Was ist ASPM?

Foto: VideoFlow – shutterstock.com

Aus der Sicherheitsperspektive betrachtet, steigt mit der Zahl der zu verwaltenden Anwendungen die Wahrscheinlichkeit, dass ungeprüfte Schwachstellen auf Produktionsebene in den Code gelangen und Angreifern deutlich mehr potenzielle Lücken zur Verfügung stehen. Immer mehr Firmen integrieren zudem Open-Source-basierende Large-Language-Modelle (LLMs) und KI-generierten Code in ihre Anwendungsentwicklung. Das bestätigen 52 Prozent der im jüngsten Ponemon-Bericht “The State of Software Supply Chain Security Risks” befragten Sicherheitsfachleute.

Angesichts dessen dürften sich die Sicherheitsprobleme in der Ära der generativen künstlichen Intelligenz (KI) vervielfachen. Traditionelle AppSec-Programme (AppSec = Anwendungssicherheit) stoßen jedoch bei diesen Anforderungen oftmals an ihre Grenzen. Der ganzheitliche Ansatz des Application Security Posture Management (ASPM) will Abhilfe schaffen.

Wie funktioniert ASPM?

Application Security Posture Management (ASPM)-Lösungen synthetisieren und priorisieren Daten aus allen Softwaretests, orchestrieren Tools und notwendige Sicherheitsaktivitäten. Dabei liefern sie eine einzige Momentaufnahme des bestehenden Risikos für alle Anwendungen. Dies erlaubt kontinuierliche Sicherheitstests, die Überwachung von Software-Assets, Tools und Sicherheitsabläufen und stellt Compliance sicher.

Mit einer ASPM-Lösung können folgenden Fragen beantworten werden:

• Wie kann ich alle Sicherheitsdaten an einem Ort zusammenführen?

• Was tue ich anschließend mit diesen Daten? Welche Daten sind wirklich wichtig?

• Wie kann ich auf der Grundlage dieser Daten die Maßnahmen optimieren, die Sicherheits- und Entwicklungsteams ergreifen sollten?

• Wie lässt sich bewerten, wie wirksam ein AppSec-Programm tatsächlich ist?

Aber welchen Nutzen bietet eine ASPM-Lösung wirklich? Wer das herausfinden will, der sollte bei der Evaluierung verschiedene Aspekte einbeziehen:

Konsolidierung: Ein wesentlicher Vorteil von ASPM ist die Konsolidierung von Datenquellen und Tools sowie die Transparenz über sämtliche Entwicklungsumgebungen hinweg. Damit ist es möglich, alle Tests zu normalisieren und zu korrelieren sowie die Daten in einer gemeinsamen Taxonomie bei der Risikobewertung auf das Wesentliche zu reduzieren. Es ist wichtig, dass eine ASPM-Lösung Einblick in Entwicklungsumgebungen gewährt und man die Möglichkeit hat, seine Software und die zugehörige Projektstruktur zu inventarisieren und Sicherheitsdaten nachzuverfolgen. ASPM konsolidiert diese Daten, indem es ein schnelles Bulk-Onboarding von Anwendungen erlaubt und auf ein SCM-Repository verweist. So behält man bei jedem neu erstellten Repository oder Dienst den Überblick über die Tests. Zudem lassen sich Probleme auf Zweigebene nachvollziehen und alle Aspekte der Software-Lieferkette visualisieren.

Skalieren: In welchem Ausmaß ASPM zum Erfolg eines AppSec-Programms beiträgt, hängt davon ab, wie gut es gelingt, skalierbare und wiederholbare Sicherheits-Workflows zu implementieren. Zentral ist dabei, die Sicherheitsaktivitäten für alle Quellen, an denen Code generiert wird, zu automatisieren und zwar innerhalb der Tools, mit denen Entwickler arbeiten. ASPM dient als Schlüssel, um Richtlinien zu definieren und durchzusetzen. Sie bilden die “Leitplanken” innerhalb der Entwicklungs-Pipelines – für Testaktivitäten, beim Bewerten und was Abhilfemaßnahmen anbelangt. Gleichzeitig werden Sicherheitsabteilungen entlastet, weil ihnen das “Rätselraten” hinsichtlich geeigneter Reaktionen abgenommen wird.

Was die Auslöser zur Automatisierung der erforderlichen Sicherheitsmaßnahmen anbelangt, fassen ASPM-Lösungen diese in Templates zusammen. So entsteht ein zentraler Kontrollpunkt, um die definierten Richtlinien problemlos auf alle Projekte, Abteilungen und Tools anzuwenden. Entscheidend für die Skalierbarkeit ist auch eine einheitliche User Experience und Transparenz. Dazu sollte eine ASPM-Lösung die Integration mit vordefinierten Sicherheits- und Entwicklertools unterstützen, die eine Ansicht auf Projektebene bieten. Dies erleichtert die Bereitstellung und die Teams verwenden die Tools, mit denen sie ohnehin tagtäglich arbeiten. So sollte ein ASPM-Tool beispielsweise in ein üblicherweise verwendetes Issue-Tracking-System integriert werden können, um Probleme mit hoher Priorität zu eskalieren. Gleichzeitig schlägt das ASPM-Tool bereits Korrekturen vor, und zwar mit dem entsprechenden Kontext.

Risikoeinblick: Mittels ASPM kann ein Team alle Daten nutzen, um beispielsweise die Software mit dem höchsten Risikosowie den Produktivitätsgrad oder die grundlegende Compliance-Lage in einem Unternehmen zu ermitteln. Um die Lücke bei der Risikobewertung zu schließen, reicht es nicht, sich allein auf Scanning-Tools zu verlassen. Mit ASPM-Lösungen lässt sich ein komplettes Risikoprofil einer Anwendung erstellen und Kritikalität, Owner und die Priorität von Problemen in einen Kontext stellen. Dies vereinfacht Audits und Compliance-Reports und Firmen bekommen langfristig einen besseren Einblick in die Gesamteffizienz ihrer AppSec-Programme.

Herausforderungen bei ASPM

ASPM-Lösungen sind kein Ersatz für all diejenigen AppSec-Tools, die bereits im Einsatz sind. Sie wurden nicht ohne Grund ausgewählt und meistens vom Entwicklungsteam evaluiert – zum Beispiel, um eine bestimmte Lücke zu schließen, die vorher noch nicht abgedeckt war.

Eine der größten Herausforderungen bei ASPM-Lösungen liegt nicht zuletzt darin, den prognostizierten Nutzen gegenüber der Führungsebene und den Entwicklungsteams plausibel zu machen. Aus Sicht des Managements ist der Schluss nur allzu verlockend, dass ASPM geeignet ist, alle bisher verwendeten Tools zu ersetzen. Vielmehr ergänzt ASPM aber existierende Tools, um Security Managern und Produktverantwortlichen Antworten auf einfache Fragen zu geben, wie: “Beherrschen wir die mit unserer Software verbundenen Risiken tatsächlich?” beziehungsweise “Entspricht mein Produkt unseren Sicherheitsrichtlinien?”. In einer Welt der kontinuierlichen Integration und Bereitstellung (CI/CD) sollten die Antworten auf diese Fragen jederzeit abrufbar sein.

Sicherheitsverantwortliche wollen eine zentrale Stelle, von der aus sie alle Sicherheitsrisiken managen. Produktverantwortliche wünschen sich eine zentrale Stelle, um Sicherheitsrichtlinien und alle anderen juristischen Compliance-Anforderungen, Qualitätsstandards und Branchenvorgaben zu verwalten und deren Einhaltung zu überwachen. Diese abweichenden Anforderungsprofile sind eines der Hauptprobleme bei der Einführung von ASPM – ein Werkzeug, das von Sicherheitsfachleuten für Sicherheitsfachleute entwickelt wurde, und daher nur selten von Entwicklern oder Produktmanagern einfach akzeptiert wird.

Es gibt aber noch eine weitere Hürde. ASPM-Tools bieten die Option, die Projekte von Entwicklern zu bewerten. Dabei wird der Sicherheitsstatus eines Produkts anhand eines einzigen Wertes oder Status (zum Beispiel rot, gelb, grün) zusammengefasst. Die wenigsten schätzen es, wenn ihre Arbeit nach Kriterien bewertet wird, die nicht offengelegt wurden. Deshalb sollten Produktverantwortliche so früh wie möglich mit ins Boot geholt werden. ASPM verschafft ihnen jederzeit einen Überblick über die Einhaltung sämtlicher Richtlinien- und ist eben weit mehr als nur ein geheimnisvolles Dashboard für das Security Team.

Um eine ASPM-Lösung erfolgreich zu implementieren, sollten Unternehmen folgende Aspekte bedenken:

• Wählen Sie eine offene Plattform: Investieren Sie in ASPM-Lösungen, die es Ihnen erlauben, eine Vielzahl von Sicherheitsanbietern und Entwicklungswerkzeugen zu integrieren. Dies ist der wichtigste Garant für eine Wertschöpfung. Integrationen sind der Schlüssel dazu, wie ASPM die bereits getätigten Investitionen in die Anwendungssicherheit schützt. ASPM gestattet es beispielsweise, ältere Sicherheitsdaten zu migrieren sowie Tools und Sicherheits-Workflows über eine Single Source of Truth zu vereinheitlichen.

• Arbeitsabläufe frühzeitig und häufiger standardisieren: Verlassen Sie sich nicht nur auf die ASPM-Lösung, wenn es gilt, Ihre Sicherheitsdaten zusammenzufassen. Nutzen Sie ASPM vielmehr, um Governance in großem Umfang mittels Richtlinien durchzusetzen. ASPM-Tools verwenden den spezifischen Kontext wie die geschäftliche Kritikalität, Compliance-Verstöße und den Schweregrad von Problemen, um automatisch die erforderlichen Maßnahmen einzuleiten. Dadurch entfällt der manuelle Aufwand für Entwicklungsteams, die sich erst mit einzelnen Sicherheitstools vertraut machen und die nächsten Schritte zur Problemlösung festlegen müssten. Sicherheitsverantwortliche bekommen ein skalierbares Modell an die Hand, um bereits im Vorfeld der Produktion zu gewährleisten, dass alle Vorgaben erfüllt sind.

• Konzentrieren Sie sich zunächst auf die Bereitstellung von Risiko- und Compliance-Daten für Security Manager und Produktverantwortliche: Viele ASPM-Lösungen bieten umfangreiche Funktionen für das Fehler- und Schwachstellen-Management, um Probleme im Detail zu untersuchen. Der Rollout dieser Funktionen führt in Firmen mit großen Entwicklungsabteilungen aber leicht dazu, das Hauptziel des Posture Managements aus den Augen zu verlieren – jedenfalls, wenn nahezu alles gleichzeitig umgesetzt werden soll.

• Visualisierung und Interpretation der Daten sollten höchste Priorität haben: Die wichtigsten Nutzer der Daten kommen aus dem Sicherheitsmanagement bis hin zum CISO und aus der Gruppe der Produktverantwortlichen. Setzen Sie sich mit den wichtigsten Vertretern zusammen und prüfen Sie Dashboards und andere Datenvisualisierungen. Holen Sie sich die Zustimmung der Beteiligten ein, bevor Sie die Lösung in einer größeren Gruppe testen. Nichts ist schlimmer, als erhebliche Ressourcen einzusetzen, um Daten zu serstellen, die dann nicht genutzt werden.

• Finden Sie heraus, welche Plattform die Produktverantwortlichen beim Compliance-Management einsetzen: Meistens sind das produktzentrierte Produktmanagement- oder ALM-Lösungen. Erörtern Sie, wie Daten aus ASPM-Tools exportiert oder mit diesen Systemen synchronisiert werden können.

• Nutzen Sie ASPM, um die Evaluierung bestehender Sicherheitsrichtlinien zu automatisieren: Produktverantwortliche (oder Entwicklungsleiter) sind üblicherweise mit den Regeln und Vorgaben, die es zu beachten gilt, überfordert. Wenn es einen Ort gibt, der volle Transparenz zu existierenden Richtlinien und deren Einhaltung liefert, ist das ein immenser Vorteil. Starten Sie mit den bestehenden Richtlinien und widerstehen Sie der Versuchung, bei dieser Gelegenheit eine ganze Reihe neuer Vorgaben einzuführen.

Vor diesem Hintergrund ist es wichtig zu beachten, dass eine ASPM-Lösung eine Ergänzung und kein Ersatz für ein durchgängiges Schwachstellenmanagement ist. Da sie eine softwarespezifische Perspektive einnimmt, fehlt ihr meist eine systemspezifische Sicht auf potenzielle Angriffsflächen. ASPM nutzt bewusst Methoden wie integrierte Anwendungstests und direkte SCM-Integrationen, um Daten zum Softwareinventar und zu Schwachstellen abzubilden. Das Ziel ist es, Software-Risiken genau zu bestimmen – und das bis auf die Projekt- und Zweigstellenebene.

Dies bedeutet aber nicht, dass sich so alle Arten von Schwachstellen und potenziellen Angriffsvektoren, die für einen IT- und Cloud-Kontext relevant sind, erfassen lassen. Dazu werden andere Metadaten (wie zum Beispiel IP-Adressen, DNS-Namen) benötigit, wie sie etwa zur Verwaltung und Organisation von Assets erforderlich sind. Um Transparenz und Kontrolle über die gesamte Sicherheitslage eines Unternehmens zu bekommen, sollten Sicherheitsverantwortliche zwingend unterschiedliche Lösungen nutzn, um IT-Infrastrukturen und Cloud-Netzwerke zu verwalten. (jm)

Lesetipp: Was ist Dynamic Application Security Testing?