解锁应用安全的未来:从ASOC到ASPM的演进

说明：笔者最近在分析ASOC及ASPM相关内容，参考legitsecurity的一篇文章（文章链接在文章末尾），笔者感觉legitsecurity对ASPM研究很完善，以下内容大部分来源于legitsecurity《unlocking-the-future-of-application-security-evolution-from-asoc-to-aspm》，笔者做了部分翻译整理工作，不足请谅解。

应用安全编排与关联（ASOC）曾被定位为保护组织应用程序的领先解决方案，提供了一个战略框架，将各种应用安全工具和流程整合起来，更全面地减轻漏洞风险并保护免受不断演变的威胁。

然而，应用安全面临的新挑战，特别是软件供应链漏洞、DevOps和基于云的应用程序，揭示了ASOC在当今威胁环境中的局限性。因此，一种更具适应性和全面性的解决方案——应用安全态势管理（ASPM）应运而生，以解决ASOC框架中存在的限制。

什么是ASOC？

应用安全编排与关联（ASOC）是一个解决方案类型，解决了保护应用程序免受潜在安全和风险威胁的关键任务。ASOC在其核心集成了各种应用安全工具和解决方案，将扫描结果、数据源和分析结合起来，以更高效地聚合这些多个工具可能产生的所有数据。这些独立的工具旨在识别、评估和减轻代码、开源库和应用软件的安全漏洞，但通常会产生大量噪音，并在上下文或优先级方面产生不一致的漏洞，拖慢了开发和安全团队的速度。

ASOC试图提供一种综合的应用安全方法，弥合开发和部署之间的差距，使组织能够通过简化安全流程、自动化威胁检测和确保快速事件响应来主动保护其应用程序。

发展历史

在ASOC出现之前，网络安全领域依赖于传统的方法：应用程序漏洞协调（AVC）和应用程序安全测试编排（ASTO）。这些方法在一定程度上是有效的，但在2010年后，由于安全数据和应用的庞大数量和复杂性，开始举步维艰。

为了满足更统一和全面的需求，Gartner于2019年正式将AVC和ASTO合并为ASOC。这一合并旨在为组织提供一种更适应和响应灵活的策略，以确保它们更高效地处理应用安全工具提供的数据和应用。

在2023年，Gartner正式表明应用安全姿态管理（ASPM）将取代ASOC。ASPM代表了应用安全的下一个发展阶段，专注于从代码开发到生产的持续评估和改进，进一步增强了组织保护其应用程序的能力。

为了更好地管理和减轻日益复杂的开发环境带来的多重风险，Gartner建议组织采用ASPM并相应地过渡其环境。

ASOC的优势

应用安全编排与关联（ASOC）提供了一系列的优势，显著简化了开发人员和安全团队的安全流程。其中包括：

时间效率

ASOC旨在为应用安全和DevSecOps团队节省时间。没有ASOC，这些团队通常会被耗时的工具、漏洞噪音和供应商管理所困扰。在ASOC之前，数据分析和关联通常是一个手动过程，必须筛选可能存在数十个工具和成千上万个数据点的情况，这可能导致错误并阻止开发团队进行更重要的工作。ASOC工具帮助自动化了这些过程，使开发人员能够专注于更重要的任务。这种自动化也加快了开发生命周期，同时确保安全措施得到统一应用。

明确定义的安全关键绩效指标

ASOC帮助组织建立用于衡量其解决安全风险和漏洞的进展的关键绩效指标（KPI），这确保了ASOC对企业安全性产生实质性贡献，并帮助团队优先考虑关键风险和漏洞。

持续自动化安全扫描

ASOC工具提供持续自动化的安全扫描，不断监视应用程序的漏洞和威胁，即使在动态环境中也是如此。这包括对所有资产和环境的可见性，节省时间，并减少漏洞被忽视的机会。它还确保立即发现环境中的任何新威胁，以便快速响应。

简化漏洞管理

ASOC通过关联和编排简化了漏洞管理过程。通过聚合和关联来自各种安全工具的数据，组织可以以更简洁的方式确定最关键的漏洞及其潜在影响。这解决了安全团队面临的一个关键挑战，即被多个安全工具、过多的噪音和大量警报和潜在威胁拖累。

增强的威胁情报

简化的漏洞管理流程和更好的安全数据分析转化为更强大的威胁情报能力。这种情报帮助安全团队保持对新兴威胁的领先地位，预测潜在的攻击路径，并在暴露组织之前实施主动安全措施。

ASOC工具在增强网络安全方面发挥了关键作用，尤其是如果它已经发展到满足现代网络安全需求。然而，尽管ASOC具有所有这些优势，但它也存在一些局限性和不足之处。

ASOC的挑战与限制

尽管ASOC提供了增强应用安全的强大框架，但了解其限制以及为什么被ASPM取代是至关重要的。

解决根本问题

ASOC并不能从根本上解决安全漏洞的根本原因，它只是报告和提醒潜在问题的存在。ASOC工具自动化安全流程以提供洞察力，但它不足以从源头上实际消除代码或环境中的任何漏洞。

数据关联复杂性

ASOC通常涉及使用多个工具从各种来源收集数据。虽然这种数据的多样性可以提供全面的洞察力，但在工具之间关联这些数据可能是一个复杂而耗时的过程。确保不同工具的数据在ASOC中无缝对齐需要持续的配置和维护，这可能会给开发资源带来压力。

缺乏应用上下文

ASOC在没有深入了解应用程序上下文的情况下运行。这意味着配置和规则设置主要由开发工程师完成，他们必须不断适应环境和应用程序的不断变化。随着应用程序的变化和扩展，要在ASOC中维护准确的配置以了解要查找的应用程序威胁变得成为一项运营挑战。

生产环境可见性有限

ASOC工具无法提供生产环境的可见性或可追溯性，而这对于彻底的应用安全测试是必要的。ASOC和集成工具可以扫描存储库中的源代码，但这并不总是反映当前部署的精确状态。在具有众多存储库分支的复杂环境中，确保安全评估与实际生产环境相一致可能是具有挑战性的，影响整体可见性。

风险评分不足

ASOC在提供有效的风险评分方面存在困难。使用各种各样的工具可能导致大量的安全警报，使得正确评估哪些威胁需要立即处理变得困难。这种缺乏细粒度和上下文可能导致ASOC和集成工具中的多个安全威胁被评为极其严重。随着时间的推移，这可能会妨碍安全部门处理应该是高优先级的漏洞，潜在地使组织面临风险。

集成复杂性

在组织现有的网络安全基础设施中实施ASOC可能是复杂的，并且可能需要大量的集成技术专业知识。特别是如果开发资源已经紧张，持续的维护可能会成为一个重要问题。

在有效的应用安全中，平衡自动化和编排的优势与优先级威胁缓解的需求至关重要。ASOC工具可能非常有用，但对于大多数组织来说，ASPM被证明是更好的选择。

为什么ASPM是ASOC的下一个演进和替代品

应用安全姿态管理（ASPM）正在迅速成为ASOC的首选继任者，主要是因为它解决了我们上面总结的许多限制。以下是ASPM更好地满足组织对全面应用安全的需求的一些方面。

上下文威胁评估

ASPM不仅报告已发现的错误和漏洞，还利用从代码到云端的上下文信息分析漏洞的根本原因。通过了解这些漏洞存在的更广泛背景，ASPM可以更全面地评估相对优先级和修复工作量，提高效率和效果。

广泛的SDLC集成

ASPM在软件开发生命周期（SDLC）的多个阶段无缝运行。这种更全面的方法确保安全措施完全集成并作为开发过程和软件供应链的一部分，减少漏洞逃脱检测的可能性，并更容易及早解决问题。

增强的风险评分和管理

ASPM旨在简化和集中数据源，从而相比ASOC提供更清晰和更深入的风险评分和管理能力。它既精确又全面，使组织能够根据漏洞的重要性和潜在影响来优先处理漏洞，从而更有效和高效地分配资源。

工作流工具中的修复指南

在现代应用安全管理中，运营和生产力问题是一个重要关注点，特别是随着组织的发展。ASPM通过在修复方面采取主动措施，在工作流工具中提供深入的上下文信息和具体的修复指南来解决这个问题。这有助于DevSecOps团队节省时间，并使他们的安全工作与开发更无缝地对齐。

强大的关联性

ASPM通过分组关联和一对一发现简化了多个工具之间的安全发现关联。这简化了不同安全工具之间的关系，使安全团队能够摆脱安全问题的干扰，并快速评估漏洞和潜在威胁的影响。

通过ASPM提升软件供应链安全性

尽管ASOC是为了解决基于云的应用程序使用中出现的许多问题而开发的，但它并没有足够解决开发环境的复杂性、软件开发的安全需求和许多DevSecOps团队面临的操作挑战。

这导致了ASPM的崛起，它不仅仅是漏洞发现，而是上下文评估威胁，旨在从代码到云端集成到端到端的软件开发生命周期，并提供更实用的修复指南。简而言之，ASPM代表了应用安全的重大升级，其采用率只会继续增强。

目前国内现状是应用安全开发工具百家争鸣，百花齐放，但是没有一款可以调度编排大部分安全开发工具的平台，主要限制于安全开发意识薄弱、各家厂商工具接口不统一、漏洞评级标准不一，即便通过定制化把数据收集上来，也由于标准不统一，导致自动化分析效率低下。

应用安全开发，任重道远。

参考

https://www.legitsecurity.com/blog/unlocking-the-future-of-application-security-evolution-from-asoc-to-aspm