当审计成为一项管理任务时
通常,当基础设施的增长速度超过流程时,就需要进行网络安全审计:新服务、承包商、远程访问、个人帐户、人工智能工具、与 1C/SAP/ERP 的集成或关键数据都已出现,但没有人确定整个安全情况是否完整可见。
此类审计对于 CISO、CIO、基础设施经理、内部审计、合规性和关键系统的所有者非常有用。尤其是在实施网络安全、验证、交易、迁移、推出新平台、连接人工智能之前,或者在发生事件之后,企业不需要寻找责任人,而是需要一个明确的恢复可控性的计划。
审计应澄清什么
良好的审计不仅可以回答“我们的漏洞在哪里”的问题。它显示了哪些资产真正重要,谁承担风险,哪些访问比业务案例更持久,哪些日志无助于调查,哪些文档与实际操作存在偏差,以及无需大量采购即可快速采取哪些措施。
对于企业而言,价值在于将混乱的担忧列表转变为可管理的决策图:立即关闭哪些内容、将哪些内容纳入预算、哪些配置或监管足够,以及哪些地方需要单独的项目来进行架构、网络安全实施、DevSecOps、SIEM/SOC、PAM 或漏洞管理。
为什么“RESTART”不只是清单
RESTART 进行网络安全审核,而不是作为孤立的“列表”检查。我们关注安全性以及 ERP、1C、SAP、Web/API、DevOps、DWH/BI、个人账户、集成、承包商和运营的结构。在企业环境中,风险很少存在于一台服务器中:更多时候,它出现在访问、数据、流程和责任的交叉点上。
因此,结果可以立即与进一步的步骤相关联:HLD/LLD设计、网络安全和加密信息保护的实施、ISPD、CII或GIS的保护、监控设置、漏洞管理、DevSecOps/AppSec、团队培训和支持。该报告成为更改的开始,而不是带有评论的最终文件夹。
检查环境
基础设施和周边
网络、服务器、工作站、外部服务、远程访问、云、备份、日志、网络规则和公共入口点。
访问权限和角色
帐户、权限、承包商、服务用户、访问生命周期、PAM/IDM 流程和定期权利审查。
应用与开发
Web/API、个人帐户、开发流程、DevSecOps、测试环境、秘密、依赖项、发布流程和变更控制。
文件及规定
政策、法规、威胁模型、ISPDn、KII、GIS、152-FZ、187-FZ 以及 FSTEC 要求的实际适用性。
端点层的审计分别包括工作站、服务器、VDI、保护代理、本地管理员、异常、日志和准备情况 Endpoint Security 集成到 SIEM/SOAR 中。
术语无雾
| 学期 | 这在实践中意味着什么 |
|---|---|
| 是 | 网络安全:保护数据、系统、流程和人员免受机密性、完整性和可用性的侵犯。 |
| 深圳国际 | 网络安全工具:保护基础设施、应用程序、数据和访问通道的技术和软件解决方案。 |
| ISPD | 个人数据信息系统。如果系统处理个人数据,则需要单独的分类、保护措施和文件。 |
| KIII | 根据 187-FZ 的关键信息基础设施。对于重要资产,分类、威胁建模、安全措施和操作控制非常重要。 |
| 地理信息系统 | 国家信息系统。它受到信息和文件保护的特殊要求的约束。 |
| HLD / LLD | 高层设计和底层设计:未来安全措施、集成、规则和设置的高层和详细架构。 |
| SIEM / SOC | SIEM 收集并关联安全事件; SOC 使用这些数据进行监控、调查和响应。 |
| PAM | 特权访问管理:控制特权帐户、密码、会话和管理员操作。 |
| VM | 漏洞管理:管理漏洞、优先级、所有权、修复时间表和异常的过程。 |
全球和俄罗斯实践指南
审计不应Invent自己的参考框架。我们使用明确的指导方针,以便可以用相同的语言与网络安全、IT、业务、内部审计和采购部门讨论调查结果。
| 地标 | 它如何帮助审计 |
|---|---|
| NIST Cybersecurity Framework 2.0 | 帮助将安全成熟度分解为治理、识别、保护、检测、响应、恢复功能,并将网络风险与管理联系起来。 |
| CIS 控制和实施小组 | 提供基本控制的实用基准:资产、访问、配置、日志、漏洞和数据保护。 |
| MITRE ATT&CK | 有助于通过真实的攻击技术来了解保护,而不仅仅是通过文档或已安装产品的存在。 |
| CISA KEV | 对于优先考虑现实世界中已被利用的漏洞很有用,而不仅仅是具有高 CVSS 分数。 |
| 俄罗斯联邦科技经济合作委员会, 152-FZ, 187-FZ | 对于俄罗斯环境,考虑了 FSTEC 第 17 号、第 21 号、第 239 号命令、ISPDn、GIS、KII 的要求以及保护措施的实际适用性。 |
人工智能如何增强信息系统审计
人工智能不会取代审计师,也不会做出有关风险可接受性的决定。但它已经作为一种有用的工作工具:它有助于解析资产下载、策略、日志、扫描结果、帐户列表、承包商合同和大量项目文档。
在应用场景中,人工智能可以对相似的发现进行分组,突出法规与实际设置之间的矛盾,准备风险登记册草案,用人类语言向系统所有者解释风险,并收集执行摘要以供管理。这加快了例行程序的速度,但最终评估、优先事项和建议均由 RESTART 专家批准。
企业得到什么?
- 关键资产、审计边界、系统所有者和责任范围的地图;
- 具有明确优先级的风险登记册:业务影响、概率、确认和建议的行动;
- 速效清单:无需复杂项目即可快速完成的措施;
- 30/90/180 天的路线图:流程、设置、信息保护系统的实施、架构、培训和里程碑;
- 预算和采购材料:真正需要购买什么,最好配置什么,以及必须首先通过流程描述和确保什么;
- 审计后明确路线:HLD/LLD、实施、DevSecOps、SIEM/SOC、PAM、VM、渗透测试或维护。
工作形式
快速审核
对第一个决定的简短诊断:主要风险在哪里,需要更深入地检查哪些内容以及在预算或试点之前需要采取哪些步骤。
全面审核
基础设施、访问、文档、流程、应用程序、法规和运营成熟度的完整图片。
建筑审计
在实施信息保护系统、迁移、推出新平台、AI 环境、个人帐户或重大集成之前进行检查。
事后审计
分析原因、弱点、响应、日志、访问、备份和更改,以降低再次发生的风险。
审核后:变更路线
常见问题
网络安全审计与渗透测试有何不同?
渗透测试检查特定的攻击场景和可利用性。审计范围更广:架构、流程、访问、文档、操作、监管和管理优先级。
是否可以在没有完整库存的情况下开始?
是的。通常,审计正是收集资产、所有者、系统、外部服务和责任范围的主要地图所需要的。
报告后做什么?
分配风险负责人,就快速获胜达成一致,批准路线图并决定哪些变更投入实施,哪些变更进入项目,哪些变更进入下一阶段的预算。
如何理解审核有用?
之后,管理层不仅有意见清单,还有优先行动图、明确的责任人、截止日期、下一步的成本和控制标准。
是否可以通过审计来购买信息和信息技术?
是的。审核有助于证明真正需要哪些类别的解决方案、哪些要求对它们至关重要以及购买前需要准备哪些流程。
AI可以自己进行审计吗?
不会。人工智能可以加快数据分析、结果分组和草稿准备的速度,但有关风险、优先事项和监管适用性的结论必须由专家做出。
让我们讨论一下您的环境
描述任务、当前系统、约束和预期结果。我们将提供实用的第一步:诊断、试点、审计、路线图或项目团队。
