Dark Lab

网络安全战略

企业目前正在进行流程转型，朝着数字化方向发展。现在的企业比以往任何时候都更需要健全、可执行的网络安全战略，以保护数字环境免受不断变化的网络对手攻击。

我们的网络安全战略服务侧重于帮助企业了解如何保护业务和数字环境的网络安全，实现业务目标。

该领域的服务包括：

• 制定网络安全战略和路线图
• 评估网络安全成熟度
• 根据国际框架和标准，如NIST网络安全框架、NIST SP 800-53和ISO 27001，评估网络安全合规性
• 就ISO 27001认证程序提供建议

遵守中国《网络安全法》

遵守中国《网络安全法》及与网络安全和隐私保护相关的法规和标准对很多跨国企业和中国企业而言都是一项挑战。我们的《网络安全法》咨询服务侧重于帮助客户满足中国网络安全监管机构的监管要求。

该领域的服务包括：

• 提供信息安全等级保护方案认证咨询
• 评估跨境数据传输风险
• 评估关键基础设施运营商和工业控制系统在中国的网络安全合规性
• 根据个人信息保护法规，如《个人信息安全规范》，评估合规差距

我们相信隐私保护是数字化时代企业发展的基石。明确的隐私保护增值方案可帮助企业更好地发展。我们的隐私服务侧重于提高企业的数据安全能力，增强隐私合规性，通过有效的隐私保护方案推动企业发展。

该领域的服务包括：

• 开展隐私数据发现、隐私数据流映射、隐私数据登记以及隐私影响评估
• 评估企业在隐私法规方面的合规性，包括《通用数据保护条例》（欧盟），《个人资料（隐私）条例》（香港）和《个人信息安全规范》（中国内地）
• 制定隐私控制框架、方案和运营模式
• 开展隐私意识研讨会并提供培训服务
• 就ISO 27701认证程序提供建议

Dark Lab专业知识深厚，为客户提供进攻性安全服务。我们拥有香港规模最大的专业道德黑客团队，与各行业不同规模的企业均有合作，帮助他们在面对网络威胁行为下先发制人。

与攻击性相关的服务包括：

• 经CREST认证的威胁情报和模拟服务
• 开展对抗模拟，模拟入侵者在实际攻击中使用的攻击模式
• 对应用程序和基础设施执行渗透测试，发掘受攻击面和可能切入点
• 从人员、流程和技术方面评估检测和防御高级持续性威胁（APT）的能力
• 为系统防御、安全流程和整体IT战略的调整提出针对性建议，重点关注对最新发现的攻击和技术的防范

“发现并修复”紫队
紫队可综合利用道德黑客（“红队”）、事件响应人员（“蓝队”）和技术项目经理的技能和经验，快速降低网络安全风险。

我们的紫队战术与MITRE的ATT&CK框架（现实中的对抗战术知识库）保持一致，确保结构化战术契合真实威胁。

我们针对ATT&CK框架的每个阶段反复模拟各种攻击，评估保护和检测能力，识别快速致胜的“修复方案”以降低风险。

我们还遵循Agile原则，通过一系列迭代开展安全测试（Sprint）、管理修复方案的交付，以确保快速交付和持续的灵活性。

软件开发生命周期（SDLC）安全
为从需求到生产的整个端到端软件开发生命周期设计、执行并审查定制式安全框架和流程。

Dark Lab还针对SDLC不同阶段的安全治理和控制提供针对性建议。

企业常会遭受网络威胁行为体通过各种网络手段发起的攻击。Dark Lab针对从机会性数据泄露到复杂的APT入侵，提供一整套服务，帮助企业检测、应对网络攻击并进行补救。

电子数据取证和事件响应服务包括：

• 网络安全事件响应服务，利用计算机取证、数据分析和威胁情报调查可疑活动
• 通过威胁狩猎演练发现威胁行为体
• 评估网络安全事件响应成熟度，提高安全运营和管理支持的整体准备度
• 提供网络威胁和漏洞管理咨询，简化漏洞检测和缓解流程
• 针对信息系统的各方面问题提供定制建议，增强企业抵御真实网络攻击的能力

我们的托管安全服务提供一套独特设计的功能组合，可现场部署、集中协调，帮助企业的IT和安全团队更好地专注于改善自身业务安全状况。

该领域的服务包括：

• 24/7全天候安全监控
• 安全运营管理
• 漏洞管理

我们提供一系列威胁情报产品和服务，旨在有效、智能地防御网络威胁。

电子足迹情报

电子足迹情报可从威胁行为体的角度提供外部IT足迹简况。Dark Lab利用多年的威胁情报、事件响应和红队专业知识，开发出一种类似于复杂威胁行为体（APT）的自动化、被动、无干扰的方法。数字足迹情报报告涵盖了威胁行为体计划攻击企业前可能会考虑的领域。

定制研究和分析

与普华永道的威胁研究团队直接沟通，执行单次或长期咨询相关任务——包括对恶意事件、威胁行为体或分析支持进行战术和战略研究。

网络威胁评估

企业最可能面临的网络威胁详解，包括最可能对企业构成威胁的威胁行为体。分析攻击者的意图、能力以及可能对企业采用的战术、技术和程序，并映射到MITRE AT&CK框架。

企业开始越来越多地尝试通过云来实现新的业务和运营模式。Dark Lab可帮助企业对所选择的云解决方案进行必要的保护，以达到预期保护水平。

该领域的服务包括：

云战略规划

• 云战略和业务案例
• 云实施框架
• 云评估和准备
• 云运营模型

云迁移

• MS M365迁移
• 私有云再平台化
• 工作负载迁移

云支持服务

• 云安全审查和评估
• 云监控
• 云优化

云原生开发

• DevOps开发
• 敏捷专家

秉承“解决重要问题，营造社会诚信”的企业使命，我们相信普华永道可以在密码生态系统的发展中发挥作用。普华永道为企业提供全面的服务，以最适当的方式满足客户各方面需求，助力专注于自身业务。

我们为密码行业提供下列网络相关服务：

区块链

• 区块链/分布式账本技术安全评估（包括共识劫持、DOS、可扩展性等）
• 智能合同审计
• 治理和控制框架
• 用区块链解决商业问题的可行性研究

钱包和密钥管理

• 安全评估（普华永道框架、CCSS等），包括第三方鉴证评估，如SOC报告

• 提供相关咨询和指导，帮助制定与密钥的管理（生成、存储、备份和使用）和全面安全保护相关的政策和程序

Dark Lab已有多年的数字产品开发经验，为客户的转型提供了助力：
 

道德黑客机器人

道德黑客机器人是一个使用机器人技术实现威胁和漏洞管理流程自动化的综合平台。该平台可帮助我们：

• 通过移动控制板提供安全级别的即时概览
• 进行工作流程标准化，简化漏洞/安全管理流程
• 自动发送电子邮件通知、提醒和警告，提高效率、促进沟通
• 进行持续跟踪、更新调查结果及补救和跟进措施，以减少人为错误
• 加快漏洞评估过程，减少繁琐、重复的人工操作，有效应对持续的网络攻击

我们帮助企业始终保持敏捷性，实现应用程序无缝交付，满足用户预期和市场标准，保持市场竞争力。我们提供从战略咨询到具体实施的端到端服务。

点击此处，进一步了解我们可以提供哪些帮助。