Este principio del pilar de seguridad del Google Cloud Framework de arquitectura proporciona recomendaciones para crear programas sólidos de defensa cibernética como parte de tu estrategia de seguridad general.
Este principio enfatiza el uso de la inteligencia contra amenazas para guiar tus esfuerzos en las funciones principales de defensa cibernética, como se define en La ventaja del defensor: una guía para activar la defensa cibernética.
Descripción general del principio
Cuando defiendes tu sistema contra ciberataques, tienes una ventaja significativa y subutilizada contra los atacantes. Como afirma el fundador de Mandiant, "Deberías saber más que cualquier atacante sobre tu empresa, tus sistemas, tu topología y tu infraestructura. Esta es una ventaja increíble". Para ayudarte a usar esta ventaja inherente, en este documento, se proporcionan recomendaciones sobre prácticas proactivas y estratégicas de defensa cibernética que se asignan al framework de The Defender's Advantage.
Recomendaciones
Para implementar la defensa cibernética preventiva para tus cargas de trabajo en la nube, considera las recomendaciones de las siguientes secciones:
- Integra las funciones de defensa cibernética
- Usa la función de inteligencia en todos los aspectos de la defensa cibernética
- Comprende y aprovecha la ventaja de tu defensor
- Valida y mejora tus defensas de forma continua
- Administra y coordina los esfuerzos de defensa cibernética
Integra las funciones de defensa cibernética
Esta recomendación es pertinente para todas las áreas de enfoque.
El framework de The Defender's Advantage identifica seis funciones esenciales de la defensa cibernética: inteligencia, detección, respuesta, validación, búsqueda y control de la misión. Cada función se enfoca en una parte única de la misión de defensa cibernética, pero estas funciones deben estar bien coordinadas y trabajar en conjunto para proporcionar una defensa eficaz. Concéntrate en crear un sistema sólido e integrado en el que cada función admita a las demás. Si necesitas un enfoque por etapas para la adopción, considera el siguiente orden sugerido. Según tu madurez actual en la nube, la topología de recursos y el panorama de amenazas específico, es posible que desees priorizar ciertas funciones.
- Inteligencia: La función de inteligencia guía todas las demás funciones. Comprender el panorama de amenazas, incluidos los atacantes más probables, sus tácticas, técnicas y procedimientos (TTP) y el posible impacto, es fundamental para priorizar las acciones en todo el programa. La función de inteligencia es responsable de la identificación de las partes interesadas, la definición de los requisitos de inteligencia, la recopilación, el análisis y la difusión de datos, la automatización y la creación de un perfil de ciberamenazas.
- Detección y respuesta: Estas funciones constituyen el núcleo de la defensa activa, que implica identificar y abordar la actividad maliciosa. Estas funciones son necesarias para actuar sobre la inteligencia que recopila la función de inteligencia. La función de detección requiere un enfoque metódico que alinee las detecciones con los TTP del atacante y garantice un registro sólido. La función de respuesta debe enfocarse en la clasificación inicial, la recopilación de datos y la corrección de incidentes.
- Validación: La función de validación es un proceso continuo que garantiza que tu ecosistema de control de seguridad esté actualizado y funcione según lo diseñado. Esta función garantiza que tu organización comprenda la superficie de ataque, sepa dónde existen vulnerabilidades y mida la eficacia de los controles. La validación de seguridad también es un componente importante del ciclo de vida de la ingeniería de detección y se debe usar para identificar brechas de detección y crear nuevas detecciones.
- Búsqueda: La función de búsqueda implica buscar de forma proactiva amenazas activas en un entorno. Esta función se debe implementar cuando tu organización tenga un nivel de referencia de madurez en las funciones de detección y respuesta. La función de búsqueda amplía las capacidades de detección y ayuda a identificar brechas y debilidades en los controles. La función de búsqueda debe basarse en amenazas específicas. Esta función avanzada se beneficia de una base de capacidades sólidas de inteligencia, detección y respuesta.
- Control de la misión: La función de control de la misión actúa como el centro que conecta todas las demás funciones. Esta función es responsable de la estrategia, la comunicación y la acción decisiva en todo tu programa de defensa cibernética. Garantiza que todas las funciones trabajen en conjunto y que estén alineadas con los objetivos comerciales de tu organización. Debes enfocarte en establecer una comprensión clara del propósito de la función de control de la misión antes de usarla para conectar las otras funciones.
Usa la función de inteligencia en todos los aspectos de la defensa cibernética
Esta recomendación es pertinente para todas las áreas de enfoque.
Esta recomendación destaca la función de inteligencia como parte fundamental de un programa sólido de defensa cibernética. La inteligencia contra amenazas proporciona conocimiento sobre los agentes de amenazas, sus TTP y los indicadores de compromiso (IoC). Este conocimiento debe informar y priorizar las acciones en todas las funciones de defensa cibernética. Un enfoque basado en la inteligencia te ayuda a alinear las defensas para hacer frente a las amenazas que tienen más probabilidades de afectar a tu organización. Este enfoque también ayuda con la asignación y la priorización eficientes de los recursos.
Los siguientes Google Cloud productos y funciones te ayudan a aprovechar la inteligencia contra amenazas para guiar tus operaciones de seguridad. Usa estas funciones para identificar y priorizar posibles amenazas, vulnerabilidades y riesgos, y, luego, planificar e implementar las acciones adecuadas.
Google Security Operations (Google SecOps) te ayuda a almacenar y analizar datos de seguridad de forma centralizada. Usa Google SecOps para asignar registros a un modelo común, enriquecerlos y vincularlos a cronogramas para obtener una vista integral de los ataques. También puedes crear reglas de detección, configurar la coincidencia de IoC y realizar actividades de búsqueda de amenazas. La plataforma también proporciona detecciones seleccionadas, que son reglas predefinidas y administradas para ayudar a identificar amenazas. Google SecOps también se puede integrar con la inteligencia de primera línea de Mandiant. Google SecOps integra de forma única la IA líder en la industria, junto con la inteligencia contra amenazas de Mandiant y Google VirusTotal. Esta integración es fundamental para la evaluación de amenazas y para comprender quién ataca a tu organización y el posible impacto.
Security Command Center Enterprise, que cuenta con la tecnología de Google AI, permite a los profesionales de seguridad evaluar, investigar y responder de manera eficiente a los problemas de seguridad en varios entornos de nube. Los profesionales de seguridad que pueden beneficiarse de Security Command Center incluyen analistas del centro de operaciones de seguridad (SOC), analistas de vulnerabilidades y postura, y administradores de cumplimiento. Security Command Center Enterprise enriquece los datos de seguridad, evalúa el riesgo y prioriza las vulnerabilidades. Esta solución proporciona a los equipos la información que necesitan para abordar las vulnerabilidades de alto riesgo y corregir las amenazas activas.
Chrome Enterprise Premium ofrece protección contra amenazas y datos, lo que ayuda a proteger a los usuarios de los riesgos de filtración y evita que el software malicioso llegue a los dispositivos administrados por la empresa. Chrome Enterprise Premium también proporciona visibilidad de la actividad insegura o potencialmente insegura que puede ocurrir en el navegador.
La supervisión de la red, a través de herramientas como Network Intelligence Center, proporciona visibilidad del rendimiento de la red. La supervisión de la red también puede ayudarte a detectar patrones de tráfico inusuales o detectar cantidades de transferencia de datos que podrían indicar un ataque o un intento de robo de datos.
Comprende y aprovecha la ventaja de tu defensor
Esta recomendación es pertinente para todas las áreas de enfoque.
Como se mencionó anteriormente, tienes una ventaja sobre los atacantes cuando comprendes a fondo tu empresa, tus sistemas, tu topología y tu infraestructura. Para aprovechar esta ventaja de conocimiento, utiliza estos datos sobre tus entornos durante la planificación de la defensa cibernética.
Google Cloud proporciona las siguientes funciones para ayudarte a obtener visibilidad de forma proactiva para identificar amenazas, comprender los riesgos y responder de manera oportuna para mitigar posibles daños:
Chrome Enterprise Premium te ayuda a mejorar la seguridad de los dispositivos empresariales, ya que protege a los usuarios de los riesgos de filtración. Extiende los servicios de Sensitive Data Protection al navegador y evita el software malicioso. También ofrece funciones como la protección contra software malicioso y phishing para ayudar a evitar la exposición a contenido inseguro. Además, te brinda control sobre la instalación de extensiones para ayudar a evitar extensiones inseguras o no verificadas. Estas capacidades te ayudan a establecer una base segura para tus operaciones.
Security Command Center Enterprise proporciona un motor de riesgos continuo que ofrece análisis y administración de riesgos integrales y continuos. La función de motor de riesgos enriquece los datos de seguridad, evalúa el riesgo y prioriza las vulnerabilidades para ayudar a solucionar los problemas rápidamente. Security Command Center permite que tu organización identifique de forma proactiva las debilidades y aplique mitigaciones.
Google SecOps centraliza los datos de seguridad y proporciona registros enriquecidos con cronogramas. Esto permite que los defensores identifiquen de forma proactiva las vulneraciones activas y adapten las defensas en función del comportamiento de los atacantes.
La supervisión de la red ayuda a identificar la actividad irregular de la red que podría indicar un ataque y proporciona indicadores tempranos que puedes usar para tomar medidas. Para proteger de forma proactiva tus datos contra el robo, supervisa continuamente la robo de datos y usa las herramientas proporcionadas.
Valida y mejora tus defensas de forma continua
Esta recomendación es pertinente para todas las áreas de enfoque.
Esta recomendación enfatiza la importancia de las pruebas orientadas y la validación continua de los controles para comprender los puntos fuertes y débiles en toda la superficie de ataque. Esto incluye validar la eficacia de los controles, las operaciones y el personal a través de métodos como los siguientes:
También debes buscar amenazas de forma activa y usar los resultados para mejorar la detección y la visibilidad. Usa las siguientes herramientas para probar y validar continuamente tus defensas contra amenazas del mundo real:
Security Command Center Enterprise proporciona un motor de riesgos continuo para evaluar las vulnerabilidades y priorizar la corrección, lo que permite la evaluación continua de tu postura de seguridad general. Al priorizar los problemas, Security Command Center Enterprise te ayuda a garantizar que los recursos se usen de manera eficaz.
Google SecOps ofrece búsqueda de amenazas y detecciones seleccionadas que te permiten identificar de forma proactiva las debilidades en tus controles. Esta capacidad permite probar y mejorar continuamente tu capacidad para detectar amenazas.
Chrome Enterprise Premium proporciona funciones de protección contra amenazas y datos que pueden ayudarte a abordar amenazas nuevas y en evolución, y a actualizar continuamente tus defensas contra los riesgos de filtración y el software malicioso.
Cloud Next Generation Firewall (Cloud NGFW) proporciona supervisión de la red y supervisión de la filtración de datos. Estas capacidades pueden ayudarte a validar la eficacia de tu postura de seguridad actual y a identificar posibles debilidades. La supervisión de la filtración de datos te ayuda a validar la solidez de los mecanismos de protección de datos de tu organización y a realizar ajustes proactivos cuando sea necesario. Cuando integras los resultados de amenazas de Cloud NGFW con Security Command Center y Google SecOps, puedes optimizar la detección de amenazas basada en la red, optimizar la respuesta ante amenazas y automatizar los playbooks. Para obtener más información sobre esta integración, consulta Unificación de tus defensas en la nube: Security Command Center y Cloud NGFW Enterprise.
Administra y coordina los esfuerzos de defensa cibernética
Esta recomendación es pertinente para todas las áreas de enfoque.
Como se describió anteriormente en Integra las funciones de defensa cibernética, la función de control de la misión interconecta las otras funciones del programa de defensa cibernética. Esta función permite la coordinación y la administración unificada en todo el programa. También te ayuda a coordinar con otros equipos que no trabajan en ciberseguridad. La función de control de la misión promueve el empoderamiento y la responsabilidad, facilita la agilidad y la experiencia, y fomenta la responsabilidad y la transparencia.
Los siguientes productos y funciones pueden ayudarte a implementar la función de control de la misión:
- Security Command Center Enterprise actúa como un centro para coordinar y administrar tus operaciones de defensa cibernética. Reúne herramientas, equipos y datos, junto con las capacidades de respuesta integradas de Google SecOps. Security Command Center proporciona visibilidad clara del estado de seguridad de tu organización y permite la identificación de parámetros de configuración incorrectos de seguridad en diferentes recursos.
- Google SecOps proporciona una plataforma para que los equipos respondan a las amenazas mediante la asignación de registros y la creación de cronogramas. También puedes definir reglas de detección y buscar amenazas.
- Google Workspace y Chrome Enterprise Premium te ayudan a administrar y controlar el acceso del usuario final a los recursos sensibles. Puedes definir controles de acceso detallados en función de la identidad del usuario y el contexto de una solicitud.
- La supervisión de la red proporciona estadísticas sobre el rendimiento de los recursos de la red. Puedes importar estadísticas de supervisión de la red a Security Command Center y Google SecOps para la supervisión y la correlación centralizadas con otros puntos de datos basados en cronogramas. Esta integración te ayuda a detectar y responder a posibles cambios en el uso de la red causados por actividades maliciosas.
- La supervisión de la filtración de datos ayuda a identificar posibles incidentes de pérdida de datos. Con esta función, puedes movilizar de manera eficiente un equipo de respuesta ante incidentes, evaluar los daños y limitar la robo de datos adicional. También puedes mejorar las políticas y los controles actuales para garantizar la protección de datos.
Resumen del producto
En la siguiente tabla, se enumeran los productos y las funciones que se describen en este documento y se asignan a las recomendaciones y capacidades de seguridad asociadas.
| Google Cloud producto | Recomendaciones aplicables |
|---|---|
| Google SecOps |
Usa la función de inteligencia en todos los aspectos de la defensa cibernética:
Permite la búsqueda de amenazas y la coincidencia de IoC, y se integra con
Mandiant para una evaluación integral de amenazas.
Comprende y aprovecha la ventaja de tu defensor: Proporciona detecciones seleccionadas y centraliza los datos de seguridad para la identificación proactiva de vulneraciones. Valida y mejora tus defensas de forma continua: Permite probar y mejorar continuamente las capacidades de detección de amenazas.Administra y coordina los esfuerzos de defensa cibernética por medio del control de la misión: Proporciona una plataforma para la respuesta ante amenazas, el análisis de registros y la creación de cronogramas. |
| Security Command Center Enterprise |
Usa la función de inteligencia en todos los aspectos de la defensa cibernética:
Usa la IA para evaluar el riesgo, priorizar las vulnerabilidades y proporcionar
estadísticas prácticas para la corrección.
Comprende y aprovecha la ventaja de tu defensor: Ofrece análisis de riesgos integrales, priorización de vulnerabilidades e identificación proactiva de debilidades. Valida y mejora tus defensas de forma continua: Proporciona evaluación continua de la postura de seguridad y priorización de recursos.Administra y coordina los esfuerzos de defensa cibernética por medio del control de la misión: Actúa como un centro para administrar y coordinar las operaciones de defensa cibernética. |
| Chrome Enterprise Premium |
Usa la función de inteligencia en todos los aspectos de la defensa cibernética:
Protege a los usuarios de los riesgos de filtración, evita el software malicioso y
proporciona visibilidad de la actividad insegura del navegador.
Comprende y aprovecha la ventaja de tu defensor: Mejora la seguridad de los dispositivos empresariales a través de la protección de datos, la prevención de software malicioso y el control sobre las extensiones. Valida y mejora tus defensas de forma continua: Aborda amenazas nuevas y en evolución a través de actualizaciones continuas de las defensas contra los riesgos de filtración y el software malicioso.Administra y coordina los esfuerzos de defensa cibernética por medio del control de la misión: Administra y controla el acceso del usuario final a los recursos sensibles, incluidos los controles de acceso detallados. |
| Google Workspace | Administra y coordina los esfuerzos de defensa cibernética por medio del control de la misión: Administra y controla el acceso del usuario final a los recursos sensibles, incluidos los controles de acceso detallados. |
| Network Intelligence Center | Usa la función de inteligencia en todos los aspectos de la defensa cibernética: Proporciona visibilidad del rendimiento de la red y detecta patrones de tráfico inusuales o transferencias de datos. |
| Cloud NGFW | Valida y mejora tus defensas de forma continua: Optimiza la detección y la respuesta ante amenazas basadas en la red a través de la integración con Security Command Center y Google SecOps. |