最后更新于2024年1月17日(星期三)18:14:01 GMT

Accelerating the Remediation of Vulnerabilities From Code To Cloud

作者:Eric Sheridan,首席创新官,Tromzo

在这篇由Eric Sheridan撰写的客座博客文章中, Rapid7重要合作伙伴Tromzo的首席创新官, you’ll learn how Rapid7 customers can utilize ASPM solutions to accelerate triaging, 优先级, 和 remediation of findings from security testing products such as InsightAppSec 和 InsightCloudSec.

应用安全的海量数据问题

应用程序安全团队有一个 海量数据问题. 随着云原生架构的广泛采用和开发技术的日益分散, many teams amass a wide variety of specialized security scanning tools. 这些技术是高度专业化的, 旨在执行全面的安全测试,作为识别尽可能多的漏洞的一种手段.

它们大规模部署的一个自然副产品是, 在总, 应用程序安全(appsec)团队面临着数千个(如果不是数百万个的话)漏洞需要处理. If you’re going to deploy advanced application security testing solutions, then 当然 a significant amount of vulnerability data is going to be generated. 事实上,我认为这是 遇到的问题. It’s like the old saying goes: You cannot improve what you cannot measure.

但问题来了:考虑到积压的, lets say 200k vulnerabilities with a severity of “至关重要的” across the entire product stack, 你从哪里开始你的补救工作,为什么? 换句话说:是 更重要的 那。 至关重要的? 回答这个问题需要额外的背景, 哪些通常是由appsec团队手动获取的. And how do you then disseminate 那。 siloed vulnerability 和 track its remediation workflow to resolution? And can you replicate 那。 for the other 199,999 至关重要的 vulnerabilities? This is what I mean when I say appsec teams have a 海量数据问题. Accelerating remediation, reducing risk, 和 demonstrating ROI requires us to be able to 行为 根据我们收集的数据 在规模.

应用安全状态管理简介

克服应用程序安全性的海量数据问题需要一种全新的方法来操作漏洞修复, 和 这 is ex行为ly what 应用安全状态管理 (ASPM) is designed to solve. 在最近的 创新见解, Gartner对ASPM的定义如下:

“Application security posture management analyzes security signals across software development, 部署和操作提高可视性, 更好地管理漏洞并实施控制. Security leaders can use ASPM to improve application security efficacy 和 better manage risk.——Gartner

获取和分析“安全信号”需要与各种第三方技术集成,作为导出安全信号的一种手段 上下文 necessary to better underst和 the security implications of vulnerabilities within 你的 企业及其环境. 为了了解实际情况,让我们重新审视这个问题:“是” 更重要的 那。 至关重要的?一个健壮的ASPM解决方案将为您提供安全工具报告的漏洞严重程度之外的上下文. Is 这 vulnerability associated with an asset 那。 is 行为ually deployed to production? 该漏洞是面向internet的还是仅针对内部的? 这些易受攻击的资产是否处理敏感数据, such as personally identifiable information (PII) or credit card information? By integrating with third party services such as Source Code Management systems 和 Cloud runtime environments, 例如, ASPM is able to enrich vulnerabilities so 那。 appsec teams can make more informed decisions about risk. 事实上, 有了这个额外的背景, ASPM可以帮助应用程序安全团队识别那些对组织构成最大风险的漏洞.

Identifying the most significant vulnerabilities is only the first step, however. 第二步是 自动化 针对这些漏洞的补救工作流程. ASPM通过与您的开发人员目前已经在使用的票务和工作管理系统集成,支持可伸缩地将安全漏洞传播给各自的所有者. 更好的是, 应用程序安全团队可以监视漏洞的补救工作流程,以便从ASPM中解决所有问题. 从协作的角度来看, 这是一个巨大的双赢:开发团队和应用安全团队能够使用各自的技术在漏洞修复方面进行合作.

当你把这些放在一起, you’ll come to underst和 the greatest value-add provided by ASPM 和 realized by our customers at Tromzo:

ASPM解决方案加速了对代表组织最大风险的漏洞的分类和补救.

ASPM核心功能

有效地提供集成体验,加速对代表最大风险的漏洞的分类和补救,需要以下几个核心能力:

  1. The ability to aggregate security vulnerabilities across all scanning tools without impeding 你的 ability to use the best-in-class security testing solutions.
  2. The ability to integrate with 和 build 上下文 from development tools across the CI/CD pipeline.
  3. 能够派生各种软件资产和从代码到云的安全发现之间的关系.
  4. 在安全漏洞之上表达和覆盖特定于组织和团队的安全策略的能力.
  5. 能够从这些元数据中获得行动和见解,从而帮助确定优先级并推动修复最重要的漏洞.

Doing 这 effectively requires a tremendous amount of data, connectivity, analysis, 和 insight. With integrations across 70+ tools, Tromzo is delivering a best-in-class remediation ASPM solution.

Rapid7客户如何从ASPM解决方案中获益

就其本质而言, ASPM通过集成各种安全测试解决方案和开发技术,满足了对漏洞补救的自动化和效率的需求. 效率带来了真正的成本节约. Let’s take a look at how Rapid7 customers can realize operational efficiencies using Tromzo.

打破安全解决方案孤岛

Rapid7 customers are already amassing best-in-class security testing solutions, such as InsightAppSecInsightCloudSec. ASPM不仅支持将Rapid7产品集成,还支持将所有其他安全测试产品集成到一个整体视图中, 无论是软件组合分析(SCA), 静态应用安全测试(SAST), 秘密扫描, 等. 这有效地打破了单独管理这些独立工具所带来的筒仓和操作开销. 你把自己从分析的需要中解放出来, 伤检分类, 并优先考虑来自具有不同严重性分类和不同漏洞模型的数十种不同安全产品的数据. Instead, it’s: one location, one severity taxonomy, 和 one data model. 这显然是提高运营效率的一个胜利.

Accelerating 脆弱性 Remediation Through Deep Environmental 和 Organizational 上下文

典型的安全团队正在处理成千上万的安全发现,这将我们带回到我们的问题“是” 更重要的 那。 至关重要的?”. Rapid7的客户可以利用应用程序安全态势管理解决方案来获得额外的上下文,从而使他们能够更有效地分类和修复由InsightAppSec和InsightCloudSec等最佳技术产生的漏洞. 举个例子, let’s explore how ASPM can be used to answer some common questions raised by appsec teams:

1. 谁是这个漏洞的“所有者”?

安全团队花了无数个小时试图识别 引入了一个漏洞,以便他们可以识别 需要修复它. ASPM解决方案能够通过与第三方系统(如源代码管理存储库)的集成来帮助识别漏洞所有者. 这种自动归因可以作为由拥有风险的团队和个人驱动补救的基础.

不再浪费时间!

2. Which vulnerabilities are 行为ually deployed to our production environment?

在对漏洞进行分类时,最常见的问题之一是它是否部署到生产环境中. This often leads to additional questions such as whether it is internet-facing, 资产被消耗的频率是多少, 是否有已知的漏洞利用, 等. 至少可以说,得到这些问题的答案是乏味的.

The “code to cloud” visibility offered by ASPM solutions allows appsec teams to quickly answer these questions. 举个例子, consider a CVE vulnerability found within a container hosted in a private registry. 代码到云的故事看起来是这样的:

  • A developer wrote a “Dockerfile” or “Containerfile” 和 stored it in GitHub
  • GitHub Actions built a Container from 这 file 和 deployed it to AWS ECR
  • AWS ECS pulled 这 Container from ECR 和 deployed it to Production

与GitHub集成, AWS ECR, 和AWS ECS, 我们可以自信地断定,托管在AWS ECR中的容器是否真的通过AWS ECS部署到生产环境中. 我们甚至可以更进一步:通过与GitHub集成, 我们甚至可以将容器映射回相应的Dockerfile/Containerfile和维护它的开发团队.

没有更多费力的会议!

3. 此申请是否处理个人资料或信用卡号码?

Appsec团队有责任帮助他们的组织实现对各种法规和行业标准的遵从, 包括GDPR, CCPA, HIPAA, PCI DSS. 这些标准强调的是 类型 应用程序正在处理的数据, 和 hence appsec teams can underst和 what applications process what 类型 of sensitive data. 不幸的是, 获得这种可见性需要安全团队创建, 分发, 收集, 并保留收件人经常无法完成的调查问卷.

ASPM解决方案能够围绕敏感数据的消费派生上下文,并使用此信息来充实适用的安全漏洞. A vulnerability deployed to production 那。 st和s to disclose credit card numbers, 例如, 作为避免可能的罚款和与PCI DSS相关的其他后果的一种手段,是否可能被优先处理.

不再有乏味的问卷调查!

4. 如何自动为漏洞创建票证?

一旦你知道什么需要修复,谁需要修复, the task of remediating the issue needs to be h和ed off to the individual or team 那。 can implement a fix. This could involve taking hundreds or thous和s of vulnerabilities, 他们消除重复项, 并将它们分组为可操作的任务,同时以接收团队可使用的格式自动创建票据. 这是一个复杂的工作流,它不仅涉及使用适当级别的补救信息自动生成正确格式化的票据, but also tracking the entire lifecycle of 那。 ticket until remediation, 然后是kpi报告. ASPM solutions like Tromzo are perfectly suited to automate these ticketing 和 governance workflows, since ASPMs already centralize all vulnerabilities 和 have the appropriate 上下文ual 和 ownership metadata.

利用ASPM加速漏洞补救

ASPM解决方案使Rapid7客户能够加速修复由他们首选的安全测试技术发现的漏洞. 在当今复杂的混合工作环境中, 攻击者越来越创新,越来越老练, 以及潜在的不稳定市场, automated code-to-cloud visibility 和 governance is an absolute must for maximizing operational efficiency, 特罗姆佐是来帮忙的. 看看 www.tromzo.com 了解更多信息.