Mettre en place une cyberdéfense préventive

Ce principe du pilier "Sécurité" du Google Cloud Well-Architected Framework fournit des recommandations pour créer des programmes de cyberdéfense robustes dans le cadre de votre stratégie de sécurité globale.

Ce principe met l'accent sur l'utilisation du renseignement sur les menaces pour orienter de manière proactive vos efforts dans les fonctions de cyberdéfense de base, comme défini dans L'avantage du défenseur : Comment actionner tous les leviers de cyberdéfense.

Présentation du principe

Lorsque vous défendez votre système contre les cyberattaques, vous disposez d'un avantage considérable et sous-exploité par rapport aux pirates informatiques. Comme l'indique le fondateur de Mandiant, "personne d'autre ne connaît mieux que vous votre entreprise, vos systèmes, votre topologie et votre infrastructure. C'est un avantage incroyable." Pour vous aider à utiliser cet avantage inhérent, ce document fournit des recommandations sur les pratiques de cyberdéfense proactives et stratégiques qui sont mappées sur le framework de l'avantage du défenseur.

Recommandations

Pour mettre en œuvre une cyberdéfense préventive pour vos charges de travail cloud, tenez compte des recommandations des sections suivantes :

• Intégrer les fonctions de cyberdéfense
• Utiliser la fonction de renseignement dans tous les aspects de la cyberdéfense
• Comprendre et exploiter l'avantage du défenseur
• Valider et améliorer vos défenses en continu
• Gérer et coordonner les efforts de cyberdéfense

Intégrer les fonctions de cyberdéfense

Cette recommandation s'applique à tous les domaines d'intérêt.

Le framework de l'avantage du défenseur identifie six fonctions essentielles de la cyberdéfense : renseignement, détection, réponse, validation, recherche et contrôle de mission. Chaque fonction se concentre sur une partie unique de la mission de cyberdéfense, mais ces fonctions doivent être bien coordonnées et fonctionner ensemble pour fournir une défense efficace. Concentrez-vous sur la création d'un système robuste et intégré où chaque fonction prend en charge les autres. Si vous avez besoin d'une approche progressive pour l'adoption, envisagez l'ordre suggéré suivant. En fonction de votre niveau de maturité cloud actuel, de la topologie de vos ressources et du paysage de menaces spécifique, vous pouvez choisir de donner la priorité à certaines fonctions.

1. Renseignement : la fonction de renseignement guide toutes les autres fonctions. Comprendre le paysage des menaces, y compris les pirates informatiques les plus probables, leurs tactiques, techniques et procédures (TTP), ainsi que l'impact potentiel, est essentiel pour hiérarchiser les actions dans l'ensemble du programme. La fonction de renseignement est responsable de l'identification des parties prenantes, de la définition des exigences en matière de renseignement, de la collecte des données, de l'analyse et de la diffusion, de l'automatisation et de la création d'un profil de cybermenace.
2. Détection et réponse : ces fonctions constituent le cœur de la défense active, qui consiste à identifier et à traiter les activités malveillantes. Ces fonctions sont nécessaires pour agir sur les informations collectées par la fonction de renseignement. La fonction de détection nécessite une approche méthodique qui aligne les détections sur les TTP des pirates informatiques et garantit une journalisation robuste. La fonction de réponse doit se concentrer sur le tri initial, la collecte de données et la correction des incidents.
3. Validation : la fonction de validation est un processus continu qui garantit que votre écosystème de contrôle de sécurité est à jour et fonctionne comme prévu. Cette fonction garantit que votre organisation comprend la surface d'attaque, sait où se trouvent les failles et mesure l'efficacité des contrôles. La validation de la sécurité est également un composant important du cycle de vie de l'ingénierie de détection et doit être utilisée pour identifier les lacunes de détection et créer de nouvelles détections.
4. Recherche : la fonction de recherche consiste à rechercher de manière proactive les menaces actives dans un environnement. Cette fonction doit être mise en œuvre lorsque votre organisation dispose d'un niveau de maturité de base dans les fonctions de détection et de réponse. La fonction de recherche étend les capacités de détection et permet d'identifier les lacunes et les faiblesses des contrôles. La fonction de recherche doit être basée sur des menaces spécifiques. Cette fonction avancée bénéficie d'une base de capacités de renseignement, de détection et de réponse robustes.
5. Contrôle de mission : la fonction de contrôle de mission sert de hub central qui connecte toutes les autres fonctions. Cette fonction est responsable de la stratégie, de la communication et des actions décisives dans votre programme de cyberdéfense. Elle garantit que toutes les fonctions fonctionnent ensemble et qu'elles sont alignées sur les objectifs commerciaux de votre organisation. Vous devez vous concentrer sur l'établissement d'une compréhension claire de l'objectif de la fonction de contrôle de mission avant de l'utiliser pour connecter les autres fonctions.

Utiliser la fonction de renseignement dans tous les aspects de la cyberdéfense

Cette recommandation s'applique à tous les domaines d'intérêt.

Cette recommandation met en évidence la fonction de renseignement comme élément essentiel d'un programme de cyberdéfense efficace. Le renseignement sur les menaces fournit des informations sur les acteurs malveillants, leurs TTP et les indicateurs de compromission (IOC). Ces connaissances doivent informer et hiérarchiser les actions dans toutes les fonctions de cyberdéfense. Une approche axée sur le renseignement vous aide à aligner les défenses pour faire face aux menaces les plus susceptibles d'affecter votre organisation. Cette approche permet également d'allouer et de hiérarchiser efficacement les ressources.

Les produits et fonctionnalités suivants vous aident à tirer parti du renseignement sur les menaces pour guider vos opérations de sécurité. Google Cloud Utilisez ces fonctionnalités pour identifier et hiérarchiser les menaces, les failles et les risques potentiels, puis planifiez et mettez en œuvre les actions appropriées.

• Google Security Operations (Google SecOps) vous aide à stocker et à analyser les données de sécurité de manière centralisée. Utilisez Google SecOps pour mapper les journaux dans un modèle commun, les enrichir et les lier à des chronologies afin d'obtenir une vue complète des attaques. Vous pouvez également créer des règles de détection, configurer la mise en correspondance des IOC et effectuer des activités de recherche de menaces. La plate-forme fournit également des détections optimisées, qui sont des règles prédéfinies et gérées pour vous aider à identifier les menaces. Google SecOps peut également s'intégrer au renseignement de première ligne de Mandiant. Google SecOps intègre de manière unique l'IA de pointe du secteur, ainsi que le renseignement sur les menaces de Mandiant et Google VirusTotal. Cette intégration est essentielle pour l'évaluation des menaces et pour comprendre qui cible votre organisation et l'impact potentiel.

• Security Command Center Enterprise, optimisé par l'IA de Google, permet aux professionnels de la sécurité d' évaluer, d'analyser et de résoudre efficacement les problèmes de sécurité dans plusieurs environnements cloud. Les professionnels de la sécurité qui peuvent bénéficier de Security Command Center incluent les analystes du centre des opérations de sécurité (SOC), les analystes des failles et de la posture, ainsi que les responsables de la conformité. Security Command Center Enterprise enrichit les données de sécurité, évalue les risques et hiérarchise les failles. Cette solution fournit aux équipes les informations dont elles ont besoin pour traiter les failles à haut risque et corriger les menaces actives.

• Chrome Enterprise Premium offre une protection contre les menaces et les données, ce qui permet de protéger les utilisateurs contre les risques d'exfiltration et d'empêcher les logiciels malveillants d'accéder aux appareils gérés par l'entreprise. Chrome Enterprise Premium offre également une visibilité sur les activités dangereuses ou potentiellement dangereuses qui peuvent se produire dans le navigateur.

• La surveillance du réseau, via des outils tels que Network Intelligence Center, offre une visibilité sur les performances du réseau. La surveillance du réseau peut également vous aider à détecter des schémas de trafic inhabituels ou des quantités de transfert de données qui pourraient indiquer une attaque ou une tentative d'exfiltration de données.

Comprendre et exploiter l'avantage du défenseur

Cette recommandation s'applique à tous les domaines d'intérêt.

Comme mentionné précédemment, vous avez un avantage sur les pirates informatiques lorsque vous comprenez parfaitement votre entreprise, vos systèmes, votre topologie et votre infrastructure. Pour tirer parti de cet avantage en termes de connaissances, utilisez ces données sur vos environnements lors de la planification de la cyberdéfense.

Google Cloud fournit les fonctionnalités suivantes pour vous aider à obtenir de manière proactive une visibilité afin d'identifier les menaces, de comprendre les risques et de répondre rapidement pour atténuer les dommages potentiels :

• Chrome Enterprise Premium vous aide à renforcer la sécurité des appareils d'entreprise en protégeant les utilisateurs contre les risques d'exfiltration. Il étend les services de protection des données sensibles au navigateur et empêche les logiciels malveillants. Il offre également des fonctionnalités telles que la protection contre les logiciels malveillants et l'hameçonnage pour éviter l'exposition à des contenus dangereux. De plus, il vous permet de contrôler l'installation d'extensions pour éviter les extensions dangereuses ou non vérifiées. Ces fonctionnalités vous aident à établir une base sécurisée pour vos opérations.

• Security Command Center Enterprise fournit un moteur de risque continu qui offre une analyse et une gestion des risques complètes et continues. La fonctionnalité de moteur de risque enrichit les données de sécurité, évalue les risques et hiérarchise les failles pour vous aider à résoudre rapidement les problèmes. Security Command Center permet à votre organisation d'identifier de manière proactive les faiblesses et de mettre en œuvre des mesures d'atténuation.

• Google SecOps centralise les données de sécurité et fournit des journaux enrichis avec des chronologies. Cela permet aux défenseurs d'identifier de manière proactive les compromissions actives et d'adapter les défenses en fonction du comportement des pirates informatiques.

• La surveillance du réseau permet d'identifier les activités réseau irrégulières qui pourraient indiquer une attaque et fournit des indicateurs précoces que vous pouvez utiliser pour agir. Pour protéger vos données de manière proactive contre le vol, surveillez en permanence l'exfiltration des données et utilisez les outils fournis.

Valider et améliorer vos défenses en continu

Cette recommandation s'applique à tous les domaines d'intérêt.

Cette recommandation souligne l'importance des tests ciblés et de la validation continue des contrôles pour comprendre les points forts et les faiblesses sur l'ensemble de la surface d'attaque. Cela inclut la validation de l'efficacité des contrôles, des opérations et du personnel à l'aide de méthodes telles que les suivantes :

• Tests d'intrusion
• Exercices d'équipe rouge-bleue et d'équipe violette
• Simulations

Vous devez également rechercher activement les menaces et utiliser les résultats pour améliorer la détection et la visibilité. Utilisez les outils suivants pour tester et valider en continu vos défenses contre les menaces réelles :

• Security Command Center Enterprise fournit un moteur de risque continu pour évaluer les failles et hiérarchiser la correction, ce qui permet une évaluation continue de votre stratégie de sécurité globale. En hiérarchisant les problèmes, Security Command Center Enterprise vous aide à vous assurer que les ressources sont utilisées efficacement.

• Google SecOps propose des détections optimisées et de recherche de menaces qui vous permettent d'identifier de manière proactive les faiblesses de vos contrôles. Cette fonctionnalité permet de tester et d'améliorer en continu votre capacité à détecter les menaces.

• Chrome Enterprise Premium fournit des fonctionnalités de protection contre les menaces et de protection des données qui peuvent vous aider à faire face aux menaces nouvelles et en constante évolution, et à mettre à jour en continu vos défenses contre les risques d'exfiltration et les logiciels malveillants.

• Cloud Next Generation Firewall (Cloud NGFW) fournit une surveillance du réseau et une surveillance de l'exfiltration des données. Ces fonctionnalités peuvent vous aider à valider l'efficacité de votre stratégie de sécurité actuelle et à identifier les faiblesses potentielles. La surveillance de l'exfiltration des données vous aide à valider la force des mécanismes de protection des données de votre organisation et à apporter des ajustements proactifs si nécessaire. Lorsque vous intégrez les résultats de menace de Cloud NGFW à Security Command Center et Google SecOps, vous pouvez optimiser la détection des menaces réseau, optimiser la réponse aux menaces et automatiser les playbooks. Pour en savoir plus sur cette intégration, consultez Unifier vos défenses cloud : Security Command Center et Cloud NGFW Enterprise.

Gérer et coordonner les efforts de cyberdéfense

Cette recommandation s'applique à tous les domaines d'intérêt.

Comme décrit précédemment dans Intégrer les fonctions de cyberdéfense, la fonction de contrôle de mission interconnecte les autres fonctions du programme de cyberdéfense. Cette fonction permet la coordination et la gestion unifiée du programme. Elle vous aide également à coordonner vos efforts avec d'autres équipes qui ne travaillent pas sur la cybersécurité. La fonction de contrôle de mission favorise l'autonomie et la responsabilité, facilite l'agilité et l'expertise, et favorise la responsabilité et la transparence.

Les produits et fonctionnalités suivants peuvent vous aider à mettre en œuvre la fonction de contrôle de mission :

• Security Command Center Enterprise sert de hub central pour coordonner et gérer vos opérations de cyberdéfense. Il regroupe les outils, les équipes et les données, ainsi que les fonctionnalités de réponse intégrées de Google SecOps. Security Command Center offre une visibilité claire sur l'état de sécurité de votre organisation et permet d'identifier les erreurs de configuration de sécurité dans différentes ressources.
• Google SecOps fournit une plate-forme permettant aux équipes de répondre aux menaces en mappant les journaux et en créant des chronologies. Vous pouvez également définir des règles de détection et rechercher des menaces.
• Google Workspace et Chrome Enterprise Premium vous aident à gérer et à contrôler l'accès des utilisateurs finaux aux ressources sensibles. Vous pouvez définir des contrôles d'accès précis en fonction de l'identité de l'utilisateur et du contexte d'une demande.
• La surveillance du réseau fournit des insights sur les performances des ressources réseau. Vous pouvez importer des insights de surveillance du réseau dans Security Command Center et Google SecOps pour une surveillance centralisée et une corrélation avec d'autres points de données basés sur la chronologie. Cette intégration vous aide à détecter et à gérer les modifications potentielles de l'utilisation du réseau causées par des activités malveillantes.
• La surveillance de l'exfiltration des données permet d'identifier les incidents de perte de données possibles. Grâce à cette fonctionnalité, vous pouvez mobiliser efficacement une équipe de réponse aux incidents, évaluer les dommages et limiter l'exfiltration de données supplémentaires. Vous pouvez également améliorer les règles et les contrôles actuels pour garantir la protection des données.

Récapitulatif produit

Le tableau suivant répertorie les produits et fonctionnalités décrits dans ce document, et les mappe sur les recommandations et les fonctionnalités de sécurité associées.

Google Cloud Produit	Recommandations applicables
Google SecOps	Utiliser la fonction de renseignement dans tous les aspects de la cyberdéfense: permet la recherche de menaces et la mise en correspondance des IOC, et s'intègre à Mandiant pour une évaluation complète des menaces. Comprendre et exploiter l'avantage du défenseur: fournit des détections optimisées et centralise les données de sécurité pour une identification proactive des compromissions. Valider et améliorer vos défenses en continu: permet de tester et d'améliorer en continu les capacités de détection des menaces. Gérer et coordonner les efforts de cyberdéfense grâce au contrôle de mission : fournit une plate-forme pour la réponse aux menaces, l'analyse des journaux et la création de chronologies.
Security Command Center Enterprise	Utiliser la fonction de renseignement dans tous les aspects de la cyberdéfense: utilise l'IA pour évaluer les risques, hiérarchiser les failles et fournir des insights exploitables pour la correction. Comprendre et exploiter l'avantage du défenseur: offre une analyse complète des risques, une hiérarchisation des failles et une identification proactive des faiblesses. Valider et améliorer vos défenses en continu : fournit une évaluation continue de la stratégie de sécurité et une hiérarchisation des ressources. Gérer et coordonner les efforts de cyberdéfense grâce au contrôle de mission: sert de hub central pour gérer et coordonner les opérations de cyberdéfense.
Chrome Enterprise Premium	Utiliser la fonction de renseignement dans tous les aspects de la cyberdéfense: protège les utilisateurs contre les risques d'exfiltration, empêche les logiciels malveillants et offre une visibilité sur les activités dangereuses du navigateur. Comprendre et exploiter l'avantage du défenseur: améliore la sécurité des appareils d'entreprise grâce à la protection des données, à la prévention des logiciels malveillants et au contrôle des extensions. Valider et améliorer vos défenses en continu: traite les menaces nouvelles et en constante évolution grâce à des mises à jour continues des défenses contre les risques d’exfiltration et les logiciels malveillants. Gérer et coordonner les efforts de cyberdéfense grâce au contrôle de mission: permet de gérer et de contrôler l'accès des utilisateurs finaux aux ressources sensibles, y compris les contrôles d'accès précis.
Google Workspace	Gérer et coordonner les efforts de cyberdéfense grâce au contrôle de mission: permet de gérer et de contrôler l'accès des utilisateurs finaux aux ressources sensibles, y compris les contrôles d'accès précis.
Network Intelligence Center	Utiliser la fonction de renseignement dans tous les aspects de la cyberdéfense: offre une visibilité sur les performances du réseau et détecte les schémas de trafic ou les transferts de données inhabituels.
Cloud NGFW	Valider et améliorer vos défenses en continu: optimise la détection et la réponse aux menaces réseau grâce à l'intégration avec Security Command Center et Google SecOps.