什么时候需要实验室?
如果选择或实施错误会给企业带来巨大损失,则需要网络安全实验室:网络安全的购买已经达成一致,但尚不清楚该产品如何适应现有网络;团队正在规划SIEM/SOAR,但事件来源分散;您需要实施 CIPF、DLP、PAM、WAF、终端设备保护或 AppSec 工具,并且客户的架构比典型的演示更复杂。
本页面面向 CISO、CIO、网络安全架构师、基础设施团队、DevSecOps、CII、GIS 和 ISPDn 所有者以及采购人员,他们需要证明解决方案选择的合理性,而不是通过营销幻灯片,而是通过经过验证的场景、限制、实施要求和验收标准。
我们正在检查哪些解决方案?
周边和网络
NGFW、WAF、AntiDDoS、VPN/CIPF、分段、DMZ、安全访问、DNS/TLS、日志记录和 SOC 集成。
工作站和服务器
端点安全、EDR/XDR、可信启动、设备控制、服务器安全、代理架构和性能影响。
访问权限和特权
IDM/IAM、PAM、MFA、服务帐户、角色、访问生命周期、权限审查和管理操作控制。
数据与应用
DLP、DBF/DAM、屏蔽、标记化、AppSec、SAST/DAST/SCA、Web/API 的 WAF 和安全测试循环验证。
SOC 和响应
SIEM、SOAR、SGRC、NDR、TIP、UEBA、事件源、关联规则、响应场景以及将任务转移到 ITSM。
AI和可调环境
安全 AI 服务、RAG、LLM、请求日志、访问角色、CII、GIS、ISPDn、威胁模型和操作要求。
关键术语说明
| 学期 | 解码 | 这在实验室中意味着什么? |
|---|---|---|
| 深圳国际 | 网络安全工具。 | 旨在保护特定架构中的系统、数据、网络、应用程序或用户的产品或一组措施。 |
| CIPF | 加密信息保护的一种手段。 | VPN、加密网关、HSM、PKI 和其他解决方案,其中证书、密钥、法规以及与基础设施的兼容性非常重要。 |
| SIEM / SOAR / SGRC | 事件的收集和关联;响应自动化;风险管理、控制和报告。 | 该实验室测试事件源、日志质量、响应场景、任务路由和管理报告。 |
| EDR / XDR / NDR | 端点检测和响应、高级关联和网络发现。 | 检查攻击技术的可见性、噪声、基础设施负载、与 SOC 的集成以及调查的难易程度。 |
| WAF / NGFW | Web 应用程序保护和下一代网络防火墙。 | 检查规则、异常、对应用程序的影响、误报以及与日志记录的关系。 |
| PAM / IDM / IAM | 管理特权访问、用户身份和权利。 | 检查角色、管理脚本、服务帐户、访问协调和操作审核。 |
| DLP / DBF / DAM | 泄漏控制、数据库保护和数据活动监控。 | 检查策略、数据源、对业务流程的影响、事件的屏蔽和证据。 |
| HLD / LLD | High-Level Design——顶层架构;低级设计 - 详细项目。 | 该实验室有助于在将建筑解决方案纳入工业设计和采购规范之前对其进行验证。 |
| PoC/飞行员/UAT | 概念验证 - 假设检验;试点——有限实施; UAT——用户接受。 | 每种格式都应该有目的、测试场景、成功标准、限制以及下一步的决定。 |
实验室循环如何进行?
假设
我们确定业务问题、环境、限制、法规、数据、所有者、成功标准以及试点被认为有用的条件。
站立
我们收集测试或有限的工业环境:网络、角色、日志、测试数据、集成、策略和安全测试脚本。
场景
我们不仅检查“是否安装”,还检查真实的工作情况:攻击、误报、容错、权限、报告和负载。
限制
我们记录产品需要改进架构、许可证、代理、日志、异常、性能或其他团队参与的地方。
解决方案
我们正在准备一个结论:实施、改变架构、扩大试点、选择另一类解决方案、转移到采购或推迟项目。
世界实践和俄罗斯背景
实验室方法类似于成熟组织管理网络风险的方式:首先测试控制措施的适用性,然后进行扩展。 RESTART 用作指导方针 NIST Cybersecurity Framework 2.0 对于风险管理框架, CIS Controls 采取切实可行的防护措施, MITRE ATT&CK Enterprise 描述攻击技术和 OWASP Web Security Testing Guide 测试 Web/API 环境。
在俄罗斯背景下,该实验室对于ISPDn和152-FZ、KII和187-FZ、GIS、FSTEC要求、威胁模型、认证信息保护系统和加密信息保护系统特别有用。它有助于提前了解哪些措施在客户的架构中实际有效,验收需要哪些文档和日志,以及需要对 HLD/LLD、法规或运营模型进行哪些更改。
人工智能如何帮助实验室
人工智能不应独立决定网络安全的选择、是否进入产业实施或风险的可接受程度。但作为一名工程助理,他很有用:他帮助准备测试脚本、解析日志、映射需求和控制、对试验结果进行分组、查找重复出现的约束以及为 CISO、CIO、采购和技术团队编写报告草稿。
对于 RESTART 来说,重要的是人工智能必须在安全的环境中工作:具有经过批准的来源、访问角色、日志记录、人工验证以及禁止未经批准将私人数据传输到外部服务。
客户得到什么?
| 人工制品 | 它如何帮助业务 |
|---|---|
| 试点协议 | 显示测试的内容、数据、条件以及可用于做出决策的结论。 |
| 兼容性矩阵 | 将产品链接到网络、目录、日志、应用程序、代理、数据库、SOC、ITSM 和客户约束。 |
| 验收标准 | 它们帮助采购、网络安全和 IT 部门就什么是成功实施以及什么需要改进达成一致。 |
| 操作风险 | 提前识别负载、噪音、误报、日志缺失、代理冲突、性能和支持问题。 |
| HLD/LLD 要求 | 将实验室成果转化为架构解决方案、集成方案、规则、法规和技术规范以供实施。 |
| 路线图 | 捕获下一步:实施、交付、试点扩展、架构变更、培训或放弃不合适的选项。 |
RESTART 的价值所在
RESTART的价值不仅仅是打开演示台。我们将实验室与获得许可的网络安全实践、合作伙伴生态系统、HLD/LLD、网络安全/网络安全信息的供应、实施、集成和发布后支持联系起来。客户收到的不是一次性的产品演示,而是一条从假设到工业环境的可验证路线。
交付成果
- 业务问题、试点范围和成功标准的描述;
- 展台、集成、数据源、角色和日志记录图;
- 已测试场景、限制、风险和依赖性的列表;
- 与当前基础设施和监管要求的兼容性矩阵;
- 针对 HLD/LLD、采购规格、许可证和运营的建议;
- 实施、扩大试点或放弃不合适解决方案的路线图。
第一步实践
合理的开始是为期 5-10 个工作日的简短实验室会议:定义环境、选择一个或两个关键场景、组装一个最小的支架、检查兼容性并准备下一步的决定。对于稳压环境,此阶段更适合与 KII/152-FZ 诊断、HLD/LLD 设计或 IS 审核相关。
常见问题
实验室与供应商演示有何不同?
该演示在方便的环境中展示了产品的功能。实验室检查解决方案在客户架构中的工作方式:其角色、日志、集成、限制、法规和操作要求。
没有战斗数据也能驾驶吗?
是的。对于大多数场景,您可以使用测试数据、屏蔽、有限样本、合成事件和安全帐户。如果需要真实数据,则提前确定法律依据、访问角色和限制。
什么时候需要试点,什么时候架构审查就足够了?
如果解决方案影响网络、代理、日志、性能、访问权限或受监管的数据,则试点通常更有用。如果风险主要与循环的设计原理相关,则可以从 HLD/LLD 验证开始。
结果可以用于采购吗?
是的。试点协议、验收标准、兼容性矩阵和限制列表有助于证明选择的合理性,阐明规范、许可证、实施要求和支持条件。
实验室如何与KII、152-FZ、GIS连接?
对于受监管的循环,实验室帮助在工业实施之前验证保护措施的适用性:日志、角色、网络安全/信息保护信息、威胁模型、文档、验收和符合要求的证据。
让我们讨论一下您的环境
描述任务、当前系统、约束和预期结果。我们将提供实用的第一步:诊断、试点、审计、路线图或项目团队。
