Application Security Posture Management (ASPM) ist ein systematischer Ansatz zur Verwaltung und Überwachung der Anwendungssicherheit. Er umfasst das Identifizieren, Bewerten und Beheben von Risiken während des gesamten Software-Lebenszyklus. Durch die Integration von Sicherheitspraktiken in Entwicklungs- und Betriebsprozesse wird die Anfälligkeit von Anwendungen gegenüber Bedrohungen reduziert. [...]
ASPM beinhaltet Methoden und Werkzeuge zur kontinuierlichen Überwachung, Schwachstellenanalyse und Risikobewertung. Das soll vor allem sicherstellen, dass tatsächliche Risiken adressiert werden, und diese nicht im Rauschen der Ergebnisse aus zahlreichen AppSec-Tests und -Scannern untergehen.
ASPM wird die übergeordnete Verwaltungsebene für AppSec
Vereinfacht ausgedrückt kann ASPM das Management von AppSec-Programmen unterstützen und erleichtern. Die Zentralisierung der bereits eingesetzten Methoden und Werkzeuge sorgt dafür, dass Schwachstellen nicht durch die Lücken des Systems schlüpfen.
Zudem bietet ASPM eine konsolidierte Sicht auf die Software-Risiken und lässt sich in eine Umgebung mit verschiedenen AppSec-Tools integrieren. ASPM fungiert als übergeordnete Managementschicht, die dabei hilft, bestehende Sicherheitslösungen zu koordinieren und zu ergänzen.
Ein AppSec-Programm umfasst viele Domänen und Aktivitäten, beispielsweise Trainings für Entwicklungsteams, Penetrationstests sowie das Compliance- und Richtlinien-Management. Oft werden Frameworks wie das „Building Security In Maturity Model“ (BSIMM) verwendet, um den Überblick zu behalten und Investitionen zu priorisieren. ASPM-Tools helfen dabei, indem sie die Ergebnisse der Einzelaktivitäten in einer Risikobewertung zusammenführen. Dadurch lassen sich hohe Risiken leichter erkennen, aber auch Redundanzen und Lücken in der Abdeckung sichtbar machen.
Damit bietet ASPM den Security-Verantwortlichen eine ganzheitliche Sicht auf das Gesamtportfolio der im Unternehmen entwickelten Anwendungen und wie es um deren Sicherheit bestellt ist (engl. „Posture“). Darüber hinaus stellt es aber auch wertvolle Daten zu Trends und Auffälligkeiten bereit. Informationen, die für den weiteren Ausbau oder die Optimierung eines AppSec-Programms besonders hilfreich sind.
ASPM entlastet Entwickler und steigert die Produktivität
Obgleich ASPM sämtliche Sicherheitsaktivitäten des Software-Lebenszyklus betrachtet, konzentrieren sich ASPM-Lösungen häufig auf die Konsolidierung der Ergebnisse von Application Security Testing (AST) Tools. Es ist aber auch möglich, Resultate aus anderen Aktivitäten einzubinden, wie etwa aus Penetrationstests oder Bedrohungsmodellen.
Für die Entwickler geht es vor allem darum, die gefundenen Schwachstellen zu bewerten und zu beheben, ohne dass ihr Workflow gestört wird oder sie durch irrelevante Funde ausgebremst werden. Das ist häufig der Fall, wenn viele, voneinander unabhängige Tools für SAST, DAST oder SCA eingesetzt werden, die alle ihre eigenen Benutzerschnittstellen mitbringen. Hier fungieren ASPM-Tools als Filter, indem sie die Ergebnisse der verschiedenen Tools zusammenführen, deduplizieren, den Risikoscore normalisieren und dann über eine einzige Schnittstelle den Entwicklern zur Verfügung stellen. Das Filtern geschieht durch eine automatische Richtlinienüberprüfung.
Dabei werden nicht nur die Ergebnisse der durchgeführten Tests oder Tools betrachtet, sondern auch Eigenschaften der Anwendungen selbst. Dazu zählt beispielsweise, wie wichtig die jeweilige Software für das Firmengeschäft ist oder welche anderen Überprüfungen bereits stattgefunden haben. Entwickler können sich so auf ihre eigentlichen Aufgaben konzentrieren und werden nicht ständig durch manuelle Sicherheitsüberprüfungen unterbrochen.
Die Erweiterung bestehender Sicherheitsprogramme durch ASPM verspricht eine Reihe von Vorteilen: Sicherheitsmaßnahmen sind effizienter und effektiver, weil potenzielle Risiken besser erkannt und angegangen werden können, ohne den Arbeitsablauf der Entwickler zu stören.
ASPM kostet, bringt aber einen hohen Nutzen
Die Implementierung von ASPM ist mit Kosten verbunden, die Unternehmen sorgfältig abwägen sollten. Sie müssen in erster Linie in spezialisierte ASPM-Software investieren, deren Lizenzgebühren und Abonnementkosten variieren. Diese Werkzeuge müssen anschließend in die bestehende IT-Infrastruktur integriert werden, was zusätzliche Ausgaben für Anpassung und Implementierung nach sich ziehen kann. Darüber hinaus fallen Kosten für Schulungen an, um sicherzustellen, dass die Teams mit den neuen Sicherheitsprozessen und -tools vertraut sind.
Die initialen und laufenden Kosten sind nicht unerheblich, amortisieren sich aber zügig. Zunächst ermöglicht ASPM eine Konsolidierung der bereits eingesetzten AppSec-Tools. Das führt zu signifikanten Einsparungen, da man redundante Tools gegebenenfalls abschaffen oder – was häufiger der Fall ist – Verträge auf solche Hersteller konsolidieren kann, die gleich mehrere Tools im Portfolio haben.
Zum anderen profitiert man langfristig von einer verbesserten Sicherheitslage. Das stärkt das Vertrauen der Kunden und minimiert potenzielle Schäden durch Cyberangriffe. Eine fundierte Kosten-Nutzen-Analyse trägt dazu bei, die finanziellen Vorteile einer robusten Sicherheitsstrategie zu verdeutlichen. Das macht es leichter die Entscheidungsträger von der Notwendigkeit und dem Wert von ASPM zu überzeugen.
Auch wenn die Anfangsinvestitionen hoch erscheinen mögen, führen sie langfristig zu Einsparungen – auch hinsichtlich der möglichen Folgekosten bei Sicherheitsvorfällen und Datendiebstahl beispielsweise. Darüber hinaus sollten Unternehmen mögliche Skaleneffekte berücksichtigen. Denn eine gut implementierte ASPM-Lösung gewinnt mit zunehmender Unternehmensgröße und -komplexität an Effizienz.
Kernkomponenten von ASPM
Sicherheitsüberwachung und -bewertung sind die zentralen Elemente von ASPM. Ein kontinuierliches Monitoring erlaubt es, verdächtige Aktivitäten und Anomalien zu erkennen. Regelmäßige Evaluierungen gewährleisten demgegenüber die Einhaltung von Sicherheitsstandards.
Das Schwachstellenmanagement konzentriert sich auf die Identifizierung, Analyse und Beseitigung von Sicherheitslücken, bevor diese ausgenutzt werden können. Risikobewertung und -management sind entscheidend, um die potenziellen Auswirkungen von Bedrohungen zu verstehen und geeignete Maßnahmen zur Risikominimierung zu ergreifen. Schließlich sind Sicherheitsrichtlinien und Compliance von grundlegender Bedeutung, damit alle Sicherheitspraktiken den geltenden gesetzlichen, branchen- und unternehmensspezifischen Vorschriften entsprechen.
Diese Komponenten arbeiten zusammen, um eine umfassende Sicherheitsstrategie zu entwickeln. Sie soll die Anwendungen vor aktuellen und zukünftigen Bedrohungen schützen und eine kontinuierliche Compliance mit den relevanten Standards und Richtlinien sicherstellen. Im Idealfall erübrigt sich eine separate Überprüfung zu definierten Zeitpunkten im Software-Lifecycle, weil sämtliche Daten zu jedem beliebigen Zeitpunkt zur Verfügung stehen. Das spart nicht nur Kosten, sondern auch Zeit.
Ganzheitlich und vorausschauend von Anfang an
AppSec Programme starten oft mit der Einführung einzelner Aktivitäten und Methoden, oftmals mit Penetrationstests. Dann kommen nach und nach weitere dazu, wie SAST-, DAST- oder SCA-Lösungen. Häufig werden ASPM-Lösungen erst dann in Erwägung gezogen, wenn bereits eine zweistellige Anzahl von Tools im Einsatz ist.
Sinnvoller ist es, ASPM bereits früh einzuführen, um von Anfang an eine ganzheitliche und vorausschauende Sicherheitsstrategie voranzutreiben. Insbesondere existiert dann von Beginn an genau eine Stelle, wo sicherheitsrelevante Information zu einer Anwendung abgelegt und gefunden werden können.
Darüber hinaus ist eine spätere Ergänzung um zusätzliche Tools und Aktivitäten, und damit die Skalierung des AppSec-Programms deutlich einfacher. Insbesondere weil die Schnittstellen für die Entwickler nicht geändert werden müssen.
ASPM-Lösungen begünstigen folglich die Zusammenarbeit von AppSec-Verantwortlichen und Softwareentwicklern. Security-Teams erhalten die ihnen oft fehlende Transparenz, was die Sicherheitslage des Software-Portfolios anbelangt. Entwickler wiederum müssen sich nicht mit den teilweise widersprüchlichen Ergebnissen unterschiedlicher Security-Tools herumschlagen.
Bei der Einführung von ASPM ist es wichtig, beide Seiten bereits in die Planung einzubinden, um die Anforderungen beider Teams gleichermaßen zu adressieren.
*Der Autor Gunnar Braun ist Technical Account Manager for Application Security Solutions bei Synopsys.
Be the first to comment