Developer LLM AI Security Enterprise 16z9

Guide de l’acheteur ASPM: 7 produits pour vous aider à sécuriser vos applications

Lucas Morel

La sélection de la bonne plate-forme de gestion de la posture de sécurité des applications (ASPM) nécessite une compréhension approfondie de la succession et des problèmes d’application de votre organisation, ainsi que les capacités largement variées que chaque solution ASPM offre.

La protection des applications d’entreprise nécessite une vigilance constante et la bonne collecte d’outils défensifs. Tout comme les cyber-starts sont devenus plus complexes et difficiles à découvrir, il en va de même pour les applications qui alimentent votre entreprise, vivant comme elles le font dans un assortiment de domaines, y compris le cloud, les conteneurs et les locaux. Cela présente toutes sortes de défis pour les outils de sécurité traditionnels, qui ont eu du mal à suivre le rythme.

Entrez la gestion de la posture de sécurité des applications (ASPM). L’ASPM offre une approche complète pour sécuriser les applications dans leurs cycles de vie. Il rejoint une gamme d’autres outils de gestion de la posture de sécurité, y compris ceux axés sur les données, le cloud et les IA, pour aider les équipes de sécurité à consolider la défense de l’entreprise.

Cela a rendu la catégorie plus importante à mesure que l’environnement d’application continue d’évoluer et à mesure que les défis de sécurité augmentent.

Les ASPM sont un complément naturel à d’autres outils de sécurité, et en effet, il y a des fournisseurs qui proposent des plateformes qui combinent deux ou plusieurs «postures». Diverses sources conviennent que tout ASPM devrait se concentrer sur trois domaines critiques:

  • Protégez le cycle de vie du développement logiciel (SDLC) et les pipelines de la chaîne d’approvisionnement
  • Automatiser les tests de logiciels
  • Intégrer à diverses applications pour atténuer et supprimer divers risques

Les fonctionnalités proposées par ASPMS varient considérablement. En conséquence, les outils peuvent s’avérer difficiles à évaluer en termes de ce qui est protégé, quelles données et métadonnées sont collectées pour éclairer les jugements de sécurité et comment les problèmes, les menaces et les vulnérabilités sont gérés, découverts et corrigés.

Cette large portée permet une démarcation désordonnée entre ASPM et d’autres catégories d’outils de sécurité, compliquant encore le processus de décision d’achat. Caleb Sima a écrit sur ce problème en 2024, déclarant que déterminer le risque d’un actif particulier n’est pas simple: «Pour répondre correctement à cela, vous devez recueillir des informations à partir de divers outils tels que CSPM (Cloud Security Posture Management), DSPM (Gestion de la posture de sécurité des données), ASPM et IAM (identité et gestion des accessoires). résident dans le cloud et ont des privilèges associés.

Norton d’IDC offre une façon plus succincte de regarder les ASPMS: «Ils devraient faire trois choses: l’ingestion des données, la priorité et l’assainissement des applications nécessaires.»

Deux approches de l’aspm

Une partie du problème dans la compréhension de la portée de tout ASPM est que les fournisseurs abordent la tâche à partir de deux directions différentes: le code-premier ou le cloud-premier. Le premier reflète un environnement plus DevOps, en commençant par un accent sur le développement de logiciels et les tests de pipeline de code. Ce dernier commence par le Cloud Estate – et toutes les applications locales – et revient aux applications spécifiques. Dans les deux cas, une quantité massive de données est collectée pour documenter et corriger les violations de sécurité potentielles, la mise en place de politiques de conformité, garantir que divers secrets numériques sont gérés correctement et d’autres tâches. Des exemples de la première incluent le cycode, et les seconds incluent Wiz.

Les principaux fournisseurs ASPM

  • Code d’armure Offre une solution complète, y compris le cycle de vie des logiciels et la gestion de la vulnérabilité. Sa force est plus de 250 intégrations, y compris les scanners d’application et les outils de sécurité de la charge de travail cloud. Il a un assistant d’IA appelé Anya et se développe pour couvrir plus de postures de sécurité et pour automatiser davantage d’assainissement.
  • Crowdsstrike Falcon Aspm Couvre la pile d’application complète, y compris les pipelines Open Source et Code personnalisés, API et secrets et de code, à la fois dans le cloud et sur les locaux. Cette capacité découle d’une acquisition en 2023 de Bionic. Il fournit une carte de dépendance automatisée au moment de l’exécution et ajoute des métadonnées et des scores de risque pour guider les priorités d’assainissement. ASPM n’est qu’une partie de la plate-forme Falcon qui protège les nuages, les points de terminaison et les données.
  • Cycode Aspm Utilise une plate-forme AI-Native pour identifier les risques et automatiser les remèdes. Il a plus de 100 intégrations dans les outils de cycle de vie du code source et sept outils de test d’applications dynamiques différents et sept autres outils de sécurité cloud, des fonctionnalités qui manquent à son propre produit.
  • Neurones ivanti pour ASPM Étend la suite de gestion de la vulnérabilité de l’entreprise sur ce marché. Il utilise ses propres algorithmes de notation des risques qui peuvent offrir une visibilité au niveau professionnel dans les éléments de risque SDLC globaux en évaluant plusieurs analyses et en exploitant les sources. Il prend en charge plus de 80 intégrations, dont 19 outils de numérisation des applications différents. GCP et conteneurs manquants. Contrairement à de nombreux autres fournisseurs répertoriés ici, son module ASPM est sa seule entrée dans les outils de gestion de la posture.
  • Sécurité légitime Aspm Peut trouver des applications sur un large éventail, y compris le cloud et sur les locaux, avec une collection unifiée de politiques. Il a approfondi son intégration avec son outil de gestion de la posture d’IA depuis 2024 et offre une correction automatisée dirigée par l’IA. Il a plus de 100 intégrations, dont Okta, Jira, Aqua, Orca, Wiz, ServiceNow et Github. Il dispose de plusieurs outils de balayage de logiciels et ajoutera des tests d’applications dynamiques et une analyse d’API plus tard cette année.
  • Sécurité du noyau Démarré dans l’espace de gestion de la vulnérabilité et sa plate-forme unique est devenue un ASPM complet. Chaque utilisateur peut personnaliser ses propres notes de risque pour hiérarchiser ses corrections. Nucleus possède une grande collection d’intégrations, y compris de nombreux outils de balayage d’applications et se connecte aux nuages Oracle et Alibaba en plus des trois grands fournisseurs. Il existe plusieurs tableaux de bord de données différents, dont un qui résume les informations opérationnelles. Les améliorations futures incluent une meilleure couverture du pipeline de logiciels CI / CD.
  • Wiz.io A trois produits distincts mais connexes qui composent une solution ASPM complète: code, cloud et défense. La société a acquis Dazz et l’a incorporée dans le module de code. Chacun offre une partie de la protection des applications. Mais malgré trois produits, chacun travaille en étroite collaboration pour fournir un ensemble cohérent de politiques, de profils de détection de menaces et de réglementations. Wiz est un produit très orienté visuellement, avec plusieurs tableaux de bord et des écrans plus granulaires tels que sa visualisation du chemin d’attaque, qui mappe comment les données circulent dans l’infrastructure et les applications. Il a plus de 250 intégrations et connecteurs à une grande variété d’outils de sécurité tiers.

Il existe de nombreux autres fournisseurs ASPM qui ont refusé ou n’ont pas répondu à nos demandes, notamment Apiiro, Brinqa, Checkmarx, Kondukto, Ox Security, Phoenix Security, Saltworks et SNYK.

Pourquoi les entreprises ont besoin d’aspm

Comme nous l’avons écrit dans notre guide de l’acheteur CNApp, cette catégorie de produits concerne également un outil qui s’intègre étroitement aux autres produits de sécurité et comment il peut collecter les données des applications et agir sur divers signaux de sécurité.

Gartner divise Aspm en quatre tâches:

  • Corrélation de l’événement de vulnérabilité
  • Priorisation et triage
  • Orchestration de numérisation de code
  • Gestion des risques

«Avec la configuration appropriée de l’outil ASPM, vous pouvez obtenir des notes significatives pour triage et hiérarchiser efficacement les vulnérabilités de sécurité identifiées par les outils de test de sécurité des applications et d’autres actifs de surveillance tout au long du cycle de vie de l’application», écrit Gartner. Cela signifie qu’au cœur de tout pipeline de logiciels, l’ASPM devrait appeler les coups de feu et diriger la réponse de sécurité globale.

Cela peut être ou non ce qu’une entreprise typique veut ou a besoin. Du côté positif, si vous avez acheté de nombreux produits de sécurité qui fonctionnent indépendamment, vos défenseurs pourraient être fatigués de les lier manuellement ensemble pour éliminer les faux positifs et hiérarchiser leur correction. Mais d’un autre côté, si vous déployez déjà un outil d’orchestration réalisable qui est votre centre central incontournable, vous ne voudrez peut-être pas toucher cela avec un ASPM et vous devez retravailler certaines ou toutes les intégrations et automations de travail.

Questions à poser lorsque l’on considère ASPM

Combien et quel type d’intégations sont offertes? Comme mentionné précédemment, ASPM touche de nombreuses bases différentes, qui pourraient aller du stockage du cloud à la numérisation de code en passant par les environnements de gestion et de développement de l’identité. Une façon d’évaluer leur efficacité est la façon dont ils se connectent à différents produits de sécurité. Chacun des outils mentionnés ici a au moins 100 intégrations différentes, avec ArmorCode et Wiz offrant plus de 250 intégrations. Tous les fournisseurs examinés sont occupés à en ajouter de nouveaux, une indication de l’importance de cet attribut.

De nombreux fournisseurs qui n’ont pas de produit de posture cloud entièrement en vedette s’intégrent à Wiz ou à d’autres logiciels CNAPP ou CSPM. Quelques fournisseurs (notamment Armorcode, Ivanti et Nucleus) donnent à des tests de logiciels dynamiques de courte durelle qui s’intègrent avec des outils de balayage dynamique tiers.

Qu’est-ce qui est découvert avec une analyse d’application intégrée? Deuxièmement, les intégrations sont les types de métadonnées découvertes avec les outils de numérisation intégrés fournis par l’ASPM lui-même. La façon dont le produit classe, visualise et recherche cette collecte de données est également importante. En règle générale, les vendeurs s’appuient sur diverses améliorations d’IA pour extraire des modèles de données significatifs de ces scans.

Combien de nuages et de référentiels de conteneurs sont couverts? La plupart des outils examinés couvrent les trois leaders du cloud (Google, Microsoft et AWS), certains, tels que Nucleusk, prenant des plongées plus profondes dans d’autres services cloud. D’autres – notamment ArmorCode – ajoutent une prise en charge des conteneurs et des circonstances sans serveur. Ivanti ne prend pas encore en charge Google Cloud et utilise des intégrations avec des tiers pour scanner des conteneurs.

Le vendeur a-t-il sa propre équipe d’analyse de vulnérabilité / menace? De nombreux fournisseurs ASPM ont des équipes qui enrichissent et corrélent les métadonnées collectées à partir de leurs outils. Les points clés ici sont comment ces informations sont incorporées et à quel point il est exploitable lorsque ces données sont mélangées avec les détails de votre propre infrastructure et applications.

Comment le prix ASPM est-il emballé et à un prix? Comme de nombreux autres outils de gestion de la posture, obtenir le prix exact est un exercice fastidieux pour de nombreux clients potentiels nécessitant un devis personnalisé. Certains fournisseurs, tels que ArmorCode, proposent une seule plate-forme qui comprend des applications et d’autres outils de gestion de la posture en un seul endroit et à un prix. Certains ont plusieurs modules ou outils différents (tels que CrowdStrike et Wiz) qui sont prix séparément, avec des remises groupées. Un conseil provient de Vikram Phatak, PDG de Cyberratings.org, un testeur indépendant. «Les fournisseurs offrant des produits haute performance sont généralement désireux d’assurer la transparence concernant leurs produits. Les acheteurs devraient être prudents envers les fournisseurs qui ne favorisent pas cette transparence.»

Prix ASPM

Les fournisseurs rendent plus difficile l’évaluation des coûts globaux des produits et beaucoup d’entre eux n’ont pas de prix public mais utilisent diverses formules complexes pour arriver à un prix. Malheureusement, cette tendance se poursuit dans l’espace ASPM.

Dans le bas de gamme se trouvent deux fournisseurs qui reflètent leur patrimoine AppSec: Legit Security a 50 $ par mois par instance de développeur, et Cycode se vend sur AWS Marketplace pour 30 $ par mois par développeur. Les deux offrent des remises en quantité.

L’ASPM de Crowdstrike peut être acheté séparément ou dans le cadre d’un certain nombre d’autres bundles de logiciels de posture et CNApp. Le prix est basé sur des facteurs tels que la taille et le nombre d’actifs cloud et est cité spécifiquement par client. Sur le marché AWS, il est au prix de 1 500 $ par actif par an.

Wiz prix ses produits en fonction de deux schémas: soit par des charges de travail couvertes, soit par des utilisateurs de développeurs actifs, ainsi que le nombre de modules individuels (cloud, code et défense) sont nécessaires.

Les prix du code d’armure sont en fonction du nombre d’actifs d’infrastructure (applications, conteneurs et hôtes, par exemple) et des utilisateurs de développeurs, avec un prix de départ typique inférieur à 100 000 $ par an. Ivanti a une stratégie de tarification similaire et peut-être plus complexe. Nucleus Security a un prix de démarrage de 20 000 $ par an et vend sa plate-forme sur AWS Marketplace pour un abonnement annuel de 100 000 $. Le prix est basé sur le nombre et le type d’actifs

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Les packages NPM malveillants contiennent un voleur d'informations Vidar
Les packages NPM malveillants contiennent un voleur d’informations Vidar
Cloud strategy questions
Pourquoi les entreprises ne parviennent-elles pas à résoudre le problème de mauvaise configuration du cloud ?
Les RSSI vom ERP-Leid profitent
Les RSSI vom ERP-Leid profitent