Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Implementar defesa cibernética preventiva

Last reviewed 2025-02-05 UTC

Esse princípio no pilar de segurança do Google Cloud Well-Architected Framework fornece recomendações para criar programas robustos de defesa cibernética como parte da sua estratégia geral de segurança.

Esse princípio enfatiza o uso da inteligência contra ameaças para orientar de forma proativa seus esforços nas principais funções de defesa cibernética, conforme definido em The Defender's Advantage: A guide to activating cyber defense.

Visão geral do princípio

Ao defender seu sistema contra ataques cibernéticos, você tem uma vantagem significativa e subutilizada contra invasores. Como afirma o fundador da Mandiant, "Você sabe mais sobre seus negócios, sistemas, topologia e infraestrutura do que qualquer invasor. Essa é uma vantagem incrível". Para ajudar você a usar essa vantagem inerente, este documento fornece recomendações sobre práticas proativas e estratégicas de defesa cibernética que são mapeadas para o framework do Defender's Advantage.

Recomendações

Para implementar a defesa cibernética preventiva para suas cargas de trabalho na nuvem, considere as recomendações nas seções a seguir:

Integrar as funções de defesa cibernética
Usar a função de inteligência em todos os aspectos da defesa cibernética
Entender e aproveitar a vantagem do profissional de defesa
Validar e melhorar suas defesas continuamente
Gerenciar e coordenar os esforços de defesa cibernética

Integrar as funções de defesa cibernética

Essa recomendação é relevante para todas as áreas de foco.

O framework do Defender's Advantage identifica seis funções essenciais de defesa cibernética: inteligência, detecção, resposta, validação, busca e controle de missão. Cada função se concentra em uma parte exclusiva da missão de defesa cibernética, mas elas precisam ser bem coordenadas e trabalhar juntas para fornecer uma defesa eficaz. Concentre-se na criação de um sistema robusto e integrado em que cada função ofereça suporte às outras. Se você precisar de uma abordagem gradual para a adoção, considere a ordem sugerida a seguir. Dependendo da sua maturidade atual na nuvem, da topologia de recursos e do cenário de ameaças específico, talvez seja necessário priorizar determinadas funções.

Inteligência: a função de inteligência orienta todas as outras funções. Entender o cenário de ameaças, incluindo os invasores mais prováveis, as táticas, técnicas e procedimentos (TTPs) e o impacto potencial, é fundamental para priorizar ações em todo o programa. A função de inteligência é responsável pela identificação das partes interessadas, definição dos requisitos de inteligência, coleta de dados, análise e disseminação, automação e criação de um perfil de ameaça cibernética.
Detecção e resposta: essas funções compõem o núcleo da defesa ativa, que envolve a identificação e o tratamento de atividades maliciosas. Essas funções são necessárias para agir com base nas informações coletadas pela função de inteligência. A função de detecção requer uma abordagem metódica que alinhe as detecções aos TTPs do invasor e garanta um registro robusto. A função de resposta precisa se concentrar na triagem inicial, na coleta de dados e na correção de incidentes.
Validação: a função de validação é um processo contínuo que garante que o ecossistema de controle de segurança esteja atualizado e funcionando conforme projetado. Essa função garante que sua organização entenda a superfície de ataque, saiba onde existem vulnerabilidades e meça a eficácia dos controles. A validação de segurança também é um componente importante do ciclo de vida da engenharia de detecção e precisa ser usada para identificar lacunas de detecção e criar novas detecções.
Busca: a função de busca envolve a pesquisa proativa de ameaças ativas em um ambiente. Essa função precisa ser implementada quando sua organização tem um nível básico de maturidade nas funções de detecção e resposta. A função de busca expande as capacidades de detecção e ajuda a identificar lacunas e pontos fracos nos controles. A função de busca precisa ser baseada em ameaças específicas. Essa função avançada se beneficia de uma base de recursos robustos de inteligência, detecção e resposta.
Controle de missão: a função de controle de missão atua como o hub central que conecta todas as outras funções. Essa função é responsável pela estratégia, comunicação e ação decisiva em todo o programa de defesa cibernética. Ela garante que todas as funções estejam trabalhando juntas e alinhadas às metas de negócios da sua organização. É necessário se concentrar em estabelecer uma compreensão clara da finalidade da função de controle de missão antes de usá-la para conectar as outras funções.

Usar a função de inteligência em todos os aspectos da defesa cibernética

Essa recomendação é relevante para todas as áreas de foco.

Essa recomendação destaca a função de inteligência como parte essencial de um programa de defesa cibernética forte. A inteligência contra ameaças fornece conhecimento sobre agentes de ameaças, TTPs e indicadores de comprometimento (IOCs). Esse conhecimento precisa informar e priorizar ações em todas as funções de defesa cibernética. Uma abordagem orientada pela inteligência ajuda a alinhar as defesas para enfrentar as ameaças que têm maior probabilidade de afetar sua organização. Essa abordagem também ajuda na alocação e priorização eficiente de recursos.

Os produtos e recursos a seguir Google Cloud ajudam você a aproveitar a inteligência contra ameaças para orientar suas operações de segurança. Use esses recursos para identificar e priorizar possíveis ameaças, vulnerabilidades e riscos e, em seguida, planejar e implementar ações adequadas.

O Google Security Operations (Google SecOps) ajuda você a armazenar e analisar dados de segurança de maneira centralizada. Use o Google SecOps para mapear registros em um modelo comum, enriquecer os registros e vinculá-los a linhas do tempo para uma visão abrangente dos ataques. Também é possível criar regras de detecção, configurar a correspondência de IOCs e realizar atividades de busca de ameaças. A plataforma também fornece detecções especializadas, que são regras predefinidas e gerenciadas para ajudar a identificar ameaças. O Google SecOps também pode ser integrado à inteligência de linha de frente da Mandiant. O Google SecOps integra de maneira exclusiva a IA líder do setor, além da inteligência contra ameaças da Mandiant e do Google VirusTotal. Essa integração é fundamental para a avaliação de ameaças e para entender quem está visando sua organização e o impacto potencial.
Security Command Center Enterprise, com tecnologia de IA do Google, permite que os profissionais de segurança avaliem, investiguem e respondam com eficiência a problemas de segurança em vários ambientes de nuvem. Os profissionais de segurança que podem se beneficiar do Security Command Center incluem analistas da central de operações de segurança (SOC), analistas de vulnerabilidade e postura e gerentes de compliance. O Security Command Center Enterprise enriquece os dados de segurança, avalia o risco e prioriza as vulnerabilidades. Essa solução fornece às equipes as informações necessárias para resolver vulnerabilidades de alto risco e corrigir ameaças ativas.
O Chrome Enterprise Premium oferece proteção contra ameaças e proteção de dados, o que ajuda a proteger os usuários contra riscos de exfiltração e impede que malware chegue a dispositivos gerenciados pela empresa. O Chrome Enterprise Premium também oferece visibilidade de atividades inseguras ou potencialmente inseguras que podem ocorrer no navegador.
O monitoramento de rede, por meio de ferramentas como o Network Intelligence Center, oferece visibilidade do desempenho da rede. O monitoramento de rede também pode ajudar a detectar padrões de tráfego fora do normal ou quantidades de transferência de dados que podem indicar um ataque ou tentativa de exfiltração de dados.

Entender e aproveitar a vantagem do profissional de defesa

Essa recomendação é relevante para todas as áreas de foco.

Como mencionado anteriormente, você tem uma vantagem sobre os invasores quando tem um entendimento completo dos seus negócios, sistemas, topologia e infraestrutura. Para aproveitar essa vantagem de conhecimento, use esses dados sobre seus ambientes durante o planejamento de defesa cibernética.

Google Cloud oferece os seguintes recursos para ajudar você a ganhar visibilidade de forma proativa para identificar ameaças, entender riscos e responder de maneira oportuna para mitigar possíveis danos:

O Chrome Enterprise Premium ajuda a melhorar a segurança dos dispositivos corporativos, protegendo os usuários contra riscos de exfiltração. Ele estende os serviços de Proteção de Dados Sensíveis ao navegador e impede malware. Ele também oferece recursos como proteção contra malware e phishing para ajudar a evitar a exposição a conteúdo inseguro. Além disso, ele oferece controle sobre a instalação de extensões para ajudar a evitar extensões inseguras ou não verificadas. Esses recursos ajudam você a estabelecer uma base segura para suas operações.
O Security Command Center Enterprise fornece um mecanismo de risco contínuo que oferece análise e gerenciamento de riscos abrangentes e contínuos. O recurso de mecanismo de risco enriquece os dados de segurança, avalia o risco e prioriza as vulnerabilidades para ajudar a corrigir problemas rapidamente. O Security Command Center permite que sua organização identifique proativamente pontos fracos e implemente mitigações.
O Google SecOps centraliza os dados de segurança e fornece registros enriquecidos com linhas do tempo. Isso permite que os profissionais de defesa identifiquem de forma proativa comprometimentos ativos e adaptem as defesas com base no comportamento dos invasores.
O monitoramento de rede ajuda a identificar atividades de rede irregulares que podem indicar um ataque e fornece indicadores iniciais que podem ser usados para agir. Para ajudar a proteger seus dados contra roubo de forma proativa, monitore continuamente a exfiltração de dados e use as ferramentas fornecidas.

Validar e melhorar suas defesas continuamente

Essa recomendação é relevante para todas as áreas de foco.

Essa recomendação enfatiza a importância de testes direcionados e validação contínua de controles para entender os pontos fortes e fracos em toda a superfície de ataque. Isso inclui validar a eficácia dos controles, operações e equipe usando métodos como os seguintes:

Testes de penetração
Exercícios de equipe vermelha-azul e equipe roxa
Exercícios de simulação

Você também precisa procurar ativamente ameaças e usar os resultados para melhorar a detecção e a visibilidade. Use as ferramentas a seguir para testar e validar continuamente suas defesas contra ameaças reais:

O Security Command Center Enterprise fornece um mecanismo de risco contínuo para avaliar vulnerabilidades e priorizar a correção, o que permite a avaliação contínua da sua postura geral de segurança. Ao priorizar problemas, o Security Command Center Enterprise ajuda a garantir que os recursos sejam usados de maneira eficaz.
O Google SecOps oferece busca de ameaças e detecções selecionadas que permitem identificar proativamente pontos fracos nos seus controles. Esse recurso permite testes e melhorias contínuas da sua capacidade de detectar ameaças.
O Chrome Enterprise Premium oferece recursos de proteção contra ameaças e proteção de dados que podem ajudar você a lidar com ameaças novas e em evolução e a atualizar continuamente suas defesas contra riscos de exfiltração e malware.
O Cloud Next Generation Firewall (Cloud NGFW) oferece monitoramento de rede e monitoramento de exfiltração de dados. Esses recursos podem ajudar você a validar a eficácia da sua postura de segurança atual e identificar possíveis pontos fracos. O monitoramento de exfiltração de dados ajuda a validar a força dos mecanismos de proteção de dados da sua organização e a fazer ajustes proativos quando necessário. Ao integrar as descobertas de ameaças do Cloud NGFW com o Security Command Center e o Google SecOps, é possível otimizar a detecção de ameaças com base na rede, otimizar a resposta a ameaças e automatizar playbooks. Para mais informações sobre essa integração, consulte Unifying Your Cloud Defenses: Security Command Center & Cloud NGFW Enterprise (em tradução livre, Unificação das defesas da nuvem: Security Command Center e Cloud NGFW Enterprise).

Gerenciar e coordenar os esforços de defesa cibernética

Essa recomendação é relevante para todas as áreas de foco.

Conforme descrito anteriormente em Integrar as funções de defesa cibernética, a função de controle de missão interconecta as outras funções do programa de defesa cibernética. Essa função permite a coordenação e o gerenciamento unificado em todo o programa. Ela também ajuda você a coordenar com outras equipes que não trabalham em cibersegurança. A função de controle de missão promove o empoderamento e a responsabilidade, facilita a agilidade e a experiência e impulsiona a responsabilidade e a transparência.

Os produtos e recursos a seguir podem ajudar você a implementar a função de controle de missão:

O Security Command Center Enterprise atua como um hub central para coordenar e gerenciar suas operações de defesa cibernética. Ele reúne ferramentas, equipes e dados, além dos recursos de resposta integrados do Google SecOps. O Security Command Center oferece visibilidade clara do estado de segurança da sua organização e permite a identificação de configurações incorretas de segurança em diferentes recursos.
O Google SecOps fornece uma plataforma para que as equipes respondam a ameaças mapeando registros e criando linhas do tempo. Também é possível definir regras de detecção e pesquisar ameaças.
O Google Workspace e o Chrome Enterprise Premium ajudam você a gerenciar e controlar o acesso do usuário final a recursos sensíveis. É possível definir controles de acesso granulares com base na identidade do usuário e no contexto de uma solicitação.
O monitoramento de rede oferece insights sobre a performance dos recursos de rede. É possível importar insights de monitoramento de rede para o Security Command Center e o Google SecOps para monitoramento centralizado e correlação com outros pontos de dados baseados em linhas do tempo. Essa integração ajuda você a detectar e responder a possíveis mudanças no uso da rede causadas por atividades maliciosas.
O monitoramento de exfiltração de dados ajuda a identificar possíveis incidentes de perda de dados. Com esse recurso, é possível mobilizar com eficiência uma equipe de resposta a incidentes, avaliar danos e limitar a exfiltração de dados. Também é possível melhorar as políticas e os controles atuais para garantir a proteção de dados.

Resumo do produto

A tabela a seguir lista os produtos e recursos descritos neste documento e os mapeia para as recomendações e capacidades de segurança associadas.

Google Cloud Produto	Recomendações aplicáveis
Google SecOps	Usar a função de inteligência em todos os aspectos da defesa cibernética: permite a busca de ameaças e a correspondência de IOCs e se integra à Mandiant para uma avaliação abrangente de ameaças. Entender e aproveitar a vantagem do profissional de defesa: fornece detecções especializadas e centraliza dados de segurança para identificação proativa de comprometimentos. Validar e melhorar suas defesas continuamente: permite testes e melhorias contínuas das capacidades de detecção de ameaças. Gerenciar e coordenar os esforços de defesa cibernética pelo controle de missão: fornece uma plataforma para resposta a ameaças, análise de registros e criação de linhas do tempo.
Security Command Center Enterprise	Usar a função de inteligência em todos os aspectos da defesa cibernética: usa a IA para avaliar o risco, priorizar vulnerabilidades e fornecer insights acionáveis para correção. Entender e aproveitar a vantagem do profissional de defesa: oferece análise de risco abrangente, priorização de vulnerabilidades e identificação proativa de pontos fracos. Validar e melhorar suas defesas continuamente: fornece avaliação contínua da postura de segurança e priorização de recursos. Gerenciar e coordenar os esforços de defesa cibernética pelo controle de missão: atua como um hub central para gerenciar e coordenar operações de defesa cibernética.
Chrome Enterprise Premium	Usar a função de inteligência em todos os aspectos da defesa cibernética: protege os usuários contra riscos de exfiltração, impede malware e oferece visibilidade de atividades inseguras do navegador. Entender e aproveitar a vantagem do profissional de defesa: melhora a segurança dos dispositivos corporativos por meio da proteção de dados, prevenção de malware e controle de extensões. Validar e melhorar suas defesas continuamente: aborda ameaças novas e em evolução por meio de atualizações contínuas das defesas contra riscos de exfiltração e malware. Gerenciar e coordenar os esforços de defesa cibernética pelo controle de missão: gerenciar e controlar o acesso do usuário final a recursos sensíveis, incluindo controles de acesso granulares.
Google Workspace	Gerenciar e coordenar os esforços de defesa cibernética pelo controle de missão: gerenciar e controlar o acesso do usuário final a recursos sensíveis, incluindo controles de acesso granulares.
Network Intelligence Center	Usar a função de inteligência em todos os aspectos da defesa cibernética: oferece visibilidade do desempenho da rede e detecta padrões de tráfego incomuns ou transferências de dados.
Cloud NGFW	Validar e melhorar suas defesas continuamente: otimiza a detecção e a resposta a ameaças com base na rede por meio da integração com o Security Command Center e o Google SecOps.

Implementar a segurança com o modelo Shift Left

Uso seguro e responsável da IA

Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.

Última atualização 2025-02-05 UTC.