הטמעה של הגנת סייבר מונעת

העיקרון הזה בעמודת האבטחה של Google Cloud Well-Architected Framework מספק המלצות לבניית תוכניות חזקות להגנה מפני מתקפות סייבר כחלק מאסטרטגיית האבטחה הכוללת שלכם.

העיקרון הזה מדגיש את השימוש במודיעין איומי סייבר כדי להנחות באופן יזום את המאמצים שלכם בפונקציות הליבה של הגנת הסייבר, כפי שמוגדר במאמר היתרון של המגן: מדריך להפעלת הגנת סייבר.

סקירה כללית של העקרונות

כשמגנים על המערכת מפני התקפות סייבר, יש לכם יתרון משמעותי שלא מנוצל מספיק נגד התוקפים. כפי שמייסד Mandiant אומר: "אתם צריכים לדעת יותר על העסק, המערכות, הטופולוגיה והתשתית שלכם מכל תוקף". זה יתרון מדהים". כדי לעזור לכם לנצל את היתרון המובנה הזה, במסמך הזה מפורטות המלצות לגבי שיטות פרואקטיביות ואסטרטגיות להגנה בסייבר, שממופות למסגרת Defender's Advantage.

המלצות

כדי להטמיע הגנה קיברנטית מונעת בעומסי העבודה בענן, כדאי לעיין בהמלצות שבקטעים הבאים:

• שילוב הפונקציות של הגנת הסייבר
• שימוש בפונקציית ה-Intelligence בכל ההיבטים של הגנת סייבר
• הבנה של היתרון של המגן וניצול שלו
• אימות ושיפור מתמשכים של אמצעי ההגנה
• ניהול ותיאום של מאמצי הגנה מפני מתקפות סייבר

שילוב הפונקציות של הגנת סייבר

ההמלצה הזו רלוונטית לכל תחומי ההתמקדות.

מסגרת היתרון של המגן מזהה שש פונקציות קריטיות של הגנה מפני מתקפות סייבר: מודיעין, זיהוי, תגובה, אימות, חיפוש ושליטה במשימה. כל פונקציה מתמקדת בחלק ייחודי של משימת ההגנה מפני איומי סייבר, אבל הפונקציות האלה צריכות להיות מתואמות היטב ולפעול יחד כדי לספק הגנה יעילה. חשוב להתמקד בבניית מערכת חזקה ומשולבת שבה כל פונקציה תומכת בפונקציות האחרות. אם אתם צריכים גישה מדורגת להטמעה, כדאי לשקול את הסדר המוצע הבא. בהתאם לרמת הבשלות הנוכחית של הענן, לטופולוגיית המשאבים ולנוף האיומים הספציפי, יכול להיות שתעדיפו לתת עדיפות לפונקציות מסוימות.

1. Intelligence: הפונקציה הזו מנחה את כל הפונקציות האחרות. הבנת נוף האיומים – כולל התוקפים הסבירים ביותר, הטקטיקות, הטכניקות והנהלים שלהם (TTP) וההשפעה הפוטנציאלית – היא קריטית כדי לתעדף פעולות בכל התוכנית. הפונקציה 'מודיעין' אחראית על זיהוי בעלי עניין, הגדרה של דרישות מודיעין, איסוף נתונים, ניתוח והפצה, אוטומציה ויצירה של פרופיל איומי סייבר.
2. זיהוי ותגובה: הפונקציות האלה הן הליבה של ההגנה הפעילה, שכוללת זיהוי של פעילות זדונית וטיפול בה. הפונקציות האלה נחוצות כדי לפעול על סמך המידע שנאסף על ידי פונקציית ה-Intelligence. הפונקציה Detect (זיהוי) דורשת גישה שיטתית שמתאימה את הזיהויים לטקטיקות, לטכניקות ולנהלים (TTP) של התוקף, ומבטיחה רישום חזק ביומן. הפונקציה Respond צריכה להתמקד במיון ראשוני, באיסוף נתונים ובתיקון האירוע.
3. אימות: פונקציית האימות היא תהליך מתמשך שמבטיח שסביבת הבקרה של האבטחה מעודכנת ופועלת כמתוכנן. הפונקציה הזו מבטיחה שהארגון יבין את פני השטח של המתקפה, יידע איפה קיימות נקודות חולשה וימדוד את יעילות אמצעי הבקרה. אימות האבטחה הוא גם רכיב חשוב במחזור החיים של הנדסת הזיהוי, וצריך להשתמש בו כדי לזהות פערים בזיהוי וליצור זיהויים חדשים.
4. Hunt (ציד): הפונקציה Hunt כוללת חיפוש יזום של איומים פעילים בסביבה. צריך להטמיע את הפונקציה הזו כשהארגון מגיע לרמת בגרות בסיסית בפונקציות 'זיהוי' ו'תגובה'. הפונקציה Hunt מרחיבה את יכולות הזיהוי ועוזרת לזהות פערים וחולשות באמצעי הבקרה. הפונקציה Hunt צריכה להתבסס על איומים ספציפיים. הפונקציה המתקדמת הזו נהנית מיתרונות של יכולות מודיעין, זיהוי ותגובה חזקות.
5. ‫Mission Control: הפונקציה Mission Control משמשת כמרכז שמקושרות אליו כל הפונקציות האחרות. הפונקציה הזו אחראית על האסטרטגיה, התקשורת ופעולות נחרצות במסגרת תוכנית ההגנה הקיברנטית שלכם. היא מוודאת שכל הפונקציות פועלות יחד ושהן תואמות ליעדים העסקיים של הארגון. לפני שמשתמשים בפונקציה Mission Control כדי לקשר בין הפונקציות האחרות, חשוב להבין בבירור את המטרה שלה.

שימוש בפונקציית ה-Intelligence בכל ההיבטים של הגנת סייבר

ההמלצה הזו רלוונטית לכל תחומי ההתמקדות.

בהמלצה הזו מודגש התפקיד של פונקציית ה-Intelligence כחלק מרכזי בתוכנית חזקה להגנה מפני מתקפות סייבר. מודיעין איומי סייבר מספק ידע על גורמי איום, על TTPs שלהם ועל סימנים מחשידים (IoC). הידע הזה צריך להנחות אתכם ולעזור לכם לקבוע סדרי עדיפויות בפעולות שקשורות לכל הפונקציות של הגנה מפני איובר. גישה מבוססת-מודיעין עוזרת לכם להתאים את אמצעי ההגנה כדי להתמודד עם האיומים שסביר להניח שישפיעו על הארגון שלכם. הגישה הזו גם עוזרת להקצות משאבים בצורה יעילה ולתת להם עדיפות.

המוצרים והתכונות הבאים עוזרים לכם להשתמש במודיעין איומי סייבר כדי להנחות את תפעול האבטחה (SecOps) שלכם. Google Cloud אתם יכולים להשתמש בתכונות האלה כדי לזהות איומים, נקודות חולשה וסיכונים פוטנציאליים ולתעדף אותם, ואז לתכנן ולבצע פעולות מתאימות.

• ‫Google Security Operations (Google SecOps) עוזרת לכם לאחסן ולנתח נתוני אבטחה באופן מרכזי. אפשר להשתמש ב-Google SecOps כדי למפות יומנים למודל משותף, להעשיר את היומנים ולקשר אותם לציר זמן כדי לקבל תצוגה מקיפה של התקפות. אפשר גם ליצור כללי זיהוי, להגדיר התאמה של IoC ולבצע פעילויות של איתור איומים. הפלטפורמה מספקת גם זיהויים שנערכו, שהם כללים מוגדרים מראש ומנוהלים שעוזרים לזהות איומים. אפשר גם לשלב את Google SecOps עם Mandiant frontline intelligence. ‫Google SecOps משלב באופן ייחודי AI מוביל בתחום, יחד עם מודיעין איומי סייבר מ-Mandiant ו-Google VirusTotal. השילוב הזה חיוני להערכת איומים ולהבנה של הגורמים שמכוונים לארגון שלכם ושל ההשפעה הפוטנציאלית.

• ‫Security Command Center Enterprise, שמבוסס על AI מבית Google, מאפשר לאנשי מקצוע בתחום האבטחה להעריך, לחקור ולהגיב לבעיות אבטחה בסביבות ענן מרובות בצורה יעילה. אנשי מקצוע בתחום האבטחה שיכולים להפיק תועלת מ-Security Command Center כוללים אנליסטים במרכז האבטחה (SOC), אנליסטים של נקודות חולשה ושל מצב האבטחה ומנהלי תאימות. ‫Security Command Center ‫Enterprise מעשיר את נתוני האבטחה, מעריך את הסיכון ונותן עדיפות לפגיעויות. הפתרון הזה מספק לצוותים את המידע שהם צריכים כדי לטפל בנקודות חולשה בסיכון גבוה ולנטרל איומים פעילים.

• ‫Chrome Enterprise Premium מציע הגנה מפני איומים ועל נתונים, ועוזר להגן על המשתמשים מפני סיכוני חדירה ולמנוע מתוכנות זדוניות להיכנס למכשירים שמנוהלים על ידי הארגון. ‫Chrome Enterprise Premium גם מספק תובנות לגבי פעילות לא בטוחה או פעילות שעלולה להיות לא בטוחה שיכולה להתרחש בדפדפן.

• מעקב אחרי הרשת באמצעות כלים כמו Network Intelligence Center מאפשר לראות את ביצועי הרשת. מעקב אחרי הרשת יכול גם לעזור לכם לזהות דפוסי תנועה חריגים או לזהות כמויות של העברת נתונים שעשויות להצביע על ניסיון של מתקפה או של זליגת נתונים.

הבנה של היתרון של המגן וניצול שלו

ההמלצה הזו רלוונטית לכל תחומי ההתמקדות.

כמו שצוין קודם, יש לכם יתרון על פני תוקפים אם אתם מבינים היטב את העסק, המערכות, הטופולוגיה והתשתית שלכם. כדי לנצל את היתרון הזה, כדאי להשתמש בנתונים האלה על הסביבות שלכם במהלך תכנון הגנת הסייבר.

Google Cloud כולל את התכונות הבאות שעוזרות לכם לזהות איומים, להבין סיכונים ולהגיב בזמן כדי לצמצם נזק פוטנציאלי:

• ‫Chrome Enterprise Premium עוזר לכם לשפר את האבטחה של מכשירים בארגון על ידי הגנה על המשתמשים מפני סיכוני אקספילטרציה. הוא מרחיב את שירותי Sensitive Data Protection לדפדפן ומונע תוכנות זדוניות. הוא כולל גם תכונות כמו הגנה מפני תוכנות זדוניות ופישינג, כדי למנוע חשיפה לתוכן לא בטוח. בנוסף, היא מאפשרת לכם לשלוט בהתקנה של תוספים כדי למנוע התקנה של תוספים לא בטוחים או לא בדוקים. היכולות האלה עוזרות לכם לבסס בסיס מאובטח לפעולות שלכם.

• ‫Security Command Center Enterprise מספק מנוע סיכונים רציף שמציע ניתוח וניהול מקיפים של סיכונים באופן שוטף. התכונה 'מנוע הסיכונים' מעשירה את נתוני האבטחה, מעריכה את הסיכון ונותנת עדיפות לפגיעויות כדי לעזור לפתור בעיות במהירות. בעזרת Security Command Center, הארגון שלכם יכול לזהות נקודות חולשה באופן יזום וליישם אמצעי מניעה.

• ‫Google SecOps מרכזת את נתוני האבטחה ומספקת יומנים מועשרים עם ציר זמן. כך המגינים יכולים לזהות באופן יזום פשרות פעילות ולהתאים את אמצעי ההגנה על סמך התנהגות התוקפים.

• ניטור הרשת עוזר לזהות פעילות חריגה ברשת שעשויה להצביע על מתקפה, ומספק אינדיקטורים מוקדמים שבעזרתם אפשר לפעול. כדי להגן על הנתונים מפני גניבה, מומלץ לעקוב כל הזמן אחרי זליגת נתונים ולהשתמש בכלים שסיפקנו.

אימות ושיפור אמצעי ההגנה באופן רציף

ההמלצה הזו רלוונטית לכל תחומי ההתמקדות.

בהמלצה הזו אנחנו מדגישים את החשיבות של בדיקות ממוקדות ותיקוף רציף (CV) של אמצעי הבקרה, כדי להבין את החוזקות והחולשות בכל שטחי ההתקפה. זה כולל אימות של יעילות אמצעי הבקרה, הפעולות והצוות באמצעות שיטות כמו:

• בדיקות חדירה
• תרגילים של הצוות האדום-כחול ושלהצוות הסגול
• תרגילים שולחניים

בנוסף, עליכם לחפש באופן פעיל איומים ולהשתמש בתוצאות כדי לשפר את יכולות הזיהוי והחשיפה. כדי לבדוק ולאמת באופן רציף את אמצעי ההגנה שלכם מפני איומים בעולם האמיתי, אתם יכולים להשתמש בכלים הבאים:

• ‫Security Command Center Enterprise כולל מנוע סיכונים רציף להערכת נקודות חולשה ולתעדוף פעולות לתיקון שלהן, וכך מאפשר הערכה שוטפת של מצב האבטחה הכולל שלכם. היכולת לתעדף בעיות ב-Security Command Center Enterprise עוזרת לכם לוודא שהמשאבים מנוצלים בצורה יעילה.

• ‫Google SecOps מציע יכולות של איתור איומים וזיהויים שנבחרו בקפידה, שמאפשרים לכם לזהות באופן יזום חולשות באמצעי הבקרה שלכם. היכולת הזו מאפשרת לכם לבצע בדיקות שיטתיות ולשפר את היכולת שלכם לזהות איומים.

• ‫Chrome Enterprise Premium מספק תכונות להגנה על נתונים מפני איומים שיכולות לעזור לכם להתמודד עם איומים חדשים ומתפתחים, ולעדכן באופן רציף את אמצעי ההגנה שלכם מפני סיכוני חדירה ותוכנות זדוניות.

• ‫Cloud Next Generation Firewall ‏ (Cloud NGFW) מספק ניטור של הרשת וניטור של גניבת נתונים. היכולות האלה יכולות לעזור לכם לאמת את האפקטיביות של מצב האבטחה הנוכחי ולזהות חולשות פוטנציאליות. המעקב אחר העברת נתונים לא מורשית עוזר לכם לאמת את עוצמת מנגנוני ההגנה על הנתונים של הארגון ולבצע התאמות יזומות במקומות שבהם יש צורך בכך. כשמשלבים את ממצאי האיומים מ-Cloud NGFW עם Security Command Center ו-Google SecOps, אפשר לבצע אופטימיזציה של זיהוי איומים מבוסס-רשת, אופטימיזציה של תגובה לאיומים ואוטומציה של תוכניות פעולה. מידע נוסף על השילוב הזה זמין במאמר איחוד אמצעי ההגנה בענן: Security Command Center ו-Cloud NGFW Enterprise.

ניהול ותיאום של מאמצי הגנה מפני מתקפות סייבר

ההמלצה הזו רלוונטית לכל תחומי ההתמקדות.

כמו שמתואר בקטע הקודם שילוב הפונקציות של הגנת סייבר, הפונקציה Mission Control מקשרת בין הפונקציות האחרות של תוכנית הגנת סייבר. הפונקציה הזו מאפשרת תיאום וניהול מאוחד של התוכנית. זה גם עוזר לכם לתאם עם צוותים אחרים שלא עוסקים בסייבר. הפונקציה Mission Control מעודדת העצמה ואחריותיות, מקדמת זריזות ומומחיות, ומגבירה את האחריות והשקיפות.

המוצרים והתכונות הבאים יכולים לעזור לכם להטמיע את הפונקציה של מרכז הבקרה:

• ‫Security Command Center Enterprise משמש כמרכז לתיאום ולניהול של פעולות ההגנה מפני מתקפות סייבר. הוא מאגד כלים, צוותים ונתונים, וכולל את יכולות התגובה המובנות של Google SecOps. ב-Security Command Center אפשר לראות בבירור את מצב האבטחה של הארגון, ולזהות בעיות בתצורת האבטחה במשאבים שונים.
• ‫Google SecOps מספקת פלטפורמה לצוותים כדי להגיב לאיומים על ידי מיפוי יומנים ויצירת ציר זמן. אפשר גם להגדיר כללי זיהוי ולחפש איומים.
• ‫Google Workspace ו-Chrome Enterprise Premium עוזרים לכם לנהל ולשלוט בגישת משתמשי הקצה למשאבים רגישים. אתם יכולים להגדיר בקרות גישה מפורטות על סמך זהות המשתמש וההקשר של הבקשה.
• ניטור הרשת מספק תובנות לגבי הביצועים של משאבי הרשת. אפשר לייבא תובנות לגבי ניטור רשת ל-Security Command Center ול-Google SecOps כדי לבצע ניטור מרכזי וקורלציה מול נקודות נתונים אחרות שמבוססות על ציר זמן. השילוב הזה עוזר לכם לזהות שינויים פוטנציאליים בשימוש ברשת שנגרמים מפעילות זדונית, ולהגיב להם.
• מעקב אחרי זליגת נתונים עוזר לזהות אירועים אפשריים של אובדן נתונים. התכונה הזו מאפשרת לכם להפעיל ביעילות צוות תגובה לאירועים, להעריך את הנזקים ולהגביל את זליגת הנתונים הנוספת. אפשר גם לשפר את המדיניות ואמצעי הבקרה הקיימים כדי להבטיח הגנה על הנתונים.

סיכום מוצר

בטבלה הבאה מפורטים המוצרים והתכונות שמתוארים במסמך הזה, והם ממופים להמלצות ולתכונות האבטחה שקשורות אליהם.

המוצר שלGoogle Cloud	המלצות רלוונטיות
Google SecOps	שימוש בפונקציית ה-Intelligence בכל ההיבטים של הגנת הסייבר: מאפשרת איתור איומים והתאמה של IoC, ומשתלבת עם Mandiant להערכת איומים מקיפה. הבנה של היתרון של מערכת ההגנה וניצול שלו: מספקת גלאים מוכנים מראש ומרכזת נתוני אבטחה לזיהוי פרואקטיבי של פשרות. אימות ושיפור מתמשכים של אמצעי ההגנה: מאפשר בדיקה ושיפור מתמשכים של יכולות זיהוי האיומים. ניהול ותיאום של מאמצי הגנה מפני איומי סייבר באמצעות Mission Control: מספק פלטפורמה לתגובה לאיומים, לניתוח יומנים וליצירת ציר זמן.
Security Command Center Enterprise	שימוש בפונקציית ה-Intelligence בכל ההיבטים של הגנת סייבר: השימוש ב-AI מאפשר להעריך את הסיכון, לתת עדיפות לנקודות חולשה ולספק תובנות פרקטיות לתיקון. הבנה של היתרון של המגן וניצול שלו: ניתוח סיכונים מקיף, תעדוף של נקודות חולשה וזיהוי פרואקטיבי של חולשות. אימות ושיפור מתמשכים של אמצעי ההגנה: מספק הערכה שוטפת של מצב האבטחה ותעדוף של משאבים. ניהול ותיאום של מאמצי ההגנה מפני מתקפות סייבר באמצעות Mission Control: פועל כמרכז מרכזי לניהול ותיאום של פעולות הגנה מפני מתקפות סייבר.
Chrome Enterprise Premium	שימוש בפונקציית ה-Intelligence בכל ההיבטים של הגנת הסייבר: הגנה על משתמשים מפני סיכוני חילוץ נתונים, מניעת תוכנות זדוניות ומתן תובנות לגבי פעילות לא בטוחה בדפדפן. הבנה של היתרון של המגן וניצול שלו: שיפור האבטחה של מכשירים ארגוניים באמצעות הגנה על נתונים, מניעת תוכנות זדוניות ושליטה בתוספים. אימות ושיפור מתמשכים של אמצעי ההגנה: התמודדות עם איומים חדשים ומתפתחים באמצעות עדכונים שוטפים של אמצעי ההגנה מפני סיכוני חדירה ותוכנות זדוניות. ניהול ותיאום של מאמצי הגנה מפני מתקפות סייבר באמצעות Mission Control: ניהול ושליטה בגישה של משתמשי קצה למקורות רגישים, כולל אמצעי בקרה מפורטים לגישה.
Google Workspace	ניהול ותיאום של מאמצי הגנה מפני מתקפות סייבר באמצעות Mission Control: ניהול ושליטה בגישה של משתמשי קצה למקורות רגישים, כולל אמצעי בקרה מפורטים לגישה.
Network Intelligence Center	שימוש בפונקציית ה-Intelligence בכל ההיבטים של הגנת הסייבר: מספקת תובנות לגבי ביצועי הרשת ומזהה דפוסי תנועה או העברות נתונים חריגים.
Cloud NGFW	אימות ושיפור מתמשכים של אמצעי ההגנה: אופטימיזציה של זיהוי איומים ותגובה לאיומים ברמת הרשת באמצעות שילוב עם Security Command Center ו-Google SecOps.