Questo principio del pilastro della sicurezza del Google Cloud Well-Architected Framework fornisce consigli per creare solidi programmi di cyberdifesa nell'ambito della strategia di sicurezza complessiva.
Questo principio sottolinea l'uso della threat intelligence per guidare in modo proattico i tuoi sforzi nelle funzioni di cyberdifesa principali, come definito in The Defender's Advantage: una guida per attivare la cyberdifesa.
Panoramica dei principi
Quando difendi il tuo sistema dagli attacchi informatici, hai un vantaggio significativo e sottoutilizzato rispetto agli aggressori. Come afferma il fondatore di Mandiant, "Hai più informazioni sulla tua attività, sui tuoi sistemi, sulla tua topologia e sulla tua infrastruttura di qualsiasi malintenzionato. Questo è un vantaggio incredibile". Per aiutarti a sfruttare questo vantaggio intrinseco, questo documento fornisce consigli sulle pratiche di cyberdifesa proattive e strategiche che sono mappate al framework di The Defender's Advantage.
Consigli
Per implementare la cyberdifesa preventiva per i tuoi workload cloud, prendi in considerazione i consigli nelle sezioni seguenti:
- Integra le funzioni di cyberdifesa
- Utilizza la funzione di intelligence in tutti gli aspetti della cyberdifesa
- Comprendi e sfrutta il tuo vantaggio di difensore
- Convalida e migliora continuamente le tue difese
- Gestisci e coordina gli sforzi di cyberdifesa
Integra le funzioni di cyberdifesa
Questo consiglio è pertinente per tutte le aree di interesse.
Il framework di The Defender's Advantage identifica sei funzioni critiche della cyberdifesa: Intelligence, Rilevamento, Risposta, Convalida, Ricerca delle minacce e Mission Control. Ogni funzione si concentra su una parte specifica della missione di cyberdifesa, ma queste funzioni devono essere ben coordinate e lavorare insieme per fornire una difesa efficace. Concentrati sulla creazione di un sistema solido e integrato in cui ogni funzione supporta le altre. Se hai bisogno di un approccio graduale per l'adozione, prendi in considerazione l'ordine suggerito di seguito. A seconda della maturità del cloud attuale, della topologia delle risorse e del panorama delle minacce specifico, potresti voler dare la priorità a determinate funzioni.
- Intelligence: la funzione di intelligence guida tutte le altre funzioni. Comprendere il panorama delle minacce, inclusi gli aggressori più probabili, le loro tattiche, tecniche e procedure (TTP) e il potenziale impatto, è fondamentale per dare la priorità alle azioni in tutto il programma. La funzione di intelligence è responsabile dell'identificazione degli stakeholder, della definizione dei requisiti di intelligence, della raccolta, dell'analisi e della diffusione dei dati, dell'automazione e della creazione di un profilo di minaccia informatica.
- Rilevamento e risposta: queste funzioni costituiscono il nucleo della difesa attiva, che prevede l'identificazione e la gestione delle attività dannose. Queste funzioni sono necessarie per agire in base alle informazioni raccolte dalla funzione di intelligence. La funzione di rilevamento richiede un approccio metodico che allinei i rilevamenti alle TTP degli aggressori e garantisca una registrazione robusta. La funzione di risposta deve concentrarsi sul triage iniziale, sulla raccolta dei dati e sulla correzione degli incidenti.
- Convalida: la funzione di convalida è un processo continuo che garantisce che l'ecosistema di controllo della sicurezza sia aggiornato e funzioni come previsto. Questa funzione garantisce che la tua organizzazione comprenda la superficie di attacco, conosca le vulnerabilità esistenti e misuri l'efficacia dei controlli. La convalida della sicurezza è anche un componente importante del ciclo di vita dell'ingegneria di rilevamento e deve essere utilizzata per identificare le lacune di rilevamento e creare nuovi rilevamenti.
- Ricerca delle minacce: la funzione di ricerca delle minacce prevede la ricerca proattiva di minacce attive in un ambiente. Questa funzione deve essere implementata quando la tua organizzazione ha un livello di maturità di base nelle funzioni di rilevamento e risposta. La funzione di ricerca delle minacce espande le funzionalità di rilevamento e aiuta a identificare lacune e punti deboli nei controlli. La funzione di ricerca delle minacce deve basarsi su minacce specifiche. Questa funzione avanzata si basa su solide funzionalità di intelligence, rilevamento e risposta.
- Mission Control: la funzione Mission Control funge da hub centrale che collega tutte le altre funzioni. Questa funzione è responsabile della strategia, della comunicazione e dell'azione decisiva nel programma di cyberdifesa. Garantisce che tutte le funzioni funzionino insieme e siano allineate agli obiettivi aziendali della tua organizzazione. Prima di utilizzare la funzione Mission Control per collegare le altre funzioni, devi concentrarti sulla comprensione chiara dello scopo di questa funzione.
Utilizza la funzione di intelligence in tutti gli aspetti della cyberdifesa
Questo consiglio è pertinente per tutte le aree di interesse.
Questo consiglio evidenzia la funzione di intelligence come parte fondamentale di un solido programma di cyberdifesa. La threat intelligence fornisce informazioni sugli attori delle minacce, sulle loro TTP e sugli indicatori di compromissione (IoC). Queste informazioni devono informare e dare la priorità alle azioni in tutte le funzioni di cyberdifesa. Un approccio basato sull'intelligence ti aiuta ad allineare le difese per affrontare le minacce che hanno maggiori probabilità di interessare la tua organizzazione. Questo approccio aiuta anche a distribuire e dare la priorità alle risorse in modo efficiente.
I seguenti Google Cloud prodotti e funzionalità ti aiutano a sfruttare la threat intelligence per guidare le tue operazioni di sicurezza. Utilizza queste funzionalità per identificare e dare la priorità a potenziali minacce, vulnerabilità e rischi, quindi pianifica e implementa le azioni appropriate.
Google Security Operations (Google SecOps) ti aiuta ad archiviare e analizzare i dati di sicurezza in modo centralizzato. Utilizza Google SecOps per mappare i log in un modello comune, arricchirli e collegarli alle sequenze temporali per una visione completa degli attacchi. Puoi anche creare regole di rilevamento, configurare la corrispondenza IoC ed eseguire attività di ricerca delle minacce. La piattaforma fornisce anche rilevamenti predefiniti, ovvero regole predefinite e gestite per aiutarti a identificare le minacce. Google SecOps può anche integrarsi con l'intelligence di prima linea di Mandiant. Google SecOps integra in modo univoco l'AI leader del settore, insieme alla threat intelligence di Mandiant e Google VirusTotal. Questa integrazione è fondamentale per la valutazione delle minacce e per comprendere chi prende di mira la tua organizzazione e il potenziale impatto.
Security Command Center Enterprise, basato su Google AI, consente ai professionisti della sicurezza di valutare, analizzare e rispondere in modo efficiente ai problemi di sicurezza in più ambienti cloud. I professionisti della sicurezza che possono trarre vantaggio da Security Command Center includono analisti del Security Operations Center (SOC), analisti di vulnerabilità e posture e responsabili della conformità. Security Command Center Enterprise arricchisce i dati di sicurezza, valuta i rischi e dà la priorità alle vulnerabilità. Questa soluzione fornisce ai team le informazioni di cui hanno bisogno per risolvere le vulnerabilità ad alto rischio e correggere le minacce attive.
Chrome Enterprise Premium offre protezione dei dati e dalle minacce, che aiuta a proteggere gli utenti dai rischi di esfiltrazione e impedisce ai malware di accedere ai dispositivi gestiti dall'azienda. Chrome Enterprise Premium fornisce anche visibilità sulle attività non sicure o potenzialmente non sicure che possono verificarsi all'interno del browser.
Il monitoraggio della rete, tramite strumenti come Network Intelligence Center, fornisce visibilità sulle prestazioni della rete. Il monitoraggio della rete può anche aiutarti a rilevare pattern di traffico insoliti o quantità di trasferimento di dati che potrebbero indicare un attacco o un tentativo di esfiltrazione di dati.
Comprendi e sfrutta il tuo vantaggio di difensore
Questo consiglio è pertinente per tutte le aree di interesse.
Come accennato in precedenza, hai un vantaggio rispetto agli aggressori quando hai una conoscenza approfondita della tua attività, dei tuoi sistemi, della tua topologia e della tua infrastruttura. Per sfruttare questo vantaggio di conoscenza, utilizza questi dati sui tuoi ambienti durante la pianificazione della cyberdifesa.
Google Cloud fornisce le seguenti funzionalità per aiutarti a ottenere in modo proattivo visibilità per identificare le minacce, comprendere i rischi e rispondere in modo tempestivo per mitigare i potenziali danni:
Chrome Enterprise Premium ti aiuta a migliorare la sicurezza dei dispositivi aziendali proteggendo gli utenti dai rischi di esfiltrazione. Estende i servizi di Sensitive Data Protection al browser e impedisce l'accesso ai malware. Offre anche funzionalità come la protezione da malware e phishing per aiutarti a prevenire l'esposizione a contenuti non sicuri. Inoltre, ti consente di controllare l'installazione delle estensioni per impedire l'accesso a estensioni non sicure o non verificate. Queste funzionalità ti aiutano a creare una base sicura per le tue operazioni.
Security Command Center Enterprise fornisce un motore dei rischi continuo che offre un'analisi e una gestione dei rischi complete e continue. La funzionalità del motore dei rischi arricchisce i dati di sicurezza, valuta i rischi e dà la priorità alle vulnerabilità per aiutarti a risolvere rapidamente i problemi. Security Command Center consente alla tua organizzazione di identificare in modo proattivo i punti deboli e implementare le mitigazioni.
Google SecOps centralizza i dati di sicurezza e fornisce log arricchiti con sequenze temporali. In questo modo, i difensori possono identificare in modo proattivo le compromissioni attive e adattare le difese in base al comportamento degli aggressori.
Il monitoraggio della rete aiuta a identificare attività di rete irregolari che potrebbero indicare un attacco e fornisce indicatori precoci che puoi utilizzare per intervenire. Per proteggere in modo proattivo i tuoi dati dal furto, monitora continuamente l'esfiltrazione di dati e utilizza gli strumenti forniti.
Convalida e migliora continuamente le tue difese
Questo consiglio è pertinente per tutte le aree di interesse.
Questo consiglio sottolinea l'importanza di test mirati e della convalida continua dei controlli per comprendere i punti di forza e di debolezza dell'intera superficie di attacco. Ciò include la convalida dell'efficacia dei controlli, delle operazioni e del personale tramite metodi come i seguenti:
- Test di penetrazione
- Esercizi di red team, blue team e purple team
- Esercitazioni da tavolo
Devi anche cercare attivamente le minacce e utilizzare i risultati per migliorare il rilevamento e la visibilità. Utilizza i seguenti strumenti per testare e convalidare continuamente le tue difese contro le minacce del mondo reale:
Security Command Center Enterprise fornisce un motore dei rischi continuo per valutare le vulnerabilità e dare la priorità alla correzione, il che consente una valutazione continua della tua postura di sicurezza complessiva. Dando la priorità ai problemi, Security Command Center Enterprise ti aiuta a garantire che le risorse vengano utilizzate in modo efficace.
Google SecOps offre la ricerca delle minacce e rilevamenti selezionati che ti consentono di identificare in modo proattivo i punti deboli dei tuoi controlli. Questa funzionalità consente di testare e migliorare continuamente la tua capacità di rilevare le minacce.
Chrome Enterprise Premium fornisce funzionalità di protezione dalle minacce e dei dati che possono aiutarti a contrastare le minacce nuove e in continua evoluzione e ad aggiornare continuamente le tue difese contro i rischi di esfiltrazione e i malware.
Cloud Next Generation Firewall (Cloud NGFW) fornisce il monitoraggio della rete e l'esfiltrazione dei dati. Queste funzionalità possono aiutarti a convalidare l'efficacia della tua security posture attuale e a identificare potenziali punti deboli. Il monitoraggio dell'esfiltrazione dei dati ti aiuta a convalidare la solidità dei meccanismi di protezione dei dati della tua organizzazione e ad apportare modifiche proattive, se necessario. Quando integri i risultati delle minacce di Cloud NGFW con Security Command Center e Google SecOps, puoi ottimizzare il rilevamento delle minacce basato sulla rete, ottimizzare la risposta alle minacce e automatizzare i playbook. Per saperne di più su questa integrazione, consulta Unificare le difese cloud: Security Command Center e Cloud NGFW Enterprise.
Gestisci e coordina gli sforzi di cyberdifesa
Questo consiglio è pertinente per tutte le aree di interesse.
Come descritto in precedenza in Integra le funzioni di cyberdifesa, la funzione Mission Control interconnette le altre funzioni del programma di cyberdifesa. Questa funzione consente il coordinamento e la gestione unificata del programma. Ti aiuta anche a coordinarti con altri team che non si occupano di cybersicurezza. La funzione Mission Control promuove l'empowerment e la responsabilità, facilita l'agilità e l'esperienza e promuove la responsabilità e la trasparenza.
I seguenti prodotti e funzionalità possono aiutarti a implementare la funzione Mission Control:
- Security Command Center Enterprise funge da hub centrale per coordinare e gestire le operazioni di cyberdifesa. Riunisce strumenti, team e dati, insieme alle funzionalità di risposta integrate di Google SecOps. Security Command Center fornisce una visibilità chiara sullo stato di sicurezza della tua organizzazione e consente l'identificazione di configurazioni errate della sicurezza in diverse risorse.
- Google SecOps fornisce una piattaforma per consentire ai team di rispondere alle minacce mappando i log e creando sequenze temporali. Puoi anche definire regole di rilevamento e cercare le minacce.
- Google Workspace e Chrome Enterprise Premium ti aiutano a gestire e controllare l'accesso degli utenti finali alle risorse sensibili. Puoi definire controlli di accesso granulari in base all'identità dell'utente e al contesto di una richiesta.
- Il monitoraggio della rete fornisce insight sulle prestazioni delle risorse di rete. Puoi importare gli insight di monitoraggio della rete in Security Command Center e Google SecOps per il monitoraggio centralizzato e la correlazione con altri punti dati basati sulla sequenza temporale. Questa integrazione ti aiuta a rilevare e rispondere a potenziali modifiche dell'utilizzo della rete causate da attività illecite.
- Il monitoraggio dell'esfiltrazione dei dati aiuta a identificare i possibili incidenti di perdita di dati. Con questa funzionalità, puoi mobilitare in modo efficiente un team di risposta agli incidenti, valutare i danni e limitare l'ulteriore esfiltrazione di dati. Puoi anche migliorare le policy e i controlli attuali per garantire la protezione dei dati.
Riepilogo prodotto
La seguente tabella elenca i prodotti e le funzionalità descritti in questo documento e li mappa ai consigli e alle funzionalità di sicurezza associati.
| Google Cloud Prodotto | Consigli applicabili |
|---|---|
| Google SecOps |
Utilizza la funzione di intelligence in tutti gli aspetti della cyberdifesa:
consente la ricerca delle minacce e la corrispondenza IoC e si integra con
Mandiant per una valutazione completa delle minacce.
Comprendi e sfrutta il tuo vantaggio di difensore: fornisce rilevamenti predefiniti e centralizza i dati di sicurezza per l'identificazione proattiva delle compromissioni. Convalida e migliora continuamente le tue difese: consente di testare e migliorare continuamente le funzionalità di rilevamento delle minacce.Gestisci e coordina gli sforzi di cyberdifesa tramite Mission Control: fornisce una piattaforma per la risposta alle minacce, l'analisi dei log e la creazione di sequenze temporali. |
| Security Command Center Enterprise |
Utilizza la funzione di intelligence in tutti gli aspetti della cyberdifesa:
utilizza l'AI per valutare i rischi, dare la priorità alle vulnerabilità e fornire
insight utili per la correzione.
Comprendi e sfrutta il tuo vantaggio di difensore: offre un'analisi completa dei rischi, la definizione delle priorità delle vulnerabilità e l'identificazione proattiva dei punti deboli. Convalida e migliora continuamente le tue difese: fornisce una valutazione continua della postura di sicurezza e la definizione delle priorità delle risorse.Gestisci e coordina gli sforzi di cyberdifesa tramite Mission Control: funge da hub centrale per la gestione e il coordinamento delle operazioni di cyberdifesa. |
| Chrome Enterprise Premium |
Utilizza la funzione di intelligence in tutti gli aspetti della cyberdifesa:
protegge gli utenti dai rischi di esfiltrazione, impedisce l'accesso ai malware e
fornisce visibilità sulle attività non sicure del browser.
Comprendi e sfrutta il tuo vantaggio di difensore: migliora la sicurezza dei dispositivi aziendali tramite la protezione dei dati, la prevenzione dei malware e il controllo delle estensioni. Convalida e migliora continuamente le tue difese: contrasta le minacce nuove e in continua evoluzione tramite aggiornamenti continui delle difese contro i rischi di esfiltrazione e i malware.Gestisci e coordina gli sforzi di cyberdifesa tramite Mission Control: gestisci e controlla l'accesso degli utenti finali alle risorse sensibili, inclusi i controlli di accesso granulari. |
| Google Workspace | Gestisci e coordina gli sforzi di cyberdifesa tramite Mission Control: gestisci e controlla l'accesso degli utenti finali alle risorse sensibili, inclusi i controlli di accesso granulari. |
| Network Intelligence Center | Utilizza la funzione di intelligence in tutti gli aspetti della cyberdifesa: fornisce visibilità sulle prestazioni della rete e rileva pattern di traffico o trasferimenti di dati insoliti. |
| Cloud NGFW | Convalida e migliora continuamente le tue difese: ottimizza il rilevamento e la risposta alle minacce basati sulla rete tramite l'integrazione con Security Command Center e Google SecOps. |