ASPM不是应用安全的万灵药

2023年9月27日作者：GoUpSec

ASPM（应用程序安全态势管理）是一种管理和提高应用程序安全性的方法。它包含识别、分类和缓解应用程序生命周期中的安全漏洞的流程、工具和实践。ASPM的核心功能包括漏洞扫描、漏洞跟踪、补丁管理以及持续监控和改进。

ASPM提供应用程序安全状况的整体视图，涵盖软件开发生命周期(SDLC)的所有阶段，主要侧重于识别和管理作为单一实体的应用程序中的漏洞。

ASPM的七大核心功能

ASPM工具已经发展了大约十年，直到最近才被业界定义为“应用程序安全编排和关联”(ASOC)。最初，ASPM工具专注于特定领域（例如应用程序开发）和功能（例如不同工具的测试结果的关联）。在过去两年中，市场上出现了大量新的商业产品，提供了更广泛的功能。以下功能现在很常见，并且被视为ASPM产品的核心功能：

覆盖范围：ASPM最初专注于开发中的应用程序安全测试，现在的产品包括来自操作环境（例如云平台、容器、物理基础设施）的数据。
测试编排：在整个应用程序生命周期中集成安全工具并根据组织策略控制其操作的能力至关重要。
补救措施：包括集成到工作流程工具（例如故障单系统）中，以及提供有关可能修复的具体指导。
关联：虽然大多数ASPM工具执行一对一的漏洞关联（跨工具的相关发现），但它们也越来越多地对与应用程序组件相关的数据进行分组，以表示完整的应用程序。
优先级和分类：ASPM工具应该能够根据用户提供的风险因素或从应用程序推断出的风险因素，对漏洞风险进行优先级排序。
根本原因识别：通过分析来自不同应用程序组件的数据，某些ASPM工具可以帮助识别漏洞的根本原因。
风险管理：ASPM工具经常尝试为组件或应用程序提供总体风险指示器。

虽然ASPM工具的功能在不断扩展，但ASPM并不是满足所有应用安全需求的一站式解决方案。以下是在企业中部署ASPM时需要考虑的一些因素。

ASPM的四大缺点

ASPM的优点众所周知，但该方法也存在一些缺点，包括：

复杂性和成本。实施ASPM解决方案可能非常复杂且耗时。它需要对应用程序及其依赖关系有深入的了解，而且有效使用ASPM工具的学习曲线也较为陡峭。ASPM工具的初始购买和许可费用可能非常昂贵，特别是管理大型应用程序环境的企业级解决方案。此外，将ASPM工具有效地集成到现有工作流程和SDLC流程中可能会很复杂且漫长。

警报过载。ASPM工具通常会生成大量警报。虽然这可以增加对潜在安全问题的可见性，但也可能导致警报疲劳。当ASPM工具生成的警报过多而安全团队难以跟上时，就会发生警报疲劳，同时可能会导致漏洞被忽视。

误报。与许多自动化安全工具一样，ASPM也可能会产生误报，将良性活动标记为潜在有害的活动，或者相反，也可能会漏掉一些真实的漏洞，从而导致漏报。减少两种误报都需要对ASPM系统进行精心的微调和管理。

范围有限。虽然ASPM表面上涵盖了应用安全的广泛领域，但在某些领域（例如API安全性）可能缺乏深度。ASPM主要关注应用层，这意味着它可能会忽略一些特定于API的漏洞。

此外，虽然ASPM可以检测软件中的漏洞，但最佳的防御策略是首先防止引入漏洞，因此，企业仍然需要遵循安全开发实践，例如输入验证、最小权限和正确的错误处理流程。

而且，ASPM并不能完全消除漏洞。ASPM工具可以检测已知漏洞，但可能漏掉新的未知漏洞（零日漏洞）。对于与特定业务逻辑相关的复杂漏洞，ASPM的表现也很挣扎。总之，无论ASPM工具多么先进，都不能保证企业的应用程序完全没有漏洞。

ASPM无法满足API安全需求

API作为软件组件之间的通信渠道，通常会暴露广泛的攻击面。而且API漏洞有其独特性，ASPM可能无法有效解决这些漏洞。

API安全需要比ASPM更精细的方法。每个API端点都是攻击者的潜在入口点，需要单独保护。API安全侧重于保护这些端点、控制谁可以访问它们，并确保通过它们传输的数据保持安全。

例如，虽然ASPM可以有效地检测应用程序中的漏洞，例如SQL注入或跨站点脚本(XSS)，但它可能无法识别API端点上不充分的访问控制。

根据2023年Gartner报告《应用程序安全态势管理的创新洞察》，ASPM可以处理从多个来源获取的数据，并将结果呈现给安全专业人员，从而降低潜在的复杂性。但报告警告说，“如果某些数据被忽略（有意或无意）或策略构建不当，高风险漏洞可能会被‘隐藏’或错误地降低优先级，从而导致漏报。”

与传统应用相比，API更具动态性，经常在每次部署时进行更新和更改。这就产生了对更新安全检查的持续需求，因为每次更改都可能引入新的漏洞。

简而言之，ASPM并不是一个完整的应用程序安全解决方案，它并不能取代安全开发实践、威胁建模或API安全方案。