Dieser Grundsatz in der Säule „Sicherheit“ des Google Cloud Well-Architected Framework enthält Empfehlungen zum Aufbau robuster Cyberabwehrprogramme als Teil Ihrer allgemeinen Sicherheitsstrategie.
Dieser Grundsatz betont die Verwendung von Threat Intelligence, um Ihre Bemühungen in den wichtigsten Cyberabwehrfunktionen proaktiv zu steuern, wie in The Defender's Advantage: A guide to activating cyber defensedefiniert.
Übersicht über den Grundsatz
Wenn Sie Ihr System vor Cyberangriffen schützen, haben Sie einen erheblichen, ungenutzten Vorteil gegenüber Angreifern. Wie der Gründer von Mandiant sagt, „Sie wissen im Prinzip mehr über Ihr Unternehmen, Ihre Systeme, Ihre Topologie und Ihre Infrastruktur als jeder Angreifende. Das ist ein unglaublicher Vorteil.“ Damit Sie diesen Vorteil nutzen können, enthält dieses Dokument Empfehlungen zu proaktiven und strategischen Cyberabwehrmaßnahmen, die dem Framework „The Defender's Advantage“ zugeordnet sind.
Empfehlungen
Wenn Sie eine präventive Cyberabwehr für Ihre Cloud-Arbeitslasten implementieren möchten, beachten Sie die Empfehlungen in den folgenden Abschnitten:
- Funktionen der Cyber Defense integrieren
- Verwenden Sie die Intelligence-Funktion in allen Aspekten der Cyber Defense
- Vorteil des Verteidigers verstehen und nutzen
- Verteidigungsmaßnahmen kontinuierlich validieren und verbessern
- Cyberabwehrmaßnahmen verwalten und koordinieren
Funktionen der Cyber Defense integrieren
Diese Empfehlung ist für alle Schwerpunktbereiche relevant.
Das Framework „The Defender's Advantage“ identifiziert sechs wichtige Funktionen der Cyberabwehr: Threat Intelligence, Bedrohungserkennung, Reaktion, Validierung, Aufspüren und Mission Control. Jede Funktion konzentriert sich auf einen bestimmten Teil der Cyberabwehr, aber diese Funktionen müssen gut koordiniert sein und zusammenarbeiten, um eine effektive Verteidigung zu ermöglichen. Konzentrieren Sie sich auf den Aufbau eines robusten und integrierten Systems, in dem jede Funktion die anderen unterstützt. Wenn Sie einen schrittweisen Ansatz für die Einführung benötigen, empfehlen wir die folgende Reihenfolge. Je nach Ihrer aktuellen Cloud-Reife, Ressourcentopologie und spezifischen Bedrohungslandschaft sollten Sie bestimmte Funktionen priorisieren.
- Threat Intelligence: Die Funktion „Threat Intelligence“ steuert alle anderen Funktionen. Die Bedrohungslandschaft zu verstehen, einschließlich der wahrscheinlichsten Angreifer, ihrer Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures, TTPs) und der potenziellen Auswirkungen, ist entscheidend, um Maßnahmen im gesamten Programm zu priorisieren. Die Funktion „Threat Intelligence“ ist für die Identifizierung von Stakeholdern, die Definition von Anforderungen an die Threat Intelligence, die Datenerhebung, -analyse und ‑weitergabe, die Automatisierung und die Erstellung eines Cyberbedrohungsprofils verantwortlich.
- Bedrohungserkennung und Reaktion: Diese Funktionen bilden den Kern der aktiven Verteidigung, bei der schädliche Aktivitäten erkannt und behoben werden. Diese Funktionen sind erforderlich, um auf die Informationen zu reagieren, die von der Funktion „Threat Intelligence“ erfasst werden. Die Funktion „Bedrohungserkennung“ erfordert einen methodischen Ansatz, bei dem Erkennungen an die TTPs von Angreifern angepasst und eine robuste Protokollierung sichergestellt wird. Die Funktion „Reaktion“ muss sich auf die erste Triage, die Datenerhebung und die Behebung von Vorfällen konzentrieren.
- Validierung: Die Funktion „Validierung“ ist ein kontinuierlicher Prozess, der sicherstellt, dass Ihr Sicherheitskontrollsystem auf dem neuesten Stand ist und wie vorgesehen funktioniert. Diese Funktion sorgt dafür, dass Ihr Unternehmen die Angriffsfläche versteht, weiß, wo Sicherheitslücken vorhanden sind, und die Effektivität der Kontrollen misst. Die Sicherheitsvalidierung ist auch eine wichtige Komponente des Lebenszyklus der Erkennungstechnik und muss verwendet werden, um Erkennungslücken zu identifizieren und neue Erkennungen zu erstellen.
- Aufspüren: Die Funktion „Aufspüren“ umfasst die proaktive Suche nach aktiven Bedrohungen in einer Umgebung. Diese Funktion muss implementiert werden, wenn Ihre Organisation ein grundlegendes Reifelevel in den Funktionen „Bedrohungserkennung“ und „Reaktion“ erreicht hat. Die Funktion „Aufspüren“ erweitert die Erkennungsfunktionen und hilft, Lücken und Schwachstellen in den Kontrollen zu identifizieren. Die Funktion „Aufspüren“ muss auf spezifischen Bedrohungen basieren. Diese erweiterte Funktion profitiert von robusten Funktionen für Threat Intelligence, Bedrohungserkennung und Reaktion.
- Mission Control: Die Funktion „Mission Control“ fungiert als zentraler Hub, der alle anderen Funktionen miteinander verbindet. Diese Funktion ist für Strategie, Kommunikation und entscheidende Maßnahmen im gesamten Cyberabwehrprogramm verantwortlich. Sie sorgt dafür, dass alle Funktionen zusammenarbeiten und auf die Geschäftsziele Ihrer Organisation abgestimmt sind. Sie müssen ein klares Verständnis des Zwecks der Funktion „Mission Control“ entwickeln, bevor Sie sie verwenden, um die anderen Funktionen zu verbinden.
Funktion „Threat Intelligence“ in allen Aspekten der Cyberabwehr verwenden
Diese Empfehlung ist für alle Schwerpunktbereiche relevant.
Diese Empfehlung hebt die Funktion „Threat Intelligence“ als Kernbestandteil eines starken Cyberabwehrprogramms hervor. Threat Intelligence liefert Informationen zu Bedrohungsakteuren, ihren TTPs und Gefahrenindikatoren (Indicators of Compromise, IOCs). Diese Informationen sollten Maßnahmen in allen Cyberabwehrfunktionen beeinflussen und priorisieren. Ein auf Threat Intelligence basierender Ansatz hilft Ihnen, die Verteidigungsmaßnahmen an den Bedrohungen auszurichten, die sich am wahrscheinlichsten auf Ihre Organisation auswirken. Dieser Ansatz trägt auch zur effizienten Zuweisung und Priorisierung von Ressourcen bei.
Mit den folgenden Google Cloud Produkten und Funktionen können Sie Threat Intelligence nutzen , um Ihre Sicherheitsvorgänge zu steuern. Mit diesen Funktionen können Sie potenzielle Bedrohungen, Sicherheitslücken und Risiken identifizieren und priorisieren und dann geeignete Maßnahmen planen und implementieren.
Google Security Operations (Google SecOps) hilft Ihnen, Sicherheitsdaten zentral zu speichern und zu analysieren. Mit Google SecOps können Sie Logs einem gemeinsamen Modell zuordnen, die Logs anreichern und die Logs mit Zeitachsen verknüpfen, um einen umfassenden Überblick über Angriffe zu erhalten. Sie können auch Erkennungsregeln erstellen, den Abgleich von IOCs einrichten und Aktivitäten zur Bedrohungssuche ausführen. Die Plattform bietet auch ausgewählte Erkennungen, die vordefinierte und verwaltete Regeln sind, mit denen Sie Bedrohungen identifizieren können. Google SecOps kann auch in die hochaktuellen Informationen von Mandiant integriert werden. Google SecOps bietet eine einzigartige Integration von branchenführender KI sowie Threat Intelligence von Mandiant und Google VirusTotal. Diese Integration ist entscheidend für die Bedrohungsbewertung und das Verständnis, wer es auf Ihre Organisation abgesehen hat und welche potenziellen Auswirkungen dies hat.
Security Command Center Enterprise, das auf Google AI basiert, ermöglicht es Sicherheitsexperten, Sicherheitsprobleme in mehreren Cloud-Umgebungen effizient zu bewerten, zu untersuchen und darauf zu reagieren. Zu den Sicherheitsexperten, die von Security Command Center profitieren können, gehören Analysten im Security Operations Center (SOC), Analysten für Sicherheitslücken und Sicherheitsstatus sowie Compliance-Manager. Security Command Center Enterprise reichert Sicherheitsdaten an, bewertet Risiken und priorisiert Sicherheitslücken. Diese Lösung bietet Teams die Informationen, die sie benötigen, um Sicherheitslücken mit hohem Risiko zu beheben und aktive Bedrohungen zu beseitigen.
Chrome Enterprise Premium bietet Bedrohungs- und Datenschutz, der Nutzer vor Exfiltrationsrisiken schützt und verhindert, dass Malware auf von Unternehmen verwaltete Geräte gelangt. Chrome Enterprise Premium bietet auch Einblicke in unsichere oder potenziell unsichere Aktivitäten, die im Browser auftreten können.
Das Netzwerk-Monitoring mit Tools wie Network Intelligence Center, bietet Einblicke in die Netzwerkleistung. Das Netzwerk-Monitoring kann Ihnen auch helfen, ungewöhnliche Verkehrsmuster oder Datenübertragungsmengen zu erkennen, die auf einen Angriff oder einen Datenexfiltrationsversuch hindeuten könnten.
Vorteil des Verteidigers verstehen und nutzen
Diese Empfehlung ist für alle Schwerpunktbereiche relevant.
Wie bereits erwähnt, haben Sie einen Vorteil gegenüber Angreifern, wenn Sie ein umfassendes Verständnis Ihres Unternehmens, Ihrer Systeme, Ihrer Topologie und Ihrer Infrastruktur haben. Um diesen Wissensvorteil zu nutzen, verwenden Sie diese Daten zu Ihren Umgebungen bei der Planung der Cyberabwehr.
Google Cloud bietet die folgenden Funktionen, mit denen Sie proaktiv Sichtbarkeit erhalten, um Bedrohungen zu erkennen, Risiken zu verstehen und rechtzeitig zu reagieren, um potenzielle Schäden zu minimieren:
Mit Chrome Enterprise Premium können Sie die Sicherheit für Unternehmensgeräte verbessern, indem Sie Nutzer vor Exfiltrationsrisiken schützen. Es erweitert die Dienste von Sensitive Data Protection auf den Browser und verhindert Malware. Außerdem bietet es Funktionen wie Schutz vor Malware und Phishing, um die Gefährdung durch unsichere Inhalte zu verhindern. Darüber hinaus haben Sie die Möglichkeit, die Installation von Erweiterungen zu steuern, um unsichere oder nicht geprüfte Erweiterungen zu verhindern. Mit diesen Funktionen können Sie eine sichere Grundlage für Ihre Abläufe schaffen.
Security Command Center Enterprise bietet eine kontinuierliche Risikoanalyse die eine umfassende und fortlaufende Risikoanalyse und ‑verwaltung ermöglicht. Die Funktion „Risikoanalyse“ reichert Sicherheitsdaten an, bewertet Risiken und priorisiert Sicherheitslücken, um Probleme schnell zu beheben. Mit Security Command Center kann Ihre Organisation proaktiv Schwachstellen erkennen und Maßnahmen zur Risikominimierung implementieren.
Google SecOps zentralisiert Sicherheitsdaten und bietet angereicherte Logs mit Zeitachsen. So können Verteidiger proaktiv aktive Kompromittierungen erkennen und die Verteidigungsmaßnahmen an das Verhalten der Angreifer anpassen.
Das Netzwerk-Monitoring hilft, ungewöhnliche Netzwerkaktivitäten zu erkennen, die auf einen Angriff hindeuten könnten, und liefert Frühindikatoren, mit denen Sie Maßnahmen ergreifen können. Um Ihre Daten proaktiv vor Diebstahl zu schützen, sollten Sie kontinuierlich auf Daten-Exfiltration überwachen und die bereitgestellten Tools verwenden.
Verteidigungsmaßnahmen kontinuierlich validieren und verbessern
Diese Empfehlung ist für alle Schwerpunktbereiche relevant.
Diese Empfehlung betont die Bedeutung gezielter Tests und der kontinuierlichen Validierung von Kontrollen, um Stärken und Schwächen über die gesamte Angriffsfläche hinweg zu verstehen. Dazu gehört die Validierung der Effektivität von Kontrollen, Abläufen und Mitarbeitern mit Methoden wie den folgenden:
- Penetrationstests
- Übungen für Red- und Blue-Teams sowie Purple-Teams
- Theoretische Übungen
Sie müssen auch aktiv nach Bedrohungen suchen und die Ergebnisse verwenden, um die Erkennung und Sichtbarkeit zu verbessern. Verwenden Sie die folgenden Tools, um Ihre Verteidigungsmaßnahmen kontinuierlich auf reale Bedrohungen zu testen und zu validieren:
Security Command Center Enterprise bietet eine kontinuierliche Risikoanalyse, um Sicherheitslücken zu bewerten und die Behebung zu priorisieren. So können Sie Ihren allgemeinen Sicherheitsstatus kontinuierlich bewerten. Durch die Priorisierung von Problemen trägt Security Command Center Enterprise dazu bei, dass Ressourcen effektiv genutzt werden.
Google SecOps bietet Threat Hunting und kuratierte Erkennungen, mit denen Sie proaktiv Schwachstellen in Ihren Kontrollen erkennen können. Diese Funktion ermöglicht das kontinuierliche Testen und Verbessern Ihrer Fähigkeit, Bedrohungen zu erkennen.
Chrome Enterprise Premium bietet Funktionen zum Schutz vor Bedrohungen und Datenschutz, mit denen Sie neue und sich entwickelnde Bedrohungen angehen und Ihre Verteidigungsmaßnahmen gegen Exfiltrationsrisiken und Malware kontinuierlich aktualisieren können.
Cloud Next Generation Firewall (Cloud NGFW) bietet Netzwerk-Monitoring und Monitoring der Datenexfiltration. Mit diesen Funktionen können Sie die Effektivität Ihres aktuellen Sicherheitsstatus validieren und potenzielle Schwachstellen erkennen. Das Monitoring der Datenexfiltration hilft Ihnen, die Stärke der Datenschutzmechanismen Ihrer Organisation zu validieren und bei Bedarf proaktive Anpassungen vorzunehmen. Wenn Sie Bedrohungsergebnisse aus Cloud NGFW in Security Command Center und Google SecOps integrieren, können Sie die netzwerkbasierte Bedrohungserkennung optimieren, die Reaktion auf Bedrohungen optimieren und Playbooks automatisieren. Weitere Informationen zu dieser Integration finden Sie unter Unifying Your Cloud Defenses: Security Command Center & Cloud NGFW Enterprise.
Cyberabwehrmaßnahmen verwalten und koordinieren
Diese Empfehlung ist für alle Schwerpunktbereiche relevant.
Wie bereits unter Funktionen der Cyberabwehr integrieren, beschrieben, verbindet die Funktion „Mission Control“ die anderen Funktionen des Cyberabwehrprogramms. Diese Funktion ermöglicht die Koordination und einheitliche Verwaltung im gesamten Programm. Außerdem hilft sie Ihnen, sich mit anderen Teams zu koordinieren, die nicht im Bereich Cybersicherheit tätig sind. Die Funktion „Mission Control“ fördert Eigenverantwortung und Verantwortlichkeit, erleichtert Agilität und Fachwissen und fördert Verantwortung und Transparenz.
Die folgenden Produkte und Funktionen können Ihnen bei der Implementierung der Funktion „Mission Control“ helfen:
- Security Command Center Enterprise fungiert als zentraler Hub für die Koordinierung und Verwaltung Ihrer Cyberabwehrmaßnahmen. Es vereint Tools, Teams und Daten sowie die integrierten Reaktionsfunktionen von Google SecOps. Security Command Center bietet eine klare Sichtbarkeit des Sicherheitsstatus Ihrer Organisation und ermöglicht die Identifizierung von Fehlkonfigurationen in verschiedenen Ressourcen.
- Google SecOps bietet eine Plattform für Teams, um auf Bedrohungen zu reagieren, indem sie Logs zuordnen und Zeitachsen erstellen. Sie können auch Erkennungsregeln definieren und nach Bedrohungen suchen.
- Google Workspace und Chrome Enterprise Premium helfen Ihnen, den Endnutzerzugriff auf sensible Ressourcen zu verwalten und zu steuern. Sie können detaillierte Zugriffssteuerungen basierend auf der Nutzeridentität und dem Kontext einer Anfrage definieren.
- Das Netzwerk-Monitoring bietet Einblicke in die Leistung von Netzwerkressourcen. Sie können Einblicke aus dem Netzwerk-Monitoring in Security Command Center und Google SecOps importieren, um sie zentral zu überwachen und mit anderen zeitachsenbasierten Datenpunkten zu korrelieren. Diese Integration hilft Ihnen, potenzielle Änderungen der Netzwerknutzung zu erkennen, die durch böswillige Aktivitäten verursacht werden, und darauf zu reagieren.
- Das Monitoring der Datenexfiltration hilft, mögliche Vorfälle von Datenverlust zu erkennen. Mit dieser Funktion können Sie effizient ein Incident Response Team mobilisieren, Schäden bewerten und weitere Daten-Exfiltrationen begrenzen. Sie können auch aktuelle Richtlinien und Kontrollen verbessern, um den Datenschutz zu gewährleisten.
Produktübersicht
In der folgenden Tabelle sind die in diesem Dokument beschriebenen Produkte und Funktionen aufgeführt und den zugehörigen Empfehlungen und Sicherheitsfunktionen zugeordnet.
| Google Cloud Produkt | Anwendbare Empfehlungen |
|---|---|
| Google SecOps |
Verwenden Sie die Intelligence-Funktion in allen Aspekten der Cyber Defense:
Ermöglicht Threat Hunting und den Abgleich von IOCs und lässt sich in Mandiant integrieren, um eine umfassende Bedrohungsbewertung zu ermöglichen.
Vorteil des Verteidigers verstehen und nutzen: Bietet ausgewählte Erkennungen und zentralisiert Sicherheitsdaten für die proaktive Erkennung von Kompromittierungen. Verteidigungsmaßnahmen kontinuierlich validieren und verbessern: Ermöglicht das kontinuierliche Testen und Verbessern der Funktionen zur Bedrohungserkennung.Cyberabwehrmaßnahmen über Mission Control verwalten und koordinieren: Bietet eine Plattform für die Reaktion auf Bedrohungen, die Log Analyse und die Erstellung von Zeitachsen. |
| Security Command Center Enterprise |
Verwenden Sie die Intelligence-Funktion in allen Aspekten der Cyber Defense:
Nutzt KI, um Risiken zu bewerten, Sicherheitslücken zu priorisieren und umsetzbare Informationen zur Behebung zu liefern.
Vorteil des Verteidigers verstehen und nutzen: Bietet eine umfassende Risikoanalyse, die Priorisierung von Sicherheitslücken und die proaktive Erkennung von Schwachstellen. Verteidigungsmaßnahmen kontinuierlich validieren und verbessern: Bietet eine fortlaufende Bewertung des Sicherheitsstatus und die Priorisierung von Ressourcen.Cyberabwehrmaßnahmen über Mission Control verwalten und koordinieren: Fungiert als zentraler Hub für die Verwaltung und Koordinierung von Cyberabwehrmaßnahmen. |
| Chrome Enterprise Premium |
Funktion „Threat Intelligence“ in allen Aspekten der Cyberabwehr verwenden:
Schützt Nutzer vor Exfiltrationsrisiken, verhindert Malware und
bietet Einblicke in unsichere Browseraktivitäten.
Vorteil des Verteidigers verstehen und nutzen: Verbessert die Sicherheit für Unternehmensgeräte durch Datenschutz, Malware-Prävention und die Steuerung von Erweiterungen. Verteidigungsmaßnahmen kontinuierlich validieren und verbessern: Geht neue und sich entwickelnde Bedrohungen an, indem die Verteidigungsmaßnahmen gegen Exfiltrationsrisiken und Malware kontinuierlich aktualisiert werden.Cyberabwehrmaßnahmen über Mission Control verwalten und koordinieren: Ermöglicht die Verwaltung und Steuerung des Endnutzerzugriffs auf sensible Ressourcen, einschließlich detaillierter Zugriffssteuerungen. |
| Google Workspace | Cyberabwehrmaßnahmen über Mission Control verwalten und koordinieren: Ermöglicht die Verwaltung und Steuerung des Endnutzerzugriffs auf sensible Ressourcen, einschließlich detaillierter Zugriffssteuerungen. |
| Network Intelligence Center | Verwenden Sie die Intelligence-Funktion in allen Aspekten der Cyber Defense: Bietet Einblicke in die Netzwerkleistung und erkennt ungewöhnliche Verkehrsmuster oder Datenübertragungen. |
| Cloud NGFW | Verteidigungsmaßnahmen kontinuierlich validieren und verbessern: Optimiert die netzwerkbasierte Bedrohungserkennung und ‑abwehr durch die Integration in Security Command Center und Google SecOps. |