הטמעה של הגנת סייבר מונעת

העיקרון הזה, שמופיע בקטע בנושא אבטחה בGoogle Cloud Well-Architected Framework, כולל המלצות ליצירת תוכניות חזקות להגנה מפני מתקפות סייבר כחלק מאסטרטגיית האבטחה הכוללת שלכם.

העיקרון הזה מדגיש את השימוש במודיעין איומי סייבר כדי להנחות באופן יזום את המאמצים שלכם בפונקציות הליבה של הגנת הסייבר, כפי שמוגדר במאמר היתרון של המגן: מדריך להפעלת הגנת סייבר.

סקירה כללית של העקרונות

כשמגנים על המערכת מפני מתקפות סייבר, יש לכם יתרון משמעותי שלא מנוצל מספיק מול התוקפים. כפי שמייסד Mandiant אומר: "אתם צריכים לדעת יותר על העסק, המערכות, הטופולוגיה והתשתית שלכם מכל תוקף. זה יתרון עצום". כדי לעזור לכם להשתמש ביתרון המובנה הזה, במסמך הזה מפורטות המלצות לגבי שיטות הגנה פרואקטיביות ואסטרטגיות בסייבר, שממופות למסגרת Defender's Advantage.

המלצות

כדי להטמיע הגנה קיברנטית מונעת בעומסי העבודה בענן, כדאי לעיין בהמלצות שבקטעים הבאים:

• שילוב הפונקציות של הגנת סייבר
• שימוש בפונקציית ה-Intelligence בכל ההיבטים של הגנת סייבר
• הבנה של היתרון שלכם כמגינים וניצול שלו
• אימות ושיפור מתמשכים של אמצעי ההגנה
• ניהול ותיאום של מאמצי הגנה מפני מתקפות סייבר

שילוב הפונקציות של הגנת סייבר

ההמלצה הזו רלוונטית לכל תחומי ההתמקדות.

מסגרת היתרון של המגן מזהה שש פונקציות קריטיות של הגנה מפני איומי סייבר: מודיעין, זיהוי, תגובה, אימות, חיפוש ומרכז בקרה.כל פונקציה מתמקדת בחלק ייחודי של משימת ההגנה מפני איומי סייבר, אבל הפונקציות האלה צריכות להיות מתואמות היטב ולפעול יחד כדי לספק הגנה יעילה. חשוב להתמקד בבניית מערכת חזקה ומשולבת שבה כל פונקציה תומכת באחרות. אם אתם צריכים גישה מדורגת לאימוץ, כדאי לשקול את הסדר המוצע הבא. בהתאם לרמת הבשלות הנוכחית של הענן, לטופולוגיית המשאבים ולנוף האיומים הספציפי, יכול להיות שכדאי לתת עדיפות לפונקציות מסוימות.

1. מודיעין: פונקציית המודיעין מנחה את כל הפונקציות האחרות. כדי לתעדף פעולות בכל התוכנית, חשוב להבין את סביבת האיומים – כולל התוקפים הסבירים ביותר, הטקטיקות, הטכניקות והנהלים שלהם (TTP) וההשפעה הפוטנציאלית. פונקציית המודיעין אחראית לזיהוי בעלי העניין, להגדרת דרישות המודיעין, לאיסוף נתונים, לניתוח ולהפצה, לאוטומציה וליצירת פרופיל של איומי סייבר.
2. זיהוי ותגובה: הפונקציות האלה מהוות את הליבה של הגנה פעילה, שכוללת זיהוי של פעילות זדונית וטיפול בה. הפונקציות האלה נדרשות כדי לפעול על סמך המידע שנאסף על ידי פונקציית המודיעין. פונקציית הזיהוי דורשת גישה שיטתית שמתאימה את הזיהויים ל-TTP של התוקף ומבטיחה רישום חזק ביומן. פונקציית התגובה צריכה להתמקד במיון ראשוני, באיסוף נתונים ובתיקון האירוע.
3. אימות: פונקציית האימות היא תהליך מתמשך שמבטיח שמערכת בקרת האבטחה שלכם עדכנית ופועלת כמתוכנן. הפונקציה הזו מוודאת שהארגון שלכם מבין את משטח התקיפה, יודע איפה קיימים פגיעויות ומודד את יעילות אמצעי הבקרה. אימות האבטחה הוא גם רכיב חשוב במחזור החיים של הנדסת הזיהוי, וצריך להשתמש בו כדי לזהות פערים בזיהוי וליצור זיהויים חדשים.
4. חיפוש איומים: הפונקציה הזו כוללת חיפוש יזום של איומים פעילים בסביבה. צריך להטמיע את הפונקציה הזו כשהארגון מגיע לרמת בגרות בסיסית בפונקציות 'זיהוי' ו'תגובה'. הפונקציה הזו מרחיבה את יכולות הזיהוי ועוזרת לזהות פערים וחולשות באמצעי הבקרה. הפונקציה הזו צריכה להתבסס על איומים ספציפיים. כדי להשתמש בפונקציה המתקדמת הזו, צריך יכולות חזקות של מודיעין, זיהוי ותגובה.
5. מרכז הבקרה: הפונקציה'מרכז הבקרה' משמשת כמרכז שמקושרות אליו כל הפונקציות האחרות. הפונקציה הזו אחראית לאסטרטגיה, לתקשורת ולפעולה נחרצת במסגרת תוכנית ההגנה מפני איובר בסייבר. היא מוודאת שכל הפונקציות פועלות יחד ושהן תואמות ליעדים העסקיים של הארגון. לפני שמשתמשים בפונקציה הזו כדי לקשר את הפונקציות האחרות, חשוב להבין בבירור את המטרה שלה.

שימוש בפונקציית ה-Intelligence בכל ההיבטים של הגנת הסייבר

ההמלצה הזו רלוונטית לכל תחומי ההתמקדות.

ההמלצה הזו מדגישה את פונקציית ה-Intelligence כחלק מרכזי בתוכנית חזקה להגנה מפני מתקפות סייבר. מודיעין איומי סייבר מספק ידע על גורמי איום, על שיטות הפעולה שלהם ועל אינדיקטורים לפריצה (IOC). הידע הזה צריך לשמש בסיס לפעולות בכל הפונקציות של הגנת הסייבר, ולקבוע את סדר העדיפויות שלהן. גישה מבוססת-מודיעין עוזרת לכם להתאים את אמצעי ההגנה כדי להתמודד עם האיומים שסביר ביותר שישפיעו על הארגון שלכם. הגישה הזו גם עוזרת להקצות משאבים בצורה יעילה ולתת עדיפות למשאבים חשובים.

המוצרים והתכונות הבאים Google Cloud עוזרים לכם להשתמש במודיעין איומי סייבר כדי להנחות את תפעול האבטחה (SecOps) שלכם. אתם יכולים להשתמש בתכונות האלה כדי לזהות ולתעדף איומים, נקודות חולשה וסיכונים פוטנציאליים, ואז לתכנן וליישם פעולות מתאימות.

• ‫Google Security Operations (Google SecOps) עוזרת לכם לאחסן ולנתח נתוני אבטחה באופן מרכזי. אפשר להשתמש ב-Google SecOps כדי למפות יומנים למודל משותף, להעשיר את היומנים ולקשר אותם לציר זמן כדי לקבל תצוגה מקיפה של התקפות. אפשר גם ליצור כללי זיהוי, להגדיר התאמה של IoC ולבצע פעילויות של איתור איומים. הפלטפורמה מספקת גם זיהויים שנערכו, שהם כללים מוגדרים מראש ומנוהלים שעוזרים לזהות איומים. אפשר גם לשלב את Google SecOps עם Mandiant frontline intelligence. ‫Google SecOps משלב באופן ייחודי AI מוביל בתעשייה, יחד עם מודיעין איומי סייבר מ-Mandiant ו-Google VirusTotal. השילוב הזה חיוני להערכת איומים ולהבנה של הגורמים שמטרגטים את הארגון שלכם וההשפעה הפוטנציאלית.

• ‫Security Command Center Enterprise, שמבוסס על AI מבית Google, מאפשר לאנשי מקצוע בתחום האבטחה להעריך, לחקור ולטפל בבעיות אבטחה ביעילות בסביבות ענן מרובות. אנשי מקצוע בתחום האבטחה שיכולים להפיק תועלת מ-Security Command Center כוללים אנליסטים במרכז האבטחה (SOC), אנליסטים של נקודות חולשה ושל מצב האבטחה ומנהלי תאימות. ‫Security Command Center ‫Enterprise מעשיר את נתוני האבטחה, מעריך את הסיכון ונותן עדיפות לפגיעויות. הפתרון הזה מספק לצוותים את המידע שהם צריכים כדי לטפל בפגיעויות בסיכון גבוה ולתקן איומים פעילים.

• ‫Chrome Enterprise Premium מציע הגנה על נתונים מפני איומים, ועוזר להגן על משתמשים מפני סיכוני חילוץ נתונים ומונע מתוכנות זדוניות להיכנס למכשירים שמנוהלים על ידי הארגון. בנוסף, Chrome Enterprise Premium מספק תובנות לגבי פעילות לא בטוחה או פעילות שעלולה להיות לא בטוחה שיכולה להתרחש בדפדפן.

• ניטור הרשת, באמצעות כלים כמו Network Intelligence Center, מאפשר לראות את ביצועי הרשת. ניטור הרשת יכול גם לעזור לכם לזהות דפוסי תנועה חריגים או לזהות כמויות של העברת נתונים שעשויות להצביע על ניסיון תקיפה או על ניסיון להוצאת נתונים.

הבנה של היתרון של המגן וניצול שלו

ההמלצה הזו רלוונטית לכל תחומי ההתמקדות.

כמו שציינו קודם, יש לכם יתרון על התוקפים אם אתם מבינים היטב את העסק, המערכות, הטופולוגיה והתשתית שלכם. כדי לנצל את היתרון הזה, כדאי להשתמש בנתונים האלה לגבי הסביבות שלכם במהלך תכנון ההגנה מפני מתקפות סייבר.

Google Cloud מספק את התכונות הבאות כדי לעזור לכם לקבל תובנות באופן יזום, לזהות איומים, להבין סיכונים ולהגיב בזמן כדי לצמצם נזק פוטנציאלי:

• ‫Chrome Enterprise Premium עוזר לכם לשפר את האבטחה של מכשירים ארגוניים על ידי הגנה על משתמשים מפני סיכוני גניבת נתונים. הוא מרחיב את שירותי Sensitive Data Protection לדפדפן ומונע תוכנות זדוניות. הוא כולל גם תכונות כמו הגנה מפני תוכנות זדוניות ופישינג, כדי למנוע חשיפה לתוכן לא בטוח. בנוסף, היא מאפשרת לכם לשלוט בהתקנה של תוספים כדי למנוע התקנה של תוספים לא בטוחים או לא בדוקים. היכולות האלה עוזרות לכם לבסס תשתית מאובטחת לפעילות שלכם.

• ‫Security Command Center Enterprise מספק מנוע סיכונים רציף שמציע ניתוח וניהול מקיפים של סיכונים. התכונה 'מנוע סיכונים' מעשירה את נתוני האבטחה, מעריכה את הסיכון ונותנת עדיפות לפגיעויות כדי לעזור לפתור בעיות במהירות. בעזרת Security Command Center הארגון יכול לזהות חולשות באופן יזום וליישם אמצעים לצמצום הסיכון.

• ‫Google SecOps מרכזת את נתוני האבטחה ומספקת יומנים מועשרים עם ציר זמן. כך יכולים אנשי ההגנה לזהות באופן יזום פשרות פעילות ולהתאים את ההגנות על סמך התנהגות התוקפים.

• ניטור הרשת עוזר לזהות פעילות חריגה ברשת שעשויה להצביע על מתקפה, ומספק אינדיקטורים מוקדמים שבעזרתם אפשר לפעול. כדי להגן על הנתונים מפני גניבה באופן יזום, צריך לעקוב כל הזמן אחרי זליגת נתונים ולהשתמש בכלים שזמינים.

אימות ושיפור של אמצעי ההגנה באופן שוטף

ההמלצה הזו רלוונטית לכל תחומי ההתמקדות.

ההמלצה הזו מדגישה את החשיבות של בדיקות ממוקדות ותיקוף רציף של אמצעי הבקרה כדי להבין את נקודות החוזק והחולשה בכל שטח המתקפה. זה כולל אימות של היעילות של אמצעי הבקרה, הפעולות והצוות באמצעות שיטות כמו:

• בדיקות חדירה
• תרגילים של צוות אדום-כחול ושל צוות סגול
• תרגילים שולחניים

בנוסף, עליכם לחפש באופן פעיל איומים ולהשתמש בתוצאות כדי לשפר את יכולות הזיהוי והחשיפה. כדי לבדוק ולאמת באופן רציף את אמצעי ההגנה מפני איומים בעולם האמיתי, אפשר להשתמש בכלים הבאים:

• ‫Security Command Center Enterprise מספק מנוע סיכונים רציף להערכת נקודות חולשה ולתעדוף של פעולות לתיקון, וכך מאפשר הערכה שוטפת של מצב האבטחה הכולל. באמצעות תעדוף בעיות, ‫Security Command Center Enterprise עוזר לכם לוודא שהמשאבים מנוצלים בצורה יעילה.

• ‫Google SecOps מציע יכולות של איתור איומים וזיהויים שנבחרו בקפידה, שמאפשרים לכם לזהות באופן יזום חולשות באמצעי הבקרה שלכם. היכולת הזו מאפשרת לכם לבצע בדיקות שיטתיות ולשפר את היכולת שלכם לזהות איומים.

• ‫Chrome Enterprise Premium מספק תכונות להגנה על נתונים מפני איומים שיכולות לעזור לכם להתמודד עם איומים חדשים ומתפתחים, ולעדכן באופן רציף את אמצעי ההגנה שלכם מפני סיכוני חדירה ותוכנות זדוניות.

• ‫Cloud Next Generation Firewall‏ (Cloud NGFW) מספק ניטור של הרשת וניטור של גניבת נתונים. היכולות האלה יכולות לעזור לכם לאמת את האפקטיביות של מצב האבטחה הנוכחי ולזהות חולשות פוטנציאליות. המעקב אחר העברת נתונים לא מורשית עוזר לכם לאמת את עוצמת מנגנוני ההגנה על הנתונים של הארגון ולבצע התאמות יזומות במקומות שבהם יש צורך בכך. כשמשלבים ממצאי איומים מ-Cloud NGFW עם Security Command Center ו-Google SecOps, אפשר לבצע אופטימיזציה של זיהוי איומים מבוסס-רשת, אופטימיזציה של תגובה לאיומים ואוטומציה של תוכניות פעולה. מידע נוסף על השילוב הזה זמין במאמר איחוד אמצעי ההגנה בענן: Security Command Center ו-Cloud NGFW Enterprise.

ניהול ותיאום של מאמצי הגנה מפני איומי סייבר

ההמלצה הזו רלוונטית לכל תחומי ההתמקדות.

כפי שמתואר קודם בקטע שילוב הפונקציות של הגנת הסייבר, הפונקציה Mission Control מקשרת בין הפונקציות האחרות של תוכנית הגנת הסייבר. הפונקציה הזו מאפשרת תיאום וניהול מאוחד של התוכנית. היא גם עוזרת לכם לתאם עם צוותים אחרים שלא עובדים על אבטחת סייבר. הפונקציה Mission Control מקדמת העצמה ואחריותיות, מאפשרת גמישות ומומחיות, ומגבירה את האחריות והשקיפות.

המוצרים והתכונות הבאים יכולים לעזור לכם להטמיע את הפונקציה של מרכז הבקרה:

• ‫Security Command Center Enterprise משמש כמרכז לתיאום ולניהול של פעולות ההגנה בסייבר. הוא מאגד כלים, צוותים ונתונים, וכולל את יכולות התגובה המובנות של Google SecOps. ב-Security Command Center אפשר לראות בבירור את מצב האבטחה של הארגון, ולזהות בעיות בהגדרות האבטחה במשאבים שונים.
• ‫Google SecOps מספקת פלטפורמה לצוותים כדי להגיב לאיומים באמצעות מיפוי יומנים ויצירת ציר זמן. אפשר גם להגדיר כללי זיהוי ולחפש איומים.
• ‫Google Workspace ו-Chrome Enterprise Premium עוזרים לכם לנהל ולשלוט בגישת משתמשי הקצה למשאבים רגישים. אתם יכולים להגדיר בקרות גישה מפורטות על סמך זהות המשתמש וההקשר של הבקשה.
• ניטור הרשת מספק תובנות לגבי הביצועים של משאבי הרשת. אתם יכולים לייבא תובנות לגבי ניטור רשת ל-Security Command Center ול-Google SecOps כדי לבצע ניטור ומתאם מרכזיים מול נקודות נתונים אחרות שמבוססות על ציר זמן. השילוב הזה עוזר לכם לזהות שינויים פוטנציאליים בשימוש ברשת שנגרמים מפעילות זדונית, ולהגיב להם.
• מעקב אחרי זליגת נתונים עוזר לזהות אירועים אפשריים של אובדן נתונים. התכונה הזו מאפשרת לכם לגייס ביעילות צוות לתגובה לאירועים, להעריך את הנזקים ולהגביל את המשך חילוץ הנתונים. אפשר גם לשפר את המדיניות ואמצעי הבקרה הקיימים כדי להבטיח הגנה על הנתונים.

סיכום מוצר

בטבלה הבאה מפורטים המוצרים והתכונות שמתוארים במסמך הזה, וההמלצות והיכולות שקשורות לאבטחה.

המוצר שלGoogle Cloud	המלצות רלוונטיות
Google SecOps	שימוש בפונקציית ה-Intelligence בכל ההיבטים של הגנת סייבר: הפונקציה מאפשרת לאתר איומים ולהתאים אותם ל-IoC, והיא משתלבת עם Mandiant לצורך הערכה מקיפה של האיומים. הבנה של היתרון של המגן וניצול היתרון הזה: המערכת מספקת גלאים מוכנים מראש ומרכזת את נתוני האבטחה כדי לזהות פשרות באופן יזום. אימות ושיפור מתמשכים של אמצעי ההגנה: מאפשר בדיקה ושיפור מתמשכים של יכולות זיהוי האיומים. ניהול ותיאום של מאמצי הגנה מפני איומי סייבר באמצעות Mission Control: מספק פלטפורמה לתגובה לאיומים, לניתוח יומנים וליצירת ציר זמן.
Security Command Center Enterprise	שימוש בפונקציית ה-Intelligence בכל ההיבטים של הגנת סייבר: השימוש ב-AI מאפשר להעריך את הסיכון, לתת עדיפות לנקודות חולשה ולספק תובנות פרקטיות לתיקון. הבנה של היתרון של המערכת שלכם והפקת תועלת ממנו: ניתוח סיכונים מקיף, קביעת סדרי עדיפויות לפגיעויות וזיהוי פרואקטיבי של נקודות חולשה. אימות ושיפור מתמשכים של אמצעי ההגנה: הערכה שוטפת של מצב האבטחה ותעדוף של משאבים. ניהול ותיאום של מאמצי ההגנה מפני מתקפות סייבר באמצעות Mission Control: משמש כמרכז לניהול ותיאום של פעולות הגנה מפני מתקפות סייבר.
Chrome Enterprise Premium	שימוש בפונקציית ה-Intelligence בכל ההיבטים של הגנת הסייבר: הגנה על משתמשים מפני סיכוני חילוץ נתונים, מניעת תוכנות זדוניות ומתן תובנות לגבי פעילות לא בטוחה בדפדפן. הבנה של היתרון של מערכת ההגנה וניצול שלו: שיפור האבטחה של מכשירים ארגוניים באמצעות הגנה על נתונים, מניעת תוכנות זדוניות ושליטה בתוספים. אימות ושיפור מתמשכים של אמצעי ההגנה: התמודדות עם איומים חדשים ומתפתחים באמצעות עדכונים שוטפים של אמצעי ההגנה מפני סיכוני חדירה ותוכנות זדוניות. ניהול ותיאום של מאמצי הגנה מפני מתקפות סייבר באמצעות Mission Control: ניהול ושליטה בגישה של משתמשי קצה למקורות רגישים, כולל אמצעי בקרה מפורטים לגישה.
Google Workspace	ניהול ותיאום של מאמצי הגנה מפני מתקפות סייבר באמצעות Mission Control: ניהול ושליטה בגישה של משתמשי קצה למקורות רגישים, כולל אמצעי בקרה מפורטים לגישה.
Network Intelligence Center	שימוש בפונקציית ה-Intelligence בכל ההיבטים של הגנת הסייבר: מספקת תובנות לגבי ביצועי הרשת ומזהה דפוסי תעבורה או העברות נתונים חריגים.
Cloud NGFW	אימות ושיפור מתמשכים של אמצעי ההגנה: אופטימיזציה של זיהוי איומים ותגובה לאיומים ברמת הרשת באמצעות שילוב עם Security Command Center ו-Google SecOps.