漏洞管理
趋势9 - 通过设计采用安全,提前嵌入安全性并确保数字信任
通过设计安全是在架构定义和设计阶段期间识别安全要求的概念,然后确保在登上之前在构建和测试阶段验证安全性。同样,诸如GDPR等隐私法规要求通过设计的隐私概念,这确保了通过数据收集捕获并管理同意。捕获的个人身份信息(PII)数据需要保护违规和未经授权的访问或使用,并且必须在不再需要时被销毁。
组织正在开发企业级安全策略,设计框架,指南和清单以及批准的工具和组件,用于整个组织的使用。建立的门控标准和治理过程确保安全内置于每个技术计划中,任何跟踪关闭的例外。
安全架构评论和威胁建模有助于识别设计和建筑缺陷。Devsecops采用可以在开发和操作阶段进行识别和关闭弱点,以提高产品质量,并将时间缩短到市场。组织需要一个中央团队,提供白名单的组件,以及兽医并批准任何新的开源组件团队希望使用。
像MS和MyAppsec这样的供应商提供威胁建模工具,而微型焦点,Qualys,Nessus,Rapid7,Veracode,Checkmark,Sonarqube,Palo Alto,Onapsis和黑鸭扫描并识别弱点。需要一个中央流程和平台,以确保通过设计和安全SDLC有效实施安全的治理和可追溯性。
全球软件平台和服务提供商视图加强其产品安全实施过程。Infosys与他们合作,通过SDLC实现为其产品开发生命周期启用安全。DevSecops是为自动扫描实施,持续监控和支持,以降低安全包容性的成本,并使开发人员自助。
漏洞管理
趋势10 - ERP云采用导致更加注重业务关键的ERP应用安全
ERP系统一直是基本的推动者和业务震中。几十年来,SAP和Oracle一直是最大的ERP球员。通过ERP系统收集,分析和报告的企业资产和数据,通过ERP系统,他们是频繁违规的目标。这些威胁只有ERP应用程序才能移动到云。
鉴于这些应用程序的性质,检测和防止未经授权的更改和配置漏洞的未经授权的更改和配置至关重要。因此,整体业务关键应用程序安全性或ERP安全性现在是CXO的优先级。
组织需要工具和流程到(a)检测和修复自定义第三方应用程序中的弱点,(b)不断评估IT控件,以满足合规性要求和强化配置,以硬化系统,(c)控制和减轻风险在变更期间 - 将其例行代码,应用程序和系统维护或修补或现代化到云和(d)获取实时可见性和警报以响应违规行为。
Infosys帮助领先的美国制药公司通过实施Onapsis平台并整合ITSM工具来降低SAP ERP安全姿势并降低合规成本。由此产生的好处包括持续漏洞扫描和警报,改进的工作流程和补偿控制,以维持审计之间的符合性。
