当网络环路成为一项管理任务时
当业务依赖于公共服务、个人帐户、API、分支机构、远程访问、承包商、云和集成时,网络安全成为 CIO、CISO 和运营经理级别的主题。防火墙规则中的错误、忘记的测试端点或过时的 VPN 网关不可能是技术细节,但可能会导致停机、泄漏、客户端事件或测试期间出现问题。
此页面对于网络已经变得比 Visio 中的单个图表更加复杂的公司非常有用:银行、零售、工业、电信、电子商务、CII、分布式办公室、公司集团、具有 Web/API 边界的组织以及不仅想要了解要购买哪些产品,而且想要了解他们正在组合的安全架构的团队。
诊断后应明确什么
良好的网络安全诊断可以回答实际问题:哪些资源在互联网上可见、哪些服务应该发布、哪些规则已过时、哪些地方没有所有者、哪些通道需要加密保护、哪些事件受到监控,以及架构在哪些地方干扰了业务而不是保护业务。
外表面
域、IP 地址、Web 应用程序、API、VPN 网关、远程访问、云端点、合作伙伴渠道和测试资源。
规则和访问
防火墙策略、用户组、服务帐户、NAT、路由、遗留访问和很长时间没有人审查过的例外情况。
分段和 DMZ
互联网、DMZ、办公室、数据中心、云、工业领域、测试环境和关键业务系统之间的边界。
监测和响应
SIEM/SOC 看到哪些事件、哪里需要 NDR/IDS/IPS、如何确定漏洞的优先级以及谁负责在发生事件时采取行动。
周长不再是图上的一条线
“我们信任内部,我们过滤外部”的经典方法已经不再起作用。用户从不同的地方进行连接,服务驻留在云端和数据中心,API 向合作伙伴和移动应用程序开放,攻击不仅经常发生在从外部到内部的情况下,而且还发生在内部部分之间。因此,网络安全必须设计为一个信任、访问、日志记录和持续审核的系统。
在世界实践中,这种转变是通过零信任来描述的:不基于网络上的情况发出信任,而是检查用户、设备、上下文、资源和操作。对于RESTART来说,这不是一个时髦的口号,而是一个工程原则:更少的隐式权限,更清晰的区域,可验证的规则、日志、所有者和响应脚本。
安全环境
| 环境 | 我们保护什么? | 我们设计什么 |
|---|---|---|
| 互联网边界 | 公共地址、DNS、Web、API、VPN、邮件和服务网关。 | NGFW、WAF、AntiDDoS、机器人防护、外部扫描、发布规则和日志记录。 |
| 远程访问 | 员工、承包商、管理员、分支机构和服务联系人。 | VPN/CIPF、MFA、ZTNA、PAM 用于特权访问、设备控制和最低权限。 |
| 内部网络 | 数据中心、办公室、ERP、1C、DWH、服务台、域基础设施、测试环境。 | 分段、互联网络规则、IDS/IPS、NDR、东西向流量控制、SIEM/SOC 中的事件。 |
| 可调段 | ISPDn、CII、GIS、银行和工业环境。 | 威胁模型、FSTEC/行业要求、经过认证的信息保护设备、HLD/LLD、操作规定和检查证据。 |
术语无雾
NGFW
下一代防火墙:下一代防火墙不仅关注地址和端口,还关注应用程序、用户、流量类别、威胁和安全策略。
WAF
Web应用防火墙:保护Web应用程序和API免受HTTP级别、业务逻辑、请求参数和应用程序漏洞的典型攻击。
AntiDDoS
当分布式拒绝服务攻击试图通过流量或恶意请求使公共服务过载时,提供防护。
VPN 和 CIPF
VPN 构建安全的通信通道。 CIPF 是一种加密信息保护手段,在需要加密和可信加密的监管要求时使用。
DMZ
非军事区:互联网和内部网络之间的公共服务专用区域,因此,损害网络资源不会打开通往关键系统的直接路径。
IDS/IPS 和 NDR
IDS/IPS 检测或阻止可疑流量活动。 NDR 分析网络行为并帮助发现横向移动、异常和妥协迹象。
SIEM 和 SOC
SIEM 收集并关联安全事件。 SOC 是一个用于监控、调查和响应事件的流程和团队。
ZTNA 和 SASE
ZTNA 基于零信任原则提供对应用程序的访问。 SASE 为分布式基础设施和用户集成了网络和安全功能。
RESTART 如何与网络安全配合
民意调查
我们收集资源、流程、规则、用户、集成、外部表面、监管要求和运营痛点的地图。
建筑学
我们准备HLD/LLD:安全区域、目标解决方案类、访问场景、日志记录、与SIEM/SOC的集成以及规则迁移计划。
飞行员
我们在采购和工业实施之前检查 NGFW、WAF、AntiDDoS、VPN/CIPF、NDR 或有限环境上的受保护访问,以了解限制。
执行
我们制定政策、转移规则、连接活动、训练运营、描述法规并留下明确的开发积压。
俄罗斯和全球实践指南
对于企业架构来说,将网络安全视为整体风险管理系统的一部分是很有用的。 NIST Cybersecurity Framework 2.0 有助于将保护与管理、识别、保护、检测、响应和恢复功能联系起来。 NIST SP 800-207 Zero Trust Architecture 为无需网络隐式信任的访问设置基准。 CIS Control 12 将网络基础设施管理视为一个单独的控制域。
对于实际优先级划分很有用 CISA Known Exploited Vulnerabilities, MITRE ATT&CK 关于敌方基础设施技术和 OWASP API Security Top 10 对于公共 API。俄罗斯赛道考虑了 FSTEC 的要求, BDU FSTEC,如果适用的话 FSTEC 针对 KII 重要设施的第 239 号命令、防火墙要求和行业标准,包括银行环境 GOST R 57580。
人工智能如何提供帮助
人工智能不应自动改变网络规则,但它可以作为工程师和 CISO 的助手。它可以查找防火墙规则中的重复项和冲突、对过时的权限进行分组、突出显示开放管理访问等风险组合、将漏洞与 CISA KEV 和外部表面相关联、解释 SIEM 中的事件链并准备草稿 HLD/LLD 或操作清单。
一个重要条件是:人工智能助手必须在安全环境内运行,只能访问商定的数据、日志记录和人工验证。然后,人工智能可以加快分析速度,但不会取代架构解决方案、变更管理和运营责任。
企业得到什么?
减少停机风险
公共服务、VPN、API 和关键通道得到明确的保护、监控和发生事件时的行动计划。
更快的改变
新服务是根据规则发布的,而不是通过手动例外,这样多年来就不会受到任何人的审查。
可验证的架构
对于审计、采购和运营,有 HLD/LLD、区域地图、规则、所有者、活动、法规和发展路线图。
网络安全与业务的连接
周边保护通过服务可用性、客户体验、监管、泄漏风险和停机成本来解释。
第一步
合理的做法是从外围和网络架构的诊断开始,时间为 10-15 个工作日。在此阶段,RESTART 将着眼于外部表面、Web/API、VPN、DMZ、防火墙规则、分段、SIEM 事件、漏洞、承包商访问、分支机构、云端点和受监管的部分。
第一阶段的结果是网络线路图、关键风险列表、快速获胜、NGFW/WAF/AntiDDoS/VPN/CIPF 或 NDR 要求、试点计划、架构限制以及在不停止业务的情况下实施的路线图。
Perimeter、VPN、WAF 和 AntiDDoS 合作伙伴
对于网络和网络周边,RESTART 可以结合 UserGate、Security Code、InfoTEX、ServicePipe、Positive Technologies、Garda 和 Confident 产品。这允许您关闭 NGFW、VPN/CIPF、GOST TLS、WAF、AntiDDoS、机器人保护、API 保护、分段、防火墙和安全远程访问。
UserGate
NGFW, SUMMA, SIEM, LogAn, Client, SecaaS
安全码
监管网络安全、NGFW、VPN、端点、虚拟化
信息展览中心
CIPF、VPN、加密网关、HSM、PKI、CII
ServicePipe
AntiDDoS、机器人防护、云 WAF、Web/API 防护
Positive Technologies
VM、SIEM、AppSec、NDR、WAF、网络弹性
加尔达
DLP, DBF, Data Masking, NDR, WAF, Anti-DDoS
机密的
NSD、可信下载、VI、WAF、监管项目
合作伙伴被列为解决方案类的技术骨干。产品的具体构成、版本、许可证、证书和交付条件均在项目前确定。
常见问题
NGFW与普通防火墙有何不同?
常规防火墙通常与地址、端口和基本过滤配合使用。 NGFW 增加了对应用程序、用户、流量类别、威胁、IPS 功能和更细致的安全策略的洞察。
什么时候需要WAF?
当有公共网络应用程序、个人帐户、API、合作伙伴门户或电子商务时。 WAF 不会取代安全开发,但它可以降低利用 Web/API 漏洞的风险并有助于虚拟修补。
历史规律怎么办?
它们不能简单地全部移除。我们需要库存、所有者、流量分析、试点关闭、变更窗口和回滚计划。 RESTART 有助于将一组混乱的规则转变为可管理的访问模型。
如何将网络安全与SOC连接起来?
即使在 HLD/LLD 阶段,也有必要确定来自 NGFW、WAF、VPN、NDR、IDS/IPS 和 AntiDDoS 的哪些事件进入 SIEM、需要哪些关联以及谁对事件做出响应。
我可以在不购买杂货的情况下开始吗?
是的。通常第一步是审核边界、规则和架构。它显示了哪些环境涵盖了哪些风险,哪些需要试点,以及哪些领域真正需要新技术。
让我们讨论一下您的环境
描述任务、当前系统、约束和预期结果。我们将提供实用的第一步:诊断、试点、审计、路线图或项目团队。
