深度·谈谈云和应用安全的生态｜附全景图

如今，软件已成为我们数字生活的支柱。随着越来越多的企业采用云原生微服务和应用程序，其攻击面也随之扩大。这就更加需要强大的云/应用安全工具和实践。因此，云和应用程序安全仍然是2024年增长最快的网络安全市场之一。

然而，有一个很大的问题，哪些领域是正在实现真正的增长，而不只是流行？

在我之前写的《网络安全新手指南》中，我提供了一个了解整个行业的框架，但今天，我的目标转向了更复杂地剖析云和应用安全生态系统。

这既是一篇教育文章，也是一篇涉及新兴趋势的文章。我将深入探讨应用安全、云计算和软件供应链领域的部分内容，并使用一些厂商来举例说明。我们的目标是尝试定义什么是软件安全平台。

此外，我们还将深入探讨身份安全和下一代SIEM技术。我的目标是澄清对这一市场的一些误解，并帮助运营者围绕这一类别建立一些框架。

• 2024年，云和应用安全仍然是企业的首要任务。2024年Crowdstrike全球威胁报告》指出，云安全挑战显著升级，云意识事件激增110%，云入侵事件增加75%。Scattered Spider等威胁行为者部署了生成式人工智能（Generative AI），以精心策划针对企业云环境的复杂攻击，这凸显了安全在云和应用开发领域继续发挥的关键作用。

• 左移和右移：了解云计算和应用安全行业的一种方法，是考虑软件开发的部署前和部署后不同阶段所需的安全解决方案。左移的类别是软件成分分析（SCA）、软件供应链安全（SSCS）和应用安全测试工具（AST）。右移则与更接近/部署生产环境的解决方案有关。其中包括云安全厂商、应用程序运行时安全（ARS）、SaaS安全和漏洞管理解决方案。

• 云和应用安全挑战：要确保云环境的安全，就必须解决这些平台的动态性、短暂性和可扩展性问题。保持云工作负载的可见性是一个关键问题。以软件团队越来越多地使用开源工具为标志的应用程序开发的发展增加了这些挑战。最近，一个重要的关注点是缩小云中代码扫描与运行时环境之间的差距，确保开发人员能够清楚地了解部署中应用程序的健康状况。

• 代码到云平台之争：众多软件安全公司都在争相将自己打造成全面的软件安全平台。代码扫描和软件供应链服务正在寻求整合云安全和运行时功能。与此同时，云安全提供商正致力于通过代码安全和应用安全态势管理（ASPM）产品来增强其产品。虽然目前还没有任何一家厂商能在所有这些领域提供完全成熟的解决方案，但不断变化的形势有望带来有趣的发展。

这张市场全景地图突出了云和应用程序生态系统的主要类别。为了简单起见，我没有讨论一些子行业和厂商，但对于任何想了解该领域的运营者来说，这些都是最重要的类别。

软件的核心是作为中介，实现企业网络内硬件与用户之间的互动。在创建和部署应用程序的过程中，无论是私有化部署还是云环境，开发人员都要经历软件开发生命周期。

近年来，软件安全领域出现了许多新的类别，这主要是由于云原生应用程序的激增。攻击者越来越认识到，在云环境中工作的开发人员是易受攻击的主要目标，这种繁荣随之导致了安全漏洞的激增。这些漏洞为攻击者提供了对企业造成重大损害的重要机会。Wiz发现，企业平均有200个关键的云问题，一旦被利用，就可能造成安全漏洞。

许多与软件相关的主要风险都包括针对软件开发过程的开源供应链攻击，例如在源代码中嵌入恶意代码。正如SolarWinds攻击事件中看到的那样，这种策略会将代码散布到使用该软件的多个企业中。我们还看到云环境数据泄露、云配置错误、不安全的API被利用以及DDoS攻击破坏企业。

来源：作者对SDLC和网络安全解决方案的修订版

软件安全解决方案介入：

因此，我们看到网络安全公司不断发展，以保护开发人员和用于构建这些应用程序的基础设施。软件安全类别已经从单纯的应用安全发展到更加重视软件开发阶段的安全。

1.确保软件开发阶段的安全（左移）：这些解决方案旨在确保软件开发最初阶段的安全。它们主要是扫描源代码以及确保构建和部署阶段各方面安全的扫描器。它们涉及代码级扫描、软件供应链(SSC)、应用安全测试(AST)、威胁建模等。

A.确保开源安全：软件供应链(SSCS)和软件成分分析(SCA)安全解决方案

B.代码扫描和应用安全测试(AST)

• SAST：静态应用安全测试

• DAST：动态应用安全测试与网络应用扫描

• IAST：交互式应用安全测试

2.确保应用安全（右移）：这些解决方案的目的是在应用程序开发和部署后防止网络攻击。

它涉及以下类别:

A.云基础设施安全

• CNAPP：云原生应用保护平台（CWPP-CIEM-CSPM-Compliance）。

• IaC安全：容器/Kubernetes安全、秘密扫描

• 运行时安全：云检测和响应(CDR)

B.应用程序运行时安全（ARS，Application Runtime Security）

• ASPM：应用安全态势管理

• RASP：运行时应用程序自我保护

• API：Application Programming Interface Security

• WAF：Web应用防火墙

C.SaaS安全

• SSPM：SaaS安全态势管理

• CASB：云访问安全代理

D.云漏洞管理(VM)

漏洞扫描和评估解决方案。

深入了解主要类别：

如下是我将用来讨论云原生应用安全的三大类别。一切从控制平面（系统的大脑）开始，然后流经数据平面。安全团队需要确保在部署前正确完成应用安全开发组件（SAST、DAST、SCA、API扫描和IaC扫描）的工作：

1.云基础设施安全（CNAPP、CWPP、CSPM）

2.代码扫描器和应用安全解决方案（SCA、SAST、DAST、IaC、Secrets）

3.运行时保护安全（漏洞管理、应用程序运行时安全、SaaS安全）

我将逐一解释这些类别，但首先从云工作负载开始。

云安全的历史可以追溯到2010年代早期，当时超大规模服务器兴起。起初，由于安全问题，人们对云的采用持怀疑态度。然而，加密技术的进步以及确保数据安全和检测工作负载漏洞的能力减轻了人们的担忧。云安全联盟（CSA）指南和ISO/IEC 27017等标准和框架的建立强化了最佳实践。

尽管在确保云安全方面已经取得了进展，但令人遗憾的是，这些年来，云安全漏洞不断增加。其中大部分是由于云错误配置、云桶配置不当、安全实践不佳、云安全态势薄弱等原因造成的。AWS开发了责任分担模式，以区分云提供商和客户。这意味着AWS的责任是"云的安全"及其基础设施。云提供商负责保护运行所有云服务的基础设施（硬件、网络和设施）。

同时，客户有责任确保"云中之物"的安全--这包括确保操作系统、应用程序、数据和运行时的安全。根据所使用的云服务和消费模式，安全责任是共同承担的。这种责任的分担促成了云安全提供商的诞生，其中包括Wiz、Datadog和Palo Alto Networks Prisma Cloud等主要厂商。

来源: Contrary Research, Taking The Fight To The Cloud

根据Gartner关于云原生应用保护平台（CNAPP）的行业标准，云安全可分为以下几个关键领域：

1.云工作负载保护平台（CWPP）：这些技术利用代理对云环境中的物理机、虚拟机、容器和无服务器部署提供一致的可见性和控制。

2.云安全态势管理（CSPM）：这些技术用于保护和执行云上的策略、标准和合规性。值得注意的是，CSPM工具旨在通过将云环境与预定义的最佳实践或安全策略组件进行比较，来识别配置错误或安全策略执行中的差距。

云基础设施安全的子类别：

CWPP和CSPM这两项技术是有效云安全解决方案的基石。还有其他一些类别在为云工作负载提供全面的安全性方面发挥着至关重要的作用：

云基础设施权限管理（CIEM）

这些技术可帮助公司管理云中的身份、权限和访问控制。它可确保公司清楚地了解云管理员的权限及其对敏感数据的访问。

容器安全与IaC扫描

被称为"云中云"的容器已成为简化应用程序开发的关键。Docker等平台为开发人员部署可移植和独立的应用程序提供了所有必要元素，但也带来了一定的风险。容器环境需要全面的网络安全战略。这包括确保镜像、容器、主机、运行时、注册表和协调平台的安全。由于企业要管理大量容器并对其进行定期更新，因此容器安全的复杂性更加突出。容器安全涉及保护容器、其系统库、运行时和协调器免受网络威胁。容器镜像扫描等方法已成为识别漏洞的流行方法。

此外，还有一些安全解决方案可以扫描Terraform等基础设施即代码（IaC）模板，查找漏洞和错误配置。Kubernetes是领先的开源容器编排平台，围绕它构建的安全工具越来越多。值得注意的是，容器安全横跨整个应用程序开发和部署生命周期。IaC扫描在安全方面发挥着举足轻重的作用：如果扫描发现AWS CloudFormation、Azure Resource Manager或Terraform等IaC管道中存在安全漏洞，它就会停止部署过程，提示DevOps纠正IaC配置错误。

主要云安全厂商

来源: Author’s & Wall Street Estimates

Wiz Security

Wiz提供专为云环境量身定制的整体安全解决方案，利用无代理扫描，利用API和日志数据绘制出云工作负载内错综复杂的关系。这包括从虚拟机/容器的可见性、秘密到跨多云工作负载的漏洞评估等所有内容。Wiz技术的核心是先进的图形数据库，它增强了平台全面监控各种云事件的能力。

Wiz还利用其直观的CSPM模板和用户界面简化了合规性管理，提高了云工作负载的可见性。利用API日志连接CSP的无代理方法使Wiz的解决方案能够在企业内快速部署。他们的解决方案缩短了调查和修复事件的时间，企业可以很快看到投资回报。除了快速部署之外，Wiz在其发展历程的早期就将核心重点放在了企业上，并确定了GTM（包括利用CSP销售代表和渠道合作伙伴），这是他们成功的另一个关键。

虽然Wiz在云安全的许多方面表现出色，但它并没有集中精力关注代码安全和开源漏洞，也没有在应用安全态势管理（ASPM）方面取得重大进展。根据Forrester的云安全报告，管理用户身份和访问管理（IAM）以及报告/审计功能等领域尚未达到行业标准。Wiz在很大程度上依赖于合作伙伴关系，以确保提供全方位的云安全解决方案，并填补他们计划涉足的一些新领域的空白。例如，我们知道Wiz希望进入ASPM领域，并提高代码扫描能力。Wiz最近与Cycode和Splunk的合作都暗示了Wiz希望从多个软件资产（包括CI/CD）中摄取数据并修复云事件。如果他们在未来几个月内收购ASPM或AI安全软件，我也不会感到惊讶。

CrowdStrike

Crowdstrike将其端点安全功能扩展到云，利用其代理技术对云服务器和基础设施工作负载进行安全扫描。

Crowdstrike开发了强大的云工作负载保护（CWPP）产品，这得益于他们用于检测Windows操作系统上恶意软件的强大代理。Forester等研究机构称赞Crowdstrike强大的无代理容器运行时保护、IaC扫描功能和基于事件的实时资产发现功能。CrowdStrike在云安全领域的成功扩张得益于其庞大的端点检测和响应（EDR）客户群的追加销售以及与AWS市场的销售渠道。

它们对Bionic和Flow Security的收购旨在分别加强CrowdStrike在应用安全态势管理(ASPM)和云数据安全方面的产品。不过，CrowdStrike的无代理云安全态势管理（CSPM）和云基础设施授权管理（CIEM）产品还不如该领域一些更成熟的厂商强大。

Palo Alto Networks

Prisma Cloud隶属于Palo Alto Networks公司，是云安全市场收入最高的企业，提供一系列云和代码安全解决方案。其产品套件覆盖范围广泛，但不同组件的开发阶段存在差异，特别是在代码安全领域。

公司通过收购扩大了产品组合，从2018年通过RedLock获得CSPM技术开始，到2019年通过Twistlock和PureSec增加了容器和无服务器应用安全。2021年，Prisma Cloud通过收购Bridgecrew纳入了IaC扫描功能。这些收购使Palo Alto Networks能够提供CSPM和CWPP服务，以及容器和IaC代码扫描、Kubernetes安全态势管理(KSPM)、Web应用程序和API安全以及云基础设施授权管理(CIEM)的某些方面的功能，从而将自己定位为CNAPP解决方案提供商。其有计划的于2022年11月收购Cider Security，旨在整合整个软件开发生命周期的应用安全协调和自动化。

Prisma Cloud利用其端点产品中的代理技术增强了云检测和响应能力。Forrester对其管理IAM功能表示认可。该公司还利用其网络和安全运营产品的客户群来推广其云安全解决方案。

尽管做出了这些努力，但包括Forrester在内的行业分析师指出，Prisma Cloud的CIEM、工作负载保护和运营实施能力需要进一步开发，才能达到市场标准。早期的云收购尚未完全整合，客户需要手动组合这些解决方案才能实现全部功能。与CrowdStrike等竞争对手不同，Prisma Cloud尚未将其云安全服务整合到单一代理框架下，在解决开源和合规性问题方面还有待改进。

软件供应链（SSC）是软件安全领域发展最快、最迅速的类别之一。在接下来的几周里，我将撰写更多关于这一领域的文章，并介绍厂商如何实现差异化竞争。这一领域的发展是为了满足确保开源技术安全的需要，使公司能够遵守新的监管要求，坦率地说，使构建应用程序时使用的所有软件组件都具有可视性。如今，超过90%的代码库使用开源软件。85%到97%的企业也在使用开源软件。然而，攻击者已经发现了渗透开源软件并对企业造成危害的方法。

根据Sonatype的研究，软件供应链攻击在一年内增加了一倍，自2019年以来增加了两倍。互联网上有超过24.5万个恶意软件包，人们在没有意识到风险的情况下不断下载。现代软件开发严重依赖众多开源组件，形成了复杂的依赖树。这种复杂性使得识别和管理所有依赖关系中的漏洞变得更加困难。因此，软件供应链安全（SSCS）和软件成分分析（SCA）类别的目标是确保开发人员在开始使用这些开源工具进行编码之前，能够验证软件供应链的完整性。这一过程包括检查将集成到应用程序中的第三方库和开源组件。

许多开源项目依赖于志愿者，用于安全审计和维护的资源有限。这可能使它们容易受到未被发现的漏洞的影响。然而，该类别的主要目标之一就是使用SCA和SSC等技术来检测开源软件中潜在的已知或未知漏洞。主要厂商包括Snyk、Veracode、WhiteSource、Sonatype、Chainguard、Cloudsmith、Stackhawk等。

应用安全测试（AST）与早期相比有了很大的发展，早期的重点主要是人工代码审查和基本的安全测试技术。20世纪90年代末和21世纪初，随着互联网和网络应用的兴起，人们越来越意识到需要采取更复杂的安全措施。这导致了用于识别Web应用中普遍存在的SQL注入和跨站脚本(XSS)等漏洞的自动化工具的开发。随着时间的推移，AST已扩展到包括各种测试方法，以应对软件开发日益复杂和动态的性质，特别是在采用敏捷和DevOps实践的情况下。AST的三大类别包括：

1.静态应用安全测试(SAST)：它们检查和扫描源代码，查找编码错误、不符合组织标准的情况以及验证问题。SAST工具通常会向开发人员提供一份发现报告，以便他们在将代码提交下一阶段开发之前修复任何已知问题。

2.交互式应用安全测试(IAST)：这些测试解决方案结合了SAST（扫描源代码）和DAST（部署时扫描应用程序）的某些元素，以查找应用程序中的漏洞。IAST可为开发人员实时提供问题分析结果。

3.动态应用安全测试（DAST）：它们是在部署应用程序时使用的测试工具。DAST在运行时检查应用程序，以了解它如何应对安全漏洞。它们可以确定软件如何应对意外的用户操作或潜在的黑客攻击。

如今，AST已成为软件开发生命周期（SDLC）中不可或缺的一部分，旨在开发过程中及早发现并修复安全漏洞，保护应用程序免受潜在攻击。AST解决方案可在软件开发阶段之前、期间和之后扫描应用程序的漏洞。它们用于发现和修复代码中的已知漏洞。值得注意的是，开发人员还使用其他形式的安全测试，包括模糊测试（发现编码错误的自动测试）和渗透测试（模拟攻击以发现应用软件中的漏洞），但这里强调的三种是整个行业使用的主要安全测试。

关于动态应用安全测试(DAST)的更多信息

如今，应用程序运行的环境越来越复杂（公共云、混合云/多云、容器等），在架构上也更加复杂和集成（API、外部依赖性、微服务等）。在生产环境中部署应用程序时，这种复杂性可能会带来不可预见的挑战。

动态应用安全测试（DAST）或Web应用扫描解决方案是一种安全测试解决方案，可在不了解底层代码或架构的情况下测试Web应用的运行状态。这种方法旨在发现可在真实世界攻击场景中利用的漏洞，重点关注输入验证问题、会话管理漏洞和其他运行时问题。

虽然其他解决方案（如SAST）会在生产前扫描底层代码以查找潜在漏洞，但它们无法检测部署的各个组件组合在一起时出现的漏洞。DAST解决方案能够通过模拟自动化的"真实世界"外部攻击，以及对准备发布的已编译代码的测试用例来检测漏洞。典型的测试漏洞包括跨站脚本、SQL注入和路径遍历。DAST工具还能评估服务器或基础设施配置和身份验证中的漏洞。

采用DAST和Web应用扫描：

Web应用扫描器可模拟现实世界中对应用程序的潜在攻击，通常可揭示攻击者如何在运行时利用漏洞。这些扫描器可以大规模应用并持续运行，无需访问应用程序的源代码。

DAST工具可以提供即时反馈，因此非常适合在快速变化的环境中检测和处理漏洞。与许多其他AppSec产品相比，它们的误报率也较低。不过，它们的一个显著缺点是，如果源代码出现问题，它们无法为开发人员提供完整的修复路径。由于它们缺乏SAST的某些功能，因此可能会遗漏在测试阶段没有出现的漏洞。

考虑到开发/运行时间、开源/专有代码等各种测试方法，DAST解决方案需要升级和手动输入来编写和管理测试条件。因此，它们可能会影响性能。针对实时应用程序运行DAST工具可能会中断用户或服务。此外，DAST通常发生在软件开发生命周期的后期，这意味着漏洞的发现时间较晚，可能会增加修复的成本和复杂性。

一旦创建了应用程序，下一步就是确保这些应用程序在部署后的安全。这包括实时监控应用程序的健康状况和上线后的基础架构。在任何安全团队的应用安全基础架构（尤其是在云原生环境中）中，有许多组件都占了很大一部分，但我们在这里只重点讨论其中的三个：

Web应用防火墙（WAF）：它们是Web防火墙，位于应用程序及其底层基础设施（服务器）之间，用于监控在线威胁和应用程序的网络流量。WAF具有多种优势，例如可防范各种威胁、灵活执行策略、与其他安全工具集成、实时监控和防止数据泄漏。

API安全：它们主要保护API，但在软件开发阶段扫描风险和漏洞，以防API在部署时受到威胁。

R运行时应用程序自我保护（RASP）：它们在运行时监控应用程序的内部状态和行为。RASP能够通过观察异常活动（包括新型或"零日"攻击）来应对威胁。

值得注意的是，WAF和API是云环境生产阶段使用的一些最关键的安全工具。一般来说，RASP技术工具通过监控应用程序的内部执行状态、检测漏洞和实时防止攻击来增强AST工具。它们保留了应用程序的设计，可应对各种威胁，而且由于深入了解了应用程序的逻辑和配置，因此具有很高的准确性。

可观测性和应用性能监控（APM）：我要指出的是，可观测性技术和应用性能监控平台是为应用监控、跟踪、诊断和性能而安装的。这一领域可以作为补充，而不是完整的网络安全解决方案。

SaaS安全包括旨在保护用户信息、数据和通过互联网以服务形式交付的应用程序的策略和工具。SSPM对SaaS应用程序的安全设置和合规状态提供可见性和控制。另一方面，CASB是云服务用户和提供商之间的策略执行点，为SaaS应用程序提供深度可视性、合规性、数据安全性和威胁防护。这些要素共同构成了保护SaaS环境安全的综合方法。

SaaS安全的组成部分

1.SaaS安全态势管理(SSPM)

2.云访问安全代理（CASB）

SaaS安全态势管理(SSPM)

随着云计算的兴起，企业内的SaaS应用程序也随之兴起，企业正在努力围绕其应用程序实施强有力的安全协议。云计算中65%的敏感或机密数据都存储在SaaS应用程序中，因此确保这些数据的安全变得至关重要，尤其是在需要遵守严格监管要求的行业中。为了确保存储在SaaS解决方案中的数据的安全，企业需要了解谁可以访问SaaS解决方案中的数据，以及谁可以更改策略以提供数据访问权限。

SSPM工具可对SaaS应用程序的安全设置和合规状态提供可见性和控制。它们能自动识别SaaS应用程序中的错误配置和安全策略的不一致性。ZScaler和Obsidian security等SSPM解决方案可对SaaS应用程序进行持续监控，以检测安全配置错误，并根据行业标准和法规自动进行合规性评估。这些解决方案还善于识别异常检测，以发现可能表明存在安全威胁的异常访问模式或数据共享做法。

SSPM的一些核心内容包括

应用级控制：SaaS安全解决方案可在应用程序层面提供细粒度控制，包括用户访问控制、数据加密和针对SaaS应用程序的活动监控。

身份和访问管理（IAM）：与能够提供用户访问数据可见性的IAM解决方案集成。这些IAM解决方案必须能够管理SaaS应用程序的身份验证和授权，确保只有经过授权的用户才能访问敏感数据。

数据安全：强调通过加密、DLP和分类方案保护SaaS环境中的数据。数据加密工具通常是SaaS应用程序本身的原生工具，可对静态（存储中）和动态（进出端点或服务）数据进行加密，以防止未经授权的访问。

合规管理：它们通过使用SaaS应用程序配置模板执行政策和监控合规情况，帮助确保SaaS应用程序符合相关法规和标准。

云访问安全代理（CASB）

CASB是位于企业用户和云服务提供商（即数据离开企业环境后）之间的安全策略执行点或中介。它充当看门人，为SaaS应用程序上的用户活动提供深度可见性、合规性、数据安全性和威胁防护。

它的主要作用是在多个云服务（包括SaaS、平台即服务（PaaS）和基础设施即服务（IaaS））之间执行安全策略和访问控制。CASB提供了一个集中式平台，可以了解企业内使用的所有云服务。它们能够在各种云服务中执行一致的安全策略，包括访问控制、威胁防范和数据安全策略。

CASB解决方案的类型：

1.内联CASB或基于代理的CASB：内联CASB直接位于用户和云服务之间的网络路径中，实时检查流量，在允许或阻止访问之前执行安全策略。它们都在数据流中运行，在访问点提供可见性和控制。

2.外联或基于API/混合CASB：这些提供商直接与云服务API交互（而不是在网络路径上），以确保应用程序级别的访问数据安全。它们侧重于数据保护、加密和访问控制。

SaaS安全与CASB的区别：讨论这个微小但重要的区别很重要。SaaS安全专门针对单个SaaS应用程序。与此相反，CASB提供的是跨多个云服务和平台（包括但不限于SaaS）的更广泛的安全视角。CASB擅长提供整个组织的云使用情况和风险的可见性，这对于管理影子IT和确保合规性至关重要。而SaaS安全则更侧重于对特定SaaS应用程序中数据的细粒度监控和保护。

漏洞管理（VM）主要涉及识别、评估、优先处理和缓解云环境中的漏洞，而无需在每个云资源上部署代理。漏洞管理一直是一个主要与内部环境相关的行业。然而，随着越来越多的工作负载转移到云中，漏洞管理管理始终关注在云环境中维护安全态势，这涉及IaaS、PaaS和SaaS。

漏洞管理扫描服务器、设备和应用程序以发现漏洞。漏洞管理技术可检测有风险的API、未加密的数据、错误配置、影子IT，并为整个环境提供广泛的可见性。漏洞管理是大多数组织安全态势中不可或缺的一部分，而且往往是强制性的。

漏洞管理有两个关键组成部分：

1.漏洞扫描和评估：漏洞管理扫描包括使用代理、虚拟机或API对企业的技术堆栈进行彻底扫描。扫描旨在检测云基础设施和应用程序中的错误配置、过时软件和已知漏洞。他们对系统和网络进行测试，找出常见的弱点或缺陷。一旦发现漏洞，就需要对其进行评估，以确定其性质、严重程度以及对云环境的潜在影响。这种评估可能涉及将漏洞与通用漏洞和暴露（CVE）数据库等已知数据库进行比较，以及利用风险评估方法，根据可利用性、影响和受影响资产的价值等因素对漏洞进行优先排序。

2.漏洞优先排序技术（VPT）：VPT组件可确保根据严重性、受影响系统的敏感性和漏洞利用的潜在影响，对发现的所有漏洞进行优先排序。VPT工具使用来自各种安全测试技术（如VA、DAST和SAST工具）、Web应用测试、渗透测试以及网络和端点安全控制的数据来识别漏洞并确定其优先级。VPT解决方案可为使用独立VA工具的组织提供集中式仪表板视图。

漏洞管理的其他部分还允许公司执行攻击模拟(BAS)，用常见的攻击方法对环境进行压力测试，以找出安全防御的薄弱环节。漏洞管理市场由Rapid7、Tenable和Qualys主导，它们提供上述大部分功能。不过，Crowdstrike和Wiz等云原生公司也将漏洞管理作为附加模块提供给客户。

云检测和响应(CDR)

云检测和响应（CDR）是过去三年来发展起来的最新趋势之一。云检测和响应（CDR）是指通过自动修复或手动操作来识别威胁并减轻云环境中安全事件的影响。它通常不被视为CNAPP的一部分，也不属于传统的XDR（扩展检测和响应）。不过，它是典型的CWPP平台的延伸。

告警是安全团队尤其是云安全解决方案面临的一大挑战。误报率仍然很高，SOC团队平均花费32%的时间在误报事件的调查和验证上。使用CDR可以减少分析师调查报告的时间，因为CDR能够评估每种风险的严重性。与安全领域的其他D&R（检测和响应类别）相比，CDR的核心区别之一是，它主要能够在云工作负载或多云环境中检测到威胁时制定最佳威胁响应。

CDR有三个组成部分。首先是更高保真的云风险识别能力。它们提供了对整个云的巨大可见性，从API、IAM工具和云服务中摄取并分析数据，以检测潜在风险。它们还能模拟和识别威胁公司关键资产的潜在攻击路径。其次，它们的一个核心组成部分是检测实时风险和可疑活动的能力。一旦发现云风险，它们就会协助进行自动修复，或优先向安全团队发出最重要的警报。除了减少警报外，它们的另一个核心功能是提供大量上下文和数据，协助安全团队投资云事件或取证。它们还具有良好的补救措施，包括撤销对云资源或数据的访问权限、加密或限制某些API。

Wiz打算收购CDR厂商Gem security，这是一项关键举措。Gem security也是一家无代理安全提供商，具有良好的警报和事件响应能力。他们的解决方案被安全运营团队大量使用，而这些团队可能不太了解云环境是如何工作的。这里的挑战在于真正理解这些解决方案与CWPP的独特之处。所有CSP都提供CDR功能。例如，AWS GuardDuty、Microsoft Azure Security Center或Google Cloud Security Command Center都专注于这一类别。还有一些新兴公司，如Dazz security和DevOcean。

云运行时安全

云安全市场已从旨在识别错误配置的基本云安全态势管理（CSPM）工具发展到全面的CNAPP解决方案。这些解决方案通过在开发和生产环境中整合安全性和合规性，为云原生应用程序的安全提供了统一的方法。

最初，企业优先考虑云配置的可视性，而不是运行时保护。然而，人们意识到，配置扫描往往来得太晚，而且充满了误报或修复成本高昂的小漏洞，因此将重点转向了运行时保护。运行时工具提供了对实际计算层的可见性，使安全团队能够有效地检测和应对实时威胁，因而具有显著的优势。与传统的配置扫描相比，这种对运行时安全的关注被视为一种更好的投资回报。它对于检测和缓解仅在应用程序执行过程中显现的威胁至关重要。运行时工具通过对实时应用行为提供精确和可操作的洞察，更适合云原生环境的动态和复杂特性，尤其是那些使用容器和Kubernetes的环境。James Berthoty在他的Sysdig博文中就这一主题发表了一篇很好的文章。在这一领域出现的一些新公司包括Upwind、ClearVector、Sweet和Uptycs。例如，Upwind利用以前无法获得的运行时数据，为安全程序注入运行时上下文，并在一个全面的CNAPP平台中提供这种能力，从而使警报减少10倍，风险识别和修复速度提高10倍。

API安全、DAST和Web应用扫描中的复兴

从历史上看，软件成分分析（SCA）和静态应用安全测试（SAST）工具一直与开发人员密切相关，因为它们在软件开发生命周期的早期阶段发挥着重要作用。然而，我们现在发现，开发人员与动态应用安全测试（DAST）解决方案之间的结合更加紧密。在实施全面安全协议的企业中，通常会将DAST工具与SCA和SAST结合使用。作为一种运行时工具，DAST也是对运行时应用程序自我保护(RASP)的补充。DAST是评估生产前漏洞的理想工具，而RASP则提供持续的漏洞监控和部署后修复功能。

随着微服务架构（Microservices Architecture）和可组合应用程序（composable apps）的出现，尤其是在API经济（API Economy）出现之后，DAST平台必须不断发展，以纳入更好的API漏洞扫描功能。大多数平台仍未全面覆盖OWASP的十大API安全风险，但那些努力覆盖这些风险的平台将改变行业格局。所有与逻辑相关的安全风险，以及识别其在将API暴露给恶意行为者方面的潜在影响，在某种程度上都是未知领域，可能只有通过使用高级启发式方法或借助大型语言模型（LLMs）才能实现。能够利用LLMs的强大功能来协助识别漏洞的平台将脱颖而出，因为它们能够真正实现全面覆盖API的承诺。

但是，跟踪企业产品组合中不断扩展的API也是未来面临的最大挑战之一，尤其是对于规模较大的公司来说，其开发团队可能服务于多个业务线，而且可能分散在世界各地。在DAST领域处于领先地位的平台已经开始集成外部攻击面管理功能，以帮助企业应对无序扩张，无论是开发团队还是民间开发者所产生的。不过，提高这些API和Web应用的暴露面清单只是第一步。

由于每天都会创建新的API和Web应用，因此需要持续不断地查找它们。由于API本身的性质，API一直是作为SDLC的一部分进行扫描，其运行状态的安全测试是交付管道的一部分。这一流程使企业能够在不受到安全测试影响的情况下进行扩展，这对于帮助保持当今业务所需的交付节奏而言愈发重要。随着时间的推移，我们预计应用安全厂商将进一步扩展其AST产品，并增加RASP，以提供更全面的工具集。著名的DAST厂商包括Checkmarx，而像Probely这样的新兴公司也在其中扮演着重要角色，包括Contrast Security、Detectify、Micro Focus、Qualys、Rapid7、Synopsys、StackHawk、Tenable、WhiteHat和Veracode。

应用安全态势管理(ASPM)

ASPM被认为是一个全方位的平台，可以处理从应用安全测试(AST)、扫描工具到云的所有应用逻辑等应用安全的方方面面。来自LatioTech的James对此有一个很好的表述，他强调：

全面的ASPM解决方案应涵盖应用程序从代码到云的整个过程。重要的是，它应提供明确的修复指导，与其他工具集成以丰富上下文，并优先修复可有效解决的漏洞。

ASPM旨在通过收集、分析和优先处理整个软件生命周期中的安全问题，全面管理应用程序风险。从应用安全协调和关联（ASOC）（即协调不同的工具）到ASPM的转变，反映了使用多种独立安全工具的复杂性。尽管许多公司都声称自己是ASPM厂商，但ASPM市场仍在不断发展，各种厂商都在提供ASPM拼图。

人工智能安全态势管理（AI-SPM）

这是Wiz推出的一个不断发展的类别，是一种旨在确保人工智能和LLM基础设施安全的解决方案。超过62%的企业目前至少使用一种人工智能云服务，67%的企业计划增加对人工智能和数据技术的投资。它为人工智能管道提供全栈可视性，识别并纠正错误配置，保护敏感的训练数据。它包括发现整个人工智能管道的风险、执行安全配置基线以及分析潜在的攻击路径。此外，AI-SPM还提供了人工智能材料清单（AI-BOM），以便深入了解人工智能服务和技术。通过整合数据安全措施，并通过专用安全仪表板增强开发人员的能力，AI-SPM可确保人工智能部署安全、合规，并具有抵御威胁的能力。有趣的是，他们正在将数据安全态势管理（DSPM）和攻击路径分析扩展到人工智能/LLM应用，确保敏感的人工智能训练数据得到保护。

利用基于人工智能的代理是一种不断发展的趋势，这些代理可以自主地充当产品安全工程师，自主地进行自动修复，并从您的源代码库中获取上下文，使其能够自行确定优先级、选择和修复漏洞。

要知道，我们仍处于实际CNAPP开发和众多厂商采用CNAPP的初始阶段，这一点至关重要。目前，还没有一家厂商能提供真正能够从代码检查到运行时安全的全套CNAPP解决方案。这一过程将是循序渐进的，CSPM、CIEM和CWPP等工具将逐步与本地ARS、RASP和VM玩家集成，从而整合成一个运行时平台。ASPM将完全成熟，并纳入AST解决方案和IaC扫描的各个方面。这最终将发展成为一个全面的CNAPP，在单一的主要平台中涵盖从开发到运行时的安全性。

最终的决战将取决于谁能成为现代软件基础设施核心控制和数据平面的核心。这意味着，谁能整合并提供代码扫描/应用安全测试工具、云配置和运行时保护等所有核心组件，谁就能成为这个行业的最终获胜平台。

原文链接：

https://softwareanalyst.substack.com/p/a-deep-dive-into-the-cloud-and-application