في مشهد الأعمال سريع التطور اليوم، تتعرض المؤسسات لضغوط هائلة لتطوير التطبيقات ونشرها بسرعة لتلبية متطلبات السوق وتوقعات العملاء. ورغم أن وتيرة التطوير المتسارعة هذه ضرورية للحفاظ على القدرة التنافسية، فإنها تقدم العديد من التحديات عندما يتعلق الأمر بتطبيق الأمان. يمكن أن تشمل هذه التحديات الضوابط الأمنية غير المتسقة، والافتقار إلى الرؤية في العمليات الأمنية، وغياب الحوكمة الشاملة، وتصور الأمن على أنه عائق وليس عامل تمكين.
يساعد SbD من Deloitte المؤسسات على تنسيق الأنشطة الأمنية ونقاط التفتيش مركزيًا طوال دورة حياة تطوير البرامج (SDLC) في حل متكامل وشامل. وهذا يشمل:
-
أ نظام إدارة سير العمل المركزي يعمل على أتمتة إدارة مهام الأمان عبر الفرق، مما يؤدي إلى مركزية مهام الأمان والتطوير على منصة واحدة.
-
أ نموذج المدخول الموحد يساعد في تحديد نطاق المشروع والمخاطر الكامنة ومجالات ومتطلبات الأمان ذات الصلة. يتم استخدام المعلومات التي تم جمعها أثناء الاستلام لأتمتة تعيينات المتطلبات بناءً على إطار الضوابط المرشد أو إطار الضوابط المشتركة (CCF).
-
المهام الأمنية ذات الأولوية للمخاطر يتم إنشاؤها وتعيينها وإدارتها مركزيًا عبر مجالات الأمان تلقائيًا. وبالتالي، إنشاء منصة مركزية حيث يمكن لفرق متعددة تتبع استكمال الأنشطة الأمنية، وتخزين وثائق التصميم، وعرض حالة تنفيذ التحكم.
-
واستنادا إلى إطار الضوابط الرشيدة، التقييمات الأمنية المركزية تُستخدم لجمع المعلومات من فريق المشروع في نقاط مختلفة في عملية التصميم. يمكن تخصيص التقييمات بناءً على متطلبات العمل وتتضمن مراجعة بنية الأمان، ونمذجة التهديدات، ومراجعة أمان البيانات والخصوصية، واختبار الثغرات الأمنية، وتقييم مخاطر البائع.
-
تستفيد SbD من السياسة كرمز لأتمتة عمليات التحقق من السياسة والامتثال كرمز للتمكين الحوكمة الآلية وإنفاذ السياسات التنظيمية للمواءمة مع المتطلبات التنظيمية والتجارية.
-
لوحات المعلومات المتكاملة والتقارير تقديم رؤى حول حالة تنفيذ التحكم، والموافقات الأمنية، وتقدم الامتثال، والوضع الأمني العام.
-
الموافقة على إصدار الإنتاج يتم منحها بعد مراجعة الضوابط الأمنية المطبقة المخصصة للمشروع أثناء الاستلام، مما يعزز الأمان، ويبسط عملية الإصدار، ويوفر امتثالًا متسقًا لمعايير الأمان.
يتكون سير عمل تنسيق SbD من خمس مراحل وهي الاستيعاب وإنشاء المهام وتقييمات الأمان والتحقق من الأمان والموافقة على الإصدار.
SbD هو حل متكامل ومتكامل للصناعة يعمل على تحسين الوضع الأمني والكفاءة التشغيلية والامتثال التنظيمي من خلال تنسيق المهام مثل تقييمات المخاطر واختبار نقاط الضعف وتوفير الرؤية وإعداد التقارير والتحديد المبكر للمشكلات الأمنية والتخفيف من آثارها.
يمكن لـ SbD مساعدة المنظمات:
-
جلب الانتشار والسرعة إلى عملية التطوير الشاملة.
-
جعل الأمن مستهلكًا للأعمال.
-
تمكين التقارير المركزية لتوفير رؤية لمقاييس الأمان وموقف المخاطر.
-
توحيد الضوابط الأمنية عبر المؤسسة وأتمتة إنشاء وتأكيد متطلبات الأمان.
يمثل سير عمل SbD المدعوم من Wiz نهجًا متطورًا للمساعدة في تحقيق الأمان الشامل عبر SDLC، بدءًا من مرحلة التخطيط والتفكير وحتى حالة الإنتاج وما بعدها. يعتمد سير العمل هذا على طبقة الإدارة والمساءلة الآلية، مما يتيح الامتثال المستمر لسياسات الأمان عبر SDLC.
ومن خلال الجمع بين إطار عمل Deloitte الأمني الاستراتيجي وتقنية Wiz المبتكرة، بما في ذلك Wiz Code وWiz Cloud وWiz Defend وWiz Runtime Sensor وإمكانيات إعداد التقارير، يمكن للمؤسسات تحقيق خطوات كبيرة نحو تأمين التطبيقات طوال دورة حياة التطبيق.
-
كود ويز يدمج الأمان مباشرة في عملية التطوير، مما يتيح الفحص المستمر واكتشاف الثغرات الأمنية في التعليمات البرمجية.
-
ويز كلاود يوفر إدارة الموقف الأمني، ومراقبة البيئات السحابية بشكل مستمر بحثًا عن التكوينات الخاطئة ومسارات الهجوم ومشكلات الامتثال.
-
تكمل إمكانات إعداد التقارير الخاصة بـ Wiz إمكانات Wiz الأخرى من خلال تقديم تحليلات تفصيلية وميزات إعداد التقارير، والتي تغذي منصة SbD لتوفير عرض موحد لمقاييس الأمان وحالة الامتثال.
-
ويز الدفاع يعزز قدرات الكشف عن التهديدات السحابية والاستجابة لها، مما يتيح الحماية في الوقت الحقيقي ضد التهديدات الناشئة.
-
الحذق وقت التشغيل الاستشعار يعمل على توسيع قدرات الكشف عن التهديدات والاستجابة لها لتشمل عبء العمل من خلال المراقبة المستمرة لأعباء العمل بحثًا عن الأنشطة المشبوهة وحظر التهديدات المحتملة في الوقت الفعلي.
تقدم Wiz وSbD معًا نهجًا فعالاً ومتكاملًا للأمن، مما يساعد في الحفاظ على الأمان والامتثال للأصول المنشورة وبالتالي تعزيز الوضع الأمني العام بدءًا من التطوير وحتى النشر وما بعده.
أمان Shift-left وتجربة مطور محسنة
يبدأ ضمان الأمن قبل التطوير العملي، ومن خلال الاستفادة من كود ويز, يمكن لفرق الأمان والتطوير التحول إلى اليسار وتنفيذ الممارسات الآمنة منذ بداية البرمجة. يمكن لـ Wiz Code الاتصال على مستوى بيئة التطوير المتكاملة (IDE) لفحص ملفات وأدلة وحاويات البنية التحتية كرمز (IaC) محليًا بحثًا عن البيانات الحساسة ونقاط الضعف. بعد ذلك، يمكن لـ Wiz Code حماية مسار التكامل المستمر / النشر المستمر (CI/CD) من التزام التعليمات البرمجية باستخدام مجموعة متنوعة من موصلات إدارة التعليمات البرمجية المصدر (SCMs) ونظام التحكم في الإصدار (VCS) لتحديد المخاطر في مستودعات التعليمات البرمجية قبل إنشاء العنصر وإجراء عمليات الفحص أثناء النشر الفعلي للعنصر بحثًا عن انتهاكات السياسة أو التكوينات الخاطئة داخل البيئة.
انجراف التكوين السحابي ومراقبة التهديدات
بمجرد نشر الأصل في البيئة السحابية، ويز كلاود يمكنه مراقبة الأصول والتكوينات وتقييمها مقابل أطر الامتثال الخارجية. وهذا يعني أنه يتم توثيق ملف تعريف الأصل وقائمة المواد، ومراقبة الانجراف ضد خط الأساس الخاص به أو ضد السياسة. إذا كان هناك نشاط مشبوه أو تهديد محتمل في السحابة الخاصة بك، إذن ويز الدفاع يمكنه اكتشاف التهديدات والإبلاغ عنها والرد عليها بسرعة حتى تتمكن من تقليل نطاق الانفجار والعودة بسرعة إلى الامتثال.
من خلال الاستفادة من Wiz Code وCloud وDefend، يمكن للأصول والحلول الحفاظ على وضعها الأمني بدءًا من المشروع وحتى النشر عبر التكرارات، مع دمج الأمان طوال دورة الحياة.
حل موحد للتعليمات البرمجية للتغطية السحابية
يكمل Wiz برنامج Deloitte’s SbD من خلال دمج الأمان بشكل فعال بدءًا من الأسطر الأولى من التعليمات البرمجية وحتى نشر الإنتاج. بدلاً من وضع أدوات متعددة في طبقات، يتم توصيل Wiz مباشرةً ببيئات تطوير متكاملة للمطورين للمساعدة في تحديد نقاط الضعف مبكرًا، ثم الانتقال إلى المراقبة السحابية المستمرة واكتشاف التهديدات في الوقت الفعلي. يؤدي نشره بدون وكيل إلى إبقاء النفقات العامة منخفضة ويسهل تضمين الأمان في سير عمل حوكمة SbD.
تحديد أولويات المخاطر ومراقبة الامتثال
يحدد الرسم البياني الموحد للمخاطر من Wiz أولويات المشكلات بناءً على الأهمية، وهو ما يتزامن مع تركيز SbD على حساسية البيانات والامتثال. من خلال تعيين نقاط الضعف لأطر العمل الرائدة في الصناعة مثل (مركز أمان الإنترنت (CIS) وصناعة بطاقات الدفع – معيار أمان البيانات (PCI-DSS)، يمكّن Wiz الفرق من فهم حالة الامتثال الخاصة بهم. بمجرد تشغيل الأصول، يمكن لـ Wiz التحقق من الانجراف أو التهديدات الجديدة أو تغييرات التكوين، مما يؤدي إلى معالجة سريعة داخل العمليات الآلية لـ SbD. هذه التغطية من التعليمات البرمجية إلى السحابة والنهج المتكامل للمخاطر يميز Wiz حقًا.
باختصار، يقدم إطار عمل Deloitte’s SbD، المدعوم من Wiz، حلاً فعالاً لمواجهة التحديات الأمنية المتطورة في بيئة الأعمال سريعة الخطى اليوم. من خلال دمج الأمان في وقت مبكر من دورة حياة التطوير والاستفادة من قدرات Wiz المتقدمة، يمكن للمؤسسات تمكين ضوابط أمنية متسقة ورؤية محسنة وحوكمة شاملة. يمكن أن يساعد هذا التعاون المؤسسات ليس فقط في تعزيز وضعها الأمني العام ولكن أيضًا المساعدة في معالجة الامتثال للمتطلبات التنظيمية، مما يمكّن المؤسسات من ابتكار التطبيقات ونشرها بسرعة دون المساس بالأمن. توفر Deloitte وWiz معًا نهجًا فعالاً ومتكاملًا للأمن يمتد من التصميم إلى تطوير التعليمات البرمجية إلى النشر والمراقبة السحابية، مما يسهل الأمان والخصوصية والمرونة طوال دورة حياة التطبيق.
تحتوي هذه الوثيقة على معلومات عامة فقط، ولا تقدم شركة Deloitte، من خلال هذه الوثيقة، أي مشورة أو خدمات محاسبية أو تجارية أو مالية أو استثمارية أو قانونية أو ضريبية أو أي خدمات مهنية أخرى. لا تعد هذه الوثيقة بديلاً عن هذه النصائح أو الخدمات المهنية، ولا ينبغي استخدامها كأساس لأي قرار أو إجراء قد يؤثر على عملك. قبل اتخاذ أي قرار أو اتخاذ أي إجراء قد يؤثر على عملك، يجب عليك استشارة مستشار محترف مؤهل.
جميع أسماء المنتجات المذكورة في هذا المستند هي علامات تجارية أو علامات تجارية مسجلة لأصحابها وهي مذكورة لأغراض التعريف فقط. لا تتحمل شركة Deloitte المسؤولية عن الوظائف أو التكنولوجيا المتعلقة بالبائع أو الأنظمة أو التقنيات الأخرى كما هو محدد في هذا المستند.
لن تتحمل شركة Deloitte المسؤولية عن أي خسارة يتكبدها أي شخص يعتمد على هذه الوثيقة.
كما هو مستخدم في هذه الوثيقة، تعني كلمة “Deloitte” شركة Deloitte & Touche LLP، وهي شركة تابعة لشركة Deloitte LLP. يرجى الاطلاع على www.deloitte.com/us/about للحصول على وصف تفصيلي لبنيتنا القانونية. قد لا تكون بعض الخدمات متاحة لتوثيق العملاء بموجب قواعد وأنظمة المحاسبة العامة.
