全风险的业务优先级，这些安全风险包括第三方依赖库的最新漏洞、第三方依赖项的更改、敏感数据暴露和应用程序级别的密钥的硬编码，这些应用程序级别的安全风险往往在开发环境中不存在或者很难被其他安全工具检测到，但是却进入生产环境。

即使CI/CD有使用SAST、SCA、DAST、IAST等AST工具进行了测试，但如果没有ASPM，应用程序安全在生产环境中的覆盖范围也很有限。

更重要的是，ASPM可以将安全威胁情境化，以便安全团队可以了解每个威胁的潜在业务影响。

ASPM还可以自动化手工流程（例如安全审查和威胁建模），这些手工流程既耗时又单调，而且这些流程需要准确的文档、架构图、Jira问题单和完成的调查问卷，这些手工流程已经成为软件开发生命周期活动的瓶颈，特别是DevOps等敏捷过程。

安全威胁场景示例：零日代码漏洞调查

挑战：

一家HR软件公司在其构建和测试环境中检测到Log4J漏洞，但无法在生产环境中找到Log4J实例。该公司的网络安全工具都没有生产环境可见性，安全团队必须在3天内在50个应用程序中进行漏洞调查。

业务影响：

最后，该公司估计，为期3天的人工审查工作将花费超过150000美元。

解决方案：

使用ASPM，该公司能够在几分钟内找到生产环境中所有可利用并具有业务影响的Log4J实例并确定其优先级。该公司拥有其生产环境中的应用程序的详细架构图，以及有利用风险的每个组件、服务、库和数据流。

优势二：更好的应用程序数据隐私和合规性

云原生应用程序和微服务的持续更新可能会影响和暴露敏感数据。因此，大多数工程团队都会针对重大变更完成安全调查问卷（安全审查）。根据GitLab的2022年开发人员调查，大多数运维人员将四分之一甚至一半的时间用于安全审计和满足合规性上。（https://about.gitlab.com/developer-survey/）

ASPM应该能够简化那些通常耗时而且手动的数据隐私和合规性任务。ASPM通过自动发现和映射，可以深入了解所有应用程序服务和API如何管理数据。

ASPM可以报告应用程序内的所有敏感数据流，直至给定应用程序架构中的各个服务或API正在访问的数据库的表以及列。

安全威胁场景示例：GDPR合规性

挑战：

一家连锁餐厅正在欧盟开设第一家门店，该餐厅需要遵守GDPR。该公司的服务欧盟顾客的微服务托管在Microsoft Azure的欧盟区域内。但是，开发团队没有意识到这些微服务仍然指向Azure美国区域中的数据库。

业务影响：

GDPR罚款可能会破坏业务。根据违规的严重程度，GDPR罚款最高可达2000万欧元或公司上一年全球营业额的4%，以较高者为准。

解决方案：

通过ASPM，该公司能够映射生产环境中的所有微服务数据流，并发现欧盟客户数据存储在Azure美国区域，从而违反了GDPR的数据主权规定。

优势三：更好的弹性应用程序架构

能够高效、准确地检测架构变更，并确定优先级和修复架构变更，对于任何企业来说都是必不可少的。如果应用程序组件或依赖项发生更改，并且这些更改导致关键任务应用程序崩溃，则会导致计划外停机。

除了给客户带来不便外，停机时间也很昂贵。2014年，Gartner估计停机时间的平均成本为每分钟5 600美元。即使这个估计在当前经济条件下是保守的，3小时的停电成本也将超过100万美元。

ASPM能够提供详细的、最新的应用程序架构图，对所有服务、API、库、依赖项和数据流具有精细的可见性，这将有助于：

1. 开发人员了解自己的应用程序架构。许多开发人员对于重要的文档并没有及时更新甚至不更新，这增加了应用程序系统的技术债务并阻碍了做出合适的决策。

2. 企业架构师减少了技术债务。企业架构师将能够领导开发团队创建和维护安全、可扩展和灵活的应用程序架构。

3. SRE了解应用程序的依赖关系及其影响。SRE将能够快速对与云区域或应用程序服务相关的中断进行影响分析。

4. 管理人员可以获得关于任何导致停机的事件的准确和清晰的报告，因此管理人员可以全面了解受影响的范围以及修复需要的时间。

安全威胁场景示例：影响分析和减少停机时间

挑战：

一家大型金融服务公司经历了云区域中断。雪上加霜的是，该公司没有准确的记录系统来识别每个云提供商、区域和区域中运行的应用程序和服务，并且无法查看跨应用程序和跨云的依赖关系。该公司需要通过全面、准确和即时地了解其应用程序架构依赖关系来防止这种情况再次发生。

业务影响：

此事件的总停机时间使公司损失超过1000万美元。

解决方案：

通过将ASPM添加到其安全策略中，公司能够主动探索和了解跨多个云服务提供商、区域和区域的应用程序依赖关系的影响分析。这种可见性水平通过检测单点故障或依赖项中缺乏故障转移来提高云应用程序架构的弹性。

二、ASPM的关键能力

ASPM除了三大优势外，还有十大关键能力：

1. 云原生应用发现和映射

2. 云原生应用程序清单

3. 精通业务环境

4. 数据流发现和映射

5. 变更检测

6. 业务风险评分

7. 统一威胁数据库

8. 策略驱动的安全态势

9. 自动化DevSecOps工作流程

10. 易于部署和扩展

云原生应用发现和映射

一个组织的应用程序安全态势必须是全面和完整的，这才能有效并获得团队的信任。

ASPM最突出的特点之一是对应用程序架构的关注。从基本架构发现到详细映射，对所有依赖项（如服务、函数、API、库、数据流和第三方依赖项）的完全可见性是ASPM的重要组成部分。

这种可见性对许多不同的团队（包括安全、DevOps、工程、SRE和EA）都很有价值，因为ASPM为云原生应用程序提供了一个准确的记录系统。此外，团队可以理解和信任ASPM的准确的地图，因为ASPM提供了大多数生产云应用程序所展示的分布式混乱的情境上下文。

云应用清单

ASPM发现和映射应用程序后，应对其架构依赖项（如服务、API、数据流、第三方服务、库）进行索引、基线化和存储，以进行风险分析、安全态势洞察和报告。

云原生应用程序的可搜索实时清单允许团队快速地完成下面事情：

1. 按需创建软件物料清单（SBOM）

2. 查询和报告特定的依赖关系（例如所有带有Log4J 库的服务）

3. 查询特定的攻击面（例如，所有面向互联网的API 和产品中的PII数据）

4. 报告带有与第三方服务通信的敏感数据的服务

精通业务环境

如果ASPM能够帮助团队快速确定关键业务风险的优先级，那么ASPM必须为团队提供足够的上下文和元数据，来说明威胁如何影响应用程序、服务、API，以及这些依赖关系如何影响业务。

例如，开发人员通常对执行特定业务功能或任务的服务和API使用清晰的命名约定。这种业务环境还有助于量化风险并确定风险的优先级，以便团队知道首先要修复什么以及为什么要修复。

鉴于云资源是动态且短暂的，仅依靠来自云基础设施、操作系统、网络和容器的元数据（例如手动标记）和上下文是不够的。在业务逻辑发生变化时维护其完整的上下文是基础。

数据流发现和映射

为了增强业务环境，ASPM解决方案需要具有数据感知能力，以便能够发现、管理和保护应用程序生态系统中的敏感数据。ASPM还允许团队根据可能受到影响或利用的业务数据类型来确定风险的优先级。

ASPM解决方案应该能够快速发现并准确映射流经的应用程序、服务、API和生产中第三方的所有数据。这种可见性有助于识别与不同类型的敏感数据（如PII、PCI和PHI）相关的潜在数据隐私和合规风险。

随着开发人员不断更新来自分布式数据库、缓存和 API的业务逻辑和数据访问，组织必须捕获、理解和管理此活动，作为其应用程序安全状态的一部分。

变更检测

漂移是指通过应用程序代码或配置更改引入未预料到的业务风险。ASPM提供了对应用程序架构进行基线和版本控制的能力，以检测何时引入、修改或删除新的依赖项。

云原生应用程序每小时都在变化，因此团队必须了解架构和攻击面是如何演变的，以及这些变化带来的风险。

一些变更的示例：

1. 新的微服务引入了新的数据流和攻击面

2. 现有API首次开始公开PII数据

3. 欧盟托管的应用程序开始访问托管PII数据的美国数据库

4. 应用程序首次开始使用包含CVE的开源库

业务风险评分

ASPM通过考虑和关联在生产环境中运行的应用程序的所有属性和维度，采用不同的方法对风险进行评分。

要真正计算业务风险，ASPM解决方案应使用以下三个维度对风险进行评分：

1. 威胁或漏洞的严重性

2. 威胁攻击面利用的概率

3. 可能受到影响或暴露的业务数据的重要性

例如，一个漏洞的CVSS分数可能为9.9，这意味着它必须立即修复。但是，如果此漏洞存在于不依赖于托管在私有数据中心内的单一应用程序中，则此威胁被利用的风险非常低。此外，如果这个单体应用程序不处理敏感数据，那么整体业务风险在上下文中是低的。

相比之下，连接到CVSS分数（较低）为8.2的PII数据库的面向Internet的API是一个可以充分利用的关键业务风险。

ASPM的目的是为每个业务风险提供清晰的上下文评级或评分，以便团队可以在任何给定时间快速识别生产中的前3大业务关键风险。

ASPM不应像现有的安全工具那样检测成百上千的风险。ASPM应该向安全和工程团队提供高质量、可操作的反馈，以便将噪音、误报和工作量降至最低。通过这种方式，企业最关键的风险得到快速解决，软件交付不会受到安全警报或问题单的阻碍。

统一威胁数据库

ASPM应与已知漏洞（CVE）数据库集成，并提供跨所有威胁和攻击面的统一分析，以便有效识别、评分和确定关键业务风险的优先级。

幸运的是，有几个开源工具可以免费提供此功能，例如Aqua、OSV、Mend和Snyk。

ASPM的作用是简化和自动化确定什么是关键的并且应该由团队采取行动的手动过程。ASPM可以从其生态系统中获取和处理的情报和输入越多，它可以为组织的应用程序安全状况提供的覆盖范围就越大。

自动化DevSecOps工作流程

ASPM解决方案应与DevSecOps工具链和工作流集成并实现自动化，以便随着变化呈指数级增长，可以简化和扩展安全和工程流程。

ASPM应在以下领域启用DevSecOps自动化：

1. 云服务提供商和容器编排器（Kubernetes、AWS、GCP、Azure）——跨所有云原生应用程序的无缝且可扩展的集成。

2. CI/CD管道（Jenkins、GitLab、Azure DevOps、Harness） - 与CI/CD管道无缝集成，以便为预生产环境和生产环境创建安全态势。

3. 问题跟踪（Jira、ServiceNow） - 自动向工程师提供可操作的反馈。

4. CMDB和服务目录/库存（ServiceNow） - 持续更新属于每个云原生应用程序的所有应用程序资产和持续集成。

5. AST/SCA/CNAPP（Wiz、Snyk、Prisma） - 通过应用程序的视角对所有现有安全工具的发现的安全分析进行统一化、情境化和评分。

易于部署和扩展

如果ASPM无法在您的组织中轻松扩展，那么ASPM的采用和价值将无法降低业务风险并改善应用程序安全状况。

如今，现代云原生工具使用无代理方法通过标准的开放API和权限与云和应用程序集成。这些工具易于安装，并且在组织中的数百或数千个应用程序中运行和维护的侵入性较小。

更重要的是，每个应用程序在其代码库、架构、依赖项和配置方面都是独一无二的。这意味着ASPM必须能够发现和映射复杂的异构应用程序，而无需人工配置。ASPM的目的是使手动流程自动化，以免增加现有流程的负担。

三、总 结

ASPM是一个新生的领域，但是值得我们持续跟踪和研究，ASPM具有三大优势和十大关键能力，并且能够回答我们安全人员灵魂三问，我相信ASPM将为应用安全带来新的能力和方案。

- End -