Präventive Cyberabwehr implementieren

Dieser Grundsatz in der Säule „Sicherheit“ des Google Cloud Well-Architected Framework enthält Empfehlungen zum Aufbau robuster Cyber-Defense-Programme als Teil Ihrer allgemeinen Sicherheitsstrategie.

Dieser Grundsatz betont die Verwendung von Threat Intelligence, um Ihre Bemühungen in den wichtigsten Cyber-Defense-Funktionen proaktiv zu steuern, wie in The Defender's Advantage: A guide to activating cyber defensebeschrieben.

Übersicht über den Grundsatz

Wenn Sie Ihr System vor Cyberangriffen schützen, haben Sie einen erheblichen, ungenutzten Vorteil gegenüber Angreifern. Wie der Gründer von Mandiant sagt, „Sie wissen im Prinzip mehr über Ihr Unternehmen, Ihre Systeme, Ihre Topologie und Ihre Infrastruktur als jeder Angreifende. Das ist ein unglaublicher Vorteil.“ Damit Sie diesen Vorteil nutzen können, enthält dieses Dokument Empfehlungen zu proaktiven und strategischen Cyber-Defense-Praktiken, die dem Framework für intelligente Cyberabwehr zugeordnet sind.

Empfehlungen

Wenn Sie präventive Cyber Defense für Ihre Cloud-Arbeitslasten implementieren möchten, beachten Sie die Empfehlungen in den folgenden Abschnitten:

• Funktionen der Cyber Defense integrieren
• Funktion „Intelligence“ in allen Aspekten der Cyber Defense nutzen
• Vorteil des Verteidigers verstehen und nutzen
• Verteidigungsmaßnahmen kontinuierlich validieren und verbessern
• Cyberabwehr koordinieren und verwalten

Funktionen der Cyber Defense integrieren

Diese Empfehlung ist für alle Schwerpunktbereiche relevant.

Das Framework für Cyber Defense Advantage identifiziert sechs wichtige Funktionen der Cyber Defense: Intelligence, Detect, Respond, Validate, Hunt und Mission Control. Jede Funktion konzentriert sich auf einen bestimmten Teil der Cyberabwehr, aber diese Funktionen müssen gut koordiniert sein und zusammenarbeiten, um eine effektive Verteidigung zu ermöglichen. Konzentrieren Sie sich auf den Aufbau eines robusten und integrierten Systems, in dem jede Funktion die anderen unterstützt. Wenn Sie einen schrittweisen Ansatz für die Einführung benötigen, können Sie die folgende Reihenfolge verwenden. Je nach Ihrer aktuellen Cloud-Reife, Ressourcentopologie und spezifischen Bedrohungslandschaft sollten Sie bestimmte Funktionen priorisieren.

1. Threat Intelligence: Die Funktion „Threat Intelligence“ steuert alle anderen Funktionen. Die Bedrohungslandschaft zu verstehen, einschließlich der wahrscheinlichsten Angreifer, ihrer Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures, TTPs) und der potenziellen Auswirkungen, ist entscheidend, um Maßnahmen im gesamten Programm zu priorisieren. Die Funktion „Threat Intelligence“ ist für die Identifizierung von Stakeholdern, die Definition von Anforderungen an Threat Intelligence, die Datenerhebung, -analyse und ‑verteilung, die Automatisierung und die Erstellung eines Cyberbedrohungsprofils verantwortlich.
2. Bedrohungserkennung und Reaktion: Diese Funktionen bilden den Kern der aktiven Verteidigung, bei der schädliche Aktivitäten erkannt und behoben werden. Diese Funktionen sind erforderlich, um auf die Informationen zu reagieren, die von der Funktion „Threat Intelligence“ erfasst werden. Die Funktion „Bedrohungserkennung“ erfordert einen methodischen Ansatz, bei dem Erkennungen an die TTPs von Angreifern angepasst und eine robuste Protokollierung sichergestellt wird. Die Funktion „Reaktion“ muss sich auf die erste Triage, die Datenerhebung und die Behebung von Vorfällen konzentrieren.
3. Validierung: Die Funktion „Validierung“ ist ein kontinuierlicher Prozess, der sicherstellt, dass Ihr Sicherheitskontrollsystem auf dem neuesten Stand ist und wie vorgesehen funktioniert. Diese Funktion sorgt dafür, dass Ihr Unternehmen die Angriffsfläche versteht, Sicherheitslücken kennt und die Effektivität von Kontrollen misst. Die Sicherheitsvalidierung ist auch eine wichtige Komponente des Lebenszyklus der Erkennungstechnik und muss verwendet werden, um Erkennungslücken zu identifizieren und neue Erkennungen zu erstellen.
4. Aufspüren: Die Funktion „Aufspüren“ umfasst die proaktive Suche nach aktiven Bedrohungen in einer Umgebung. Diese Funktion muss implementiert werden, wenn Ihre Organisation ein grundlegendes Reifelevel bei den Funktionen „Bedrohungserkennung“ und „Reaktion“ erreicht hat. Die Funktion „Aufspüren“ erweitert die Erkennungsfunktionen und hilft, Lücken und Schwachstellen in den Kontrollen zu identifizieren. Die Funktion „Aufspüren“ muss auf bestimmten Bedrohungen basieren. Diese erweiterte Funktion profitiert von robusten Funktionen für Threat Intelligence, Bedrohungserkennung und Reaktion.
5. Mission Control: Die Funktion „Mission Control“ fungiert als zentraler Hub, der alle anderen Funktionen miteinander verbindet. Diese Funktion ist für Strategie, Kommunikation und entscheidende Maßnahmen im gesamten Cyber-Defense-Programm verantwortlich. Sie sorgt dafür, dass alle Funktionen zusammenarbeiten und auf die Geschäftsziele Ihrer Organisation abgestimmt sind. Sie müssen ein klares Verständnis des Zwecks der Funktion „Mission Control“ entwickeln, bevor Sie sie verwenden, um die anderen Funktionen zu verbinden.

Funktion „Threat Intelligence“ in allen Aspekten der Cyberabwehr nutzen

Diese Empfehlung ist für alle Schwerpunktbereiche relevant.

Diese Empfehlung hebt die Funktion „Threat Intelligence“ als Kernbestandteil eines starken Cyber-Defense-Programms hervor. Threat Intelligence liefert Informationen zu Bedrohungsakteuren, ihren TTPs und Gefahrenindikatoren (Indicators of Compromise, IOCs). Diese Informationen sollten Maßnahmen in allen Cyber-Defense-Funktionen beeinflussen und priorisieren. Ein auf Threat Intelligence basierender Ansatz hilft Ihnen, die Verteidigungsmaßnahmen an den Bedrohungen auszurichten, die Ihr Unternehmen am wahrscheinlichsten betreffen. Dieser Ansatz hilft auch bei der effizienten Zuweisung und Priorisierung von Ressourcen.

Mit den folgenden Google Cloud Produkten und Funktionen können Sie Threat Intelligence nutzen , um Ihre Sicherheitsvorgänge zu steuern. Mit diesen Funktionen können Sie potenzielle Bedrohungen, Sicherheitslücken und Risiken identifizieren und priorisieren und dann geeignete Maßnahmen planen und implementieren.

• Google Security Operations (Google SecOps) hilft Ihnen, Sicherheitsdaten zentral zu speichern und zu analysieren. Mit Google SecOps können Sie Logs einem gemeinsamen Modell zuordnen, die Logs anreichern und die Logs mit Zeitachsen verknüpfen, um einen umfassenden Überblick über Angriffe zu erhalten. Sie können auch Erkennungsregeln erstellen, den Abgleich von IOCs einrichten und Aktivitäten zur Bedrohungssuche ausführen. Die Plattform bietet auch ausgewählte Erkennungen, die vordefinierte und verwaltete Regeln sind, mit denen Sie Bedrohungen identifizieren können. Google SecOps kann auch in die Threat Intelligence von Mandiant integriert werden. Google SecOps bietet eine einzigartige Integration von branchenführender KI sowie Threat Intelligence von Mandiant und Google VirusTotal. Diese Integration ist entscheidend für die Bedrohungsbewertung und das Verständnis, wer es auf Ihr Unternehmen abgesehen hat und welche potenziellen Auswirkungen das haben kann.

• Security Command Center Enterprise, das auf Google AI basiert, ermöglicht es Sicherheitsexperten, Sicherheitsprobleme in mehreren Cloud-Umgebungen effizient zu bewerten, zu untersuchen und darauf zu reagieren. Zu den Sicherheitsexperten, die von Security Command Center profitieren können, gehören Analysten im Security Operations Center (SOC), Analysten für Sicherheitslücken und ‑status sowie Compliance-Manager. Security Command Center Enterprise reichert Sicherheitsdaten an, bewertet Risiken und priorisiert Sicherheitslücken. Diese Lösung bietet Teams die Informationen, die sie benötigen, um Sicherheitslücken mit hohem Risiko zu beheben und aktive Bedrohungen zu beseitigen.

• Chrome Enterprise Premium bietet Bedrohungs- und Datenschutz, der Nutzer vor Exfiltrationsrisiken schützt und verhindert, dass Malware auf von Unternehmen verwaltete Geräte gelangt. Chrome Enterprise Premium bietet auch Einblicke in unsichere oder potenziell unsichere Aktivitäten, die im Browser auftreten können.

• Das Netzwerk-Monitoring mit Tools wie Network Intelligence Center, bietet Einblicke in die Netzwerkleistung. Das Netzwerk-Monitoring kann Ihnen auch helfen, ungewöhnliche Verkehrsmuster oder Datenübertragungsmengen zu erkennen, die auf einen Angriff oder einen Datenexfiltrationsversuch hindeuten könnten.

Vorteil des Verteidigers verstehen und nutzen

Diese Empfehlung ist für alle Schwerpunktbereiche relevant.

Wie bereits erwähnt, haben Sie einen Vorteil gegenüber Angreifern, wenn Sie ein umfassendes Verständnis Ihres Unternehmens, Ihrer Systeme, Ihrer Topologie und Ihrer Infrastruktur haben. Um diesen Wissensvorteil zu nutzen, verwenden Sie diese Daten zu Ihren Umgebungen bei der Planung der Cyberabwehr.

Google Cloud bietet die folgenden Funktionen, mit denen Sie proaktiv Sichtbarkeit erhalten, um Bedrohungen zu erkennen, Risiken zu verstehen und rechtzeitig zu reagieren, um potenzielle Schäden zu minimieren:

• Mit Chrome Enterprise Premium können Sie die Sicherheit für Unternehmensgeräte verbessern, indem Sie Nutzer vor Exfiltrationsrisiken schützen. Es erweitert die Dienste von Sensitive Data Protection auf den Browser und verhindert Malware. Außerdem bietet es Funktionen wie Schutz vor Malware und Phishing, um die Gefährdung durch unsichere Inhalte zu verhindern. Darüber hinaus haben Sie die Kontrolle über die Installation von Erweiterungen, um unsichere oder nicht geprüfte Erweiterungen zu verhindern. Mit diesen Funktionen können Sie eine sichere Grundlage für Ihre Abläufe schaffen.

• Security Command Center Enterprise bietet eine kontinuierliche Risiko-Engine die eine umfassende und fortlaufende Risikoanalyse und ‑verwaltung ermöglicht. Die Funktion „Risiko-Engine“ reichert Sicherheitsdaten an, bewertet Risiken und priorisiert Sicherheitslücken, um Probleme schnell zu beheben. Mit Security Command Center kann Ihre Organisation proaktiv Schwachstellen erkennen und Maßnahmen zur Risikominimierung implementieren.

• Google SecOps zentralisiert Sicherheitsdaten und bietet angereicherte Logs mit Zeitachsen. So können Verteidiger aktive Kompromittierungen proaktiv erkennen und die Verteidigungsmaßnahmen an das Verhalten von Angreifern anpassen.

• Das Netzwerk-Monitoring hilft, ungewöhnliche Netzwerkaktivitäten zu erkennen, die auf einen Angriff hindeuten könnten, und liefert Frühindikatoren, mit denen Sie Maßnahmen ergreifen können. Um Ihre Daten proaktiv vor Diebstahl zu schützen, sollten Sie die Datenexfiltration kontinuierlich überwachen und die bereitgestellten Tools verwenden.

Verteidigungsmaßnahmen kontinuierlich validieren und verbessern

Diese Empfehlung ist für alle Schwerpunktbereiche relevant.

Diese Empfehlung unterstreicht die Bedeutung gezielter Tests und der kontinuierlichen Validierung von Kontrollen, um Stärken und Schwächen über die gesamte Angriffsfläche hinweg zu verstehen. Dazu gehört die Validierung der Effektivität von Kontrollen, Abläufen und Mitarbeitern mit Methoden wie den folgenden:

• Penetrationstests
• Übungen für Red- und Blue-Teams und Purple-Teams
• Theoretische Übungen

Sie müssen auch aktiv nach Bedrohungen suchen und die Ergebnisse verwenden, um die Erkennung und Sichtbarkeit zu verbessern. Verwenden Sie die folgenden Tools, um Ihre Verteidigungsmaßnahmen kontinuierlich auf reale Bedrohungen zu testen und zu validieren:

• Security Command Center Enterprise bietet eine kontinuierliche Risiko-Engine, mit der Sicherheitslücken bewertet und die Behebung priorisiert werden kann. So können Sie Ihren allgemeinen Sicherheitsstatus kontinuierlich bewerten. Durch die Priorisierung von Problemen trägt Security Command Center Enterprise dazu bei, dass Ressourcen effektiv genutzt werden.

• Google SecOps bietet Threat Hunting und ausgewählte Erkennungen, mit denen Sie Schwachstellen in Ihren Kontrollen proaktiv erkennen können. Diese Funktion ermöglicht das kontinuierliche Testen und Verbessern Ihrer Fähigkeit, Bedrohungen zu erkennen.

• Chrome Enterprise Premium bietet Funktionen zum Schutz vor Bedrohungen und Datenschutz, mit denen Sie neue und sich entwickelnde Bedrohungen angehen und Ihre Verteidigungsmaßnahmen gegen Exfiltrationsrisiken und Malware kontinuierlich aktualisieren können.

• Cloud Next Generation Firewall (Cloud NGFW) bietet Netzwerk-Monitoring und Monitoring der Datenexfiltration. Mit diesen Funktionen können Sie die Effektivität Ihres aktuellen Sicherheitsstatus validieren und potenzielle Schwachstellen erkennen. Das Monitoring der Datenexfiltration hilft Ihnen, die Stärke der Datenschutzmechanismen Ihrer Organisation zu validieren und bei Bedarf proaktive Anpassungen vorzunehmen. Wenn Sie Bedrohungsergebnisse aus Cloud NGFW in Security Command Center und Google SecOps integrieren, können Sie die netzwerkbasierte Bedrohungserkennung optimieren, die Reaktion auf Bedrohungen optimieren und Playbooks automatisieren. Weitere Informationen zu dieser Integration finden Sie unter Cloud-Verteidigungsmaßnahmen vereinheitlichen: Security Command Center & Cloud NGFW Enterprise.

Cyberabwehr koordinieren und verwalten

Diese Empfehlung ist für alle Schwerpunktbereiche relevant.

Wie bereits unter Funktionen der Cyberabwehr integrieren, beschrieben, verbindet die Funktion „Mission Control“ die anderen Funktionen des Cyber-Defense-Programms. Diese Funktion ermöglicht die Koordination und einheitliche Verwaltung im gesamten Programm. Außerdem hilft sie Ihnen bei der Koordination mit anderen Teams, die nicht im Bereich Cybersicherheit tätig sind. Die Funktion „Mission Control“ fördert Eigenverantwortung und Verantwortlichkeit, erleichtert Agilität und Fachwissen und fördert Verantwortung und Transparenz.

Die folgenden Produkte und Funktionen können Ihnen bei der Implementierung der Funktion „Mission Control“ helfen:

• Security Command Center Enterprise fungiert als zentraler Hub für die Koordinierung und Verwaltung Ihrer Cyber-Defense-Vorgänge. Es vereint Tools, Teams und Daten sowie die integrierten Reaktionsfunktionen von Google SecOps. Security Command Center bietet einen klaren Überblick über den Sicherheitsstatus Ihrer Organisation und ermöglicht die Erkennung von Fehlkonfigurationen in verschiedenen Ressourcen.
• Google SecOps bietet eine Plattform für Teams, um auf Bedrohungen zu reagieren, indem sie Logs zuordnen und Zeitachsen erstellen. Sie können auch Erkennungsregeln definieren und nach Bedrohungen suchen.
• Google Workspace und Chrome Enterprise Premium helfen Ihnen, den Zugriff von Endnutzern auf sensible Ressourcen zu verwalten und zu steuern. Sie können detaillierte Zugriffskontrollen basierend auf der Nutzeridentität und dem Kontext einer Anfrage definieren.
• Das Netzwerk-Monitoring bietet Einblicke in die Leistung von Netzwerkressourcen. Sie können Einblicke aus dem Netzwerk-Monitoring in Security Command Center und Google SecOps importieren, um sie zentral zu überwachen und mit anderen zeitachsenbasierten Datenpunkten zu korrelieren. Diese Integration hilft Ihnen, potenzielle Änderungen bei der Netzwerknutzung zu erkennen und darauf zu reagieren, die durch böswillige Aktivitäten verursacht werden.
• Das Monitoring der Datenexfiltration hilft, mögliche Vorfälle von Datenverlust zu erkennen. Mit dieser Funktion können Sie effizient ein Team für die Reaktion auf Vorfälle mobilisieren, Schäden bewerten und weitere Datenexfiltrationen begrenzen. Sie können auch aktuelle Richtlinien und Kontrollen verbessern, um den Datenschutz zu gewährleisten.

Produktübersicht

In der folgenden Tabelle sind die in diesem Dokument beschriebenen Produkte und Funktionen aufgeführt und den zugehörigen Empfehlungen und Sicherheitsfunktionen zugeordnet.

Google Cloud Produkt	Anwendbare Empfehlungen
Google SecOps	Nutzen Sie die Intelligence-Funktion in allen Aspekten der Cyber Defense: Vorteil des Verteidigers verstehen und nutzen: Bietet ausgewählte Erkennungen und zentralisiert Sicherheitsdaten für die proaktive Erkennung von Kompromittierungen. Verteidigungsmaßnahmen kontinuierlich validieren und verbessern: Ermöglicht das kontinuierliche Testen und Verbessern der Funktionen zur Bedrohungserkennung. Cyberabwehr über Mission Control koordinieren und verwalten: Bietet eine Plattform für die Reaktion auf Bedrohungen, die Log Analyse und die Erstellung von Zeitachsen.
Security Command Center Enterprise	Nutzen Sie die Intelligence-Funktion in allen Aspekten der Cyber Defense: Nutzt KI, um Risiken zu bewerten, Sicherheitslücken zu priorisieren und umsetzbare Informationen zur Behebung zu liefern. Vorteil des Verteidigers verstehen und nutzen: Bietet eine umfassende Risikoanalyse, die Priorisierung von Sicherheitslücken und die proaktive Erkennung von Schwachstellen. Verteidigungsmaßnahmen kontinuierlich validieren und verbessern: Bietet eine fortlaufende Bewertung des Sicherheitsstatus und die Priorisierung von Ressourcen. Cyberabwehr über Mission Control koordinieren und verwalten: Fungiert als zentraler Hub für die Verwaltung und Koordinierung von Cyber-Defense-Vorgängen.
Chrome Enterprise Premium	Funktion „Threat Intelligence“ in allen Aspekten der Cyberabwehr nutzen: Schützt Nutzer vor Exfiltrationsrisiken, verhindert Malware und bietet Einblicke in unsichere Browseraktivitäten. Vorteil des Verteidigers verstehen und nutzen: Verbessert die Sicherheit für Unternehmensgeräte durch Datenschutz, Malware-Prävention und Kontrolle über Erweiterungen. Verteidigungsmaßnahmen kontinuierlich validieren und verbessern: Geht neue und sich entwickelnde Bedrohungen durch kontinuierliche Aktualisierungen der Verteidigungsmaßnahmen gegen Exfiltrationsrisiken und Malware an. Cyberabwehr über Mission Control koordinieren und verwalten: Ermöglicht die Verwaltung und Steuerung des Zugriffs von Endnutzern auf sensible Ressourcen, einschließlich detaillierter Zugriffskontrollen.
Google Workspace	Cyberabwehr über Mission Control koordinieren und verwalten: Ermöglicht die Verwaltung und Steuerung des Zugriffs von Endnutzern auf sensible Ressourcen, einschließlich detaillierter Zugriffskontrollen.
Network Intelligence Center	Funktion „Threat Intelligence“ in allen Aspekten der Cyberabwehr nutzen: Bietet Einblicke in die Netzwerkleistung und erkennt ungewöhnliche Verkehrsmuster oder Datenübertragungen.
Cloud NGFW	Verteidigungsmaßnahmen kontinuierlich validieren und verbessern: Optimiert die netzwerkbasierte Bedrohungserkennung und ‑abwehr durch die Integration in Security Command Center und Google SecOps.