Implementar una ciberdefensa preventiva

Este principio del pilar de seguridad del Google Cloud framework de arquitectura óptima proporciona recomendaciones para crear programas de ciberdefensa sólidos como parte de tu estrategia de seguridad general.

Este principio destaca el uso de la inteligencia de amenazas para guiar de forma proactiva tus esfuerzos en las funciones de ciberdefensa principales, tal como se definen en The Defender's Advantage: A guide to activating cyber defense.

Descripción general de los principios

Cuando proteges tu sistema frente a ciberataques, tienes una ventaja significativa y poco utilizada frente a los atacantes. Como afirma el fundador de Mandiant, "Debes conocer tu empresa, tus sistemas, tu topología y tu infraestructura mejor que cualquier atacante. Si lo haces, tendrás una ventaja increíble a tu disposición". Para ayudarte a aprovechar esta ventaja inherente, en este documento se ofrecen recomendaciones sobre prácticas de ciberdefensa proactivas y estratégicas que se corresponden con el marco de The Defender's Advantage.

Recomendaciones

Para implementar una ciberdefensa preventiva en tus cargas de trabajo en la nube, ten en cuenta las recomendaciones de las siguientes secciones:

• Integra las funciones de ciberdefensa
• Usa la función de inteligencia en todos los aspectos de la ciberdefensa
• Aprovecha al máximo tu sistema de defensa
• Valida y mejora tus defensas continuamente
• Gestionar y coordinar las medidas de ciberdefensa

Integrar las funciones de ciberdefensa

Esta recomendación es pertinente para todas las áreas de interés.

El framework The Defender's Advantage identifica seis funciones críticas de la ciberdefensa: inteligencia, detección, respuesta, validación, búsqueda y control de misiones. Cada función se centra en una parte única de la misión de ciberdefensa, pero estas funciones deben estar bien coordinadas y trabajar conjuntamente para proporcionar una defensa eficaz. Céntrate en crear un sistema sólido e integrado en el que cada función complemente a las demás. Si necesitas un enfoque gradual para la adopción, te recomendamos que sigas el orden que se indica a continuación. En función de tu nivel de madurez en la nube, la topología de los recursos y el panorama de amenazas específico, puede que quieras priorizar determinadas funciones.

1. Inteligencia: la función de inteligencia guía a todas las demás funciones. Conocer el panorama de amenazas (incluidos los atacantes más probables, sus tácticas, técnicas y procedimientos, y el impacto potencial) es fundamental para priorizar las acciones en todo el programa. La función de inteligencia se encarga de identificar a las partes interesadas, definir los requisitos de inteligencia, recoger, analizar y difundir datos, automatizar procesos y crear un perfil de ciberamenaza.
2. Detectar y responder: estas funciones constituyen el núcleo de la defensa activa, que consiste en identificar y abordar la actividad maliciosa. Estas funciones son necesarias para actuar en función de la información que recoge la función de inteligencia. La función Detect requiere un enfoque metódico que alinee las detecciones con las TTPs de los atacantes y asegure un registro sólido. La función de respuesta debe centrarse en la clasificación inicial, la recogida de datos y la resolución de incidentes.
3. Validar: la función Validar es un proceso continuo que asegura que tu ecosistema de control de seguridad está actualizado y funciona según lo previsto. Esta función asegura que tu organización comprenda la superficie de ataque, sepa dónde hay vulnerabilidades y mida la eficacia de los controles. La validación de seguridad también es un componente importante del ciclo de vida del diseño de procesos de detección y debe usarse para identificar las carencias de detección y crear nuevas detecciones.
4. Búsqueda: la función de búsqueda implica buscar de forma proactiva amenazas activas en un entorno. Esta función debe implementarse cuando tu organización tenga un nivel de madurez básico en las funciones de detección y respuesta. La función de búsqueda amplía las capacidades de detección y ayuda a identificar las carencias y los puntos débiles de los controles. La función de búsqueda debe basarse en amenazas específicas. Esta función avanzada se beneficia de una base de sólidas capacidades de inteligencia, detección y respuesta.
5. Mission Control: esta función actúa como centro de control que conecta todas las demás funciones. Esta función se encarga de la estrategia, la comunicación y las acciones decisivas en tu programa de ciberdefensa. De esta forma, te aseguras de que todas las funciones trabajen juntas y de que estén alineadas con los objetivos de negocio de tu organización. Debes centrarte en comprender claramente el propósito de la función de control de misión antes de usarla para conectar las demás funciones.

Usa la función de inteligencia en todos los aspectos de la ciberdefensa

Esta recomendación es pertinente para todas las áreas de interés.

Esta recomendación destaca la función de inteligencia como parte fundamental de un sólido programa de ciberdefensa. La inteligencia frente a amenazas proporciona información sobre los agentes de riesgo, sus TTPs y los indicadores de compromiso (IOCs). Este conocimiento debe informar y priorizar las acciones en todas las funciones de ciberdefensa. Un enfoque basado en la inteligencia te ayuda a alinear las defensas para hacer frente a las amenazas que tienen más probabilidades de afectar a tu organización. Este enfoque también ayuda a asignar y priorizar los recursos de forma eficiente.

Los siguientes productos y funciones te ayudan a aprovechar la inteligencia de amenazas para guiar tus operaciones de seguridad. Google Cloud Usa estas funciones para identificar y priorizar posibles amenazas, vulnerabilidades y riesgos, y, a continuación, planificar e implementar las acciones adecuadas.

• Google Security Operations (Google SecOps) te ayuda a almacenar y analizar datos de seguridad de forma centralizada. Usa Google SecOps para asignar registros a un modelo común, enriquecer los registros y vincularlos a cronologías para obtener una vista completa de los ataques. También puedes crear reglas de detección, configurar la coincidencia de IoCs y realizar actividades de búsqueda de amenazas. La plataforma también ofrece detecciones seleccionadas, que son reglas predefinidas y gestionadas para ayudar a identificar amenazas. Google SecOps también se puede integrar con la inteligencia de primera línea de Mandiant. Google SecOps integra de forma única la IA líder del sector, junto con la inteligencia sobre amenazas de Mandiant y Google VirusTotal. Esta integración es fundamental para evaluar las amenazas y saber quién está atacando a tu organización y cuál es el impacto potencial.

• Security Command Center Enterprise, que se basa en la IA de Google, permite a los profesionales de la seguridad evaluar, investigar y responder de forma eficiente a los problemas de seguridad en varios entornos de nube. Los profesionales de seguridad que pueden beneficiarse de Security Command Center son los analistas del centro de operaciones de seguridad (SOC), los analistas de vulnerabilidades y postura, y los responsables de cumplimiento. Security Command Center Enterprise enriquece los datos de seguridad, evalúa los riesgos y prioriza las vulnerabilidades. Esta solución proporciona a los equipos la información que necesitan para abordar las vulnerabilidades de alto riesgo y corregir las amenazas activas.

• Chrome Enterprise Premium ofrece protección de datos y contra amenazas, lo que ayuda a proteger a los usuarios frente a los riesgos de exfiltración y evita que el malware llegue a los dispositivos gestionados por la empresa. Chrome Enterprise Premium también ofrece visibilidad de la actividad insegura o potencialmente insegura que puede producirse en el navegador.

• La monitorización de la red, mediante herramientas como Network Intelligence Center, te permite ver el rendimiento de la red. La monitorización de la red también puede ayudarte a detectar patrones de tráfico inusuales o cantidades de transferencia de datos que podrían indicar un ataque o un intento de filtración de datos.

Aprovechar al máximo tu sistema de defensa

Esta recomendación es pertinente para todas las áreas de interés.

Como hemos mencionado anteriormente, tienes ventaja sobre los atacantes si conoces a fondo tu empresa, tus sistemas, tu topología y tu infraestructura. Para sacar partido de esta ventaja, utiliza los datos sobre tus entornos durante la planificación de la ciberdefensa.

Google Cloud ofrece las siguientes funciones para ayudarte a obtener visibilidad de forma proactiva, identificar amenazas, comprender los riesgos y responder a tiempo para mitigar los posibles daños:

• Chrome Enterprise Premium te ayuda a mejorar la seguridad de los dispositivos de tu empresa protegiendo a los usuarios frente a los riesgos de exfiltración. Extiende los servicios de Protección de Datos Sensibles al navegador y evita el malware. También ofrece funciones como la protección contra malware y phishing para evitar la exposición a contenido no seguro. Además, te permite controlar la instalación de extensiones para evitar que se instalen extensiones no seguras o no verificadas. Estas funciones te ayudan a establecer una base segura para tus operaciones.

• Security Command Center Enterprise proporciona un motor de riesgo continuo que ofrece un análisis y una gestión de riesgos completos y permanentes. La función de motor de riesgos enriquece los datos de seguridad, evalúa los riesgos y prioriza las vulnerabilidades para ayudarte a solucionar los problemas rápidamente. Security Command Center permite a tu organización identificar de forma proactiva las vulnerabilidades e implementar medidas de mitigación.

• Google SecOps centraliza los datos de seguridad y proporciona registros enriquecidos con cronologías. De esta forma, los defensores pueden identificar de forma proactiva las vulneraciones activas y adaptar las defensas en función del comportamiento de los atacantes.

• La monitorización de la red ayuda a identificar la actividad de red irregular que podría indicar un ataque y proporciona indicadores tempranos que puedes usar para tomar medidas. Para proteger tus datos de forma proactiva contra robos, monitoriza continuamente las filtraciones de datos y usa las herramientas proporcionadas.

Valida y mejora tus defensas continuamente

Esta recomendación es pertinente para todas las áreas de interés.

Esta recomendación destaca la importancia de realizar pruebas específicas y validar los controles de forma continua para conocer los puntos fuertes y débiles de toda la superficie de ataque. Esto incluye la validación de la eficacia de los controles, las operaciones y el personal mediante métodos como los siguientes:

• Pruebas de penetración
• Ejercicios de equipo rojo y azul y equipo morado
• Ejercicios de simulación

También debes buscar activamente amenazas y usar los resultados para mejorar la detección y la visibilidad. Utiliza las siguientes herramientas para probar y validar continuamente tus defensas frente a amenazas reales:

• Security Command Center Enterprise proporciona un motor de riesgo continuo para evaluar las vulnerabilidades y priorizar la corrección, lo que permite evaluar continuamente tu postura de seguridad general. Al priorizar los problemas, Security Command Center Enterprise te ayuda a asegurarte de que los recursos se utilicen de forma eficaz.

• Google SecOps ofrece detecciones seleccionadas y de búsqueda de amenazas que te permiten identificar de forma proactiva las vulnerabilidades de tus controles. Esta función permite probar y mejorar continuamente tu capacidad para detectar amenazas.

• Chrome Enterprise Premium ofrece funciones de protección de datos y contra amenazas que pueden ayudarte a hacer frente a las amenazas nuevas y cambiantes, y a actualizar continuamente tus defensas contra los riesgos de exfiltración y el malware.

• Cloud Next Generation Firewall (Cloud NGFW) ofrece monitorización de redes y de exfiltración de datos. Estas funciones pueden ayudarte a validar la eficacia de tu postura de seguridad actual e identificar posibles puntos débiles. La monitorización de la exfiltración de datos te ayuda a validar la solidez de los mecanismos de protección de datos de tu organización y a hacer ajustes proactivos cuando sea necesario. Si integras los resultados de amenazas de Cloud NGFW con Security Command Center y Google SecOps, puedes optimizar la detección de amenazas basadas en la red, optimizar la respuesta ante amenazas y automatizar las guías de respuesta. Para obtener más información sobre esta integración, consulta el artículo Unificar las defensas en la nube: Security Command Center y Cloud NGFW Enterprise.

Gestionar y coordinar las iniciativas de ciberdefensa

Esta recomendación es pertinente para todas las áreas de interés.

Como se ha descrito anteriormente en Integrar las funciones de ciberdefensa, la función de control de la misión interconecta las demás funciones del programa de ciberdefensa. Esta función permite coordinar y gestionar de forma unificada todo el programa. También te ayuda a coordinarte con otros equipos que no se dedican a la ciberseguridad. La función de control de misiones fomenta la autonomía y la rendición de cuentas, facilita la agilidad y la experiencia, e impulsa la responsabilidad y la transparencia.

Los siguientes productos y funciones pueden ayudarte a implementar la función de control de misión:

• Security Command Center Enterprise actúa como centro de coordinación y gestión de tus operaciones de ciberdefensa. Reúne herramientas, equipos y datos, así como las funciones de respuesta integradas de Google SecOps. Security Command Center ofrece una visibilidad clara del estado de seguridad de tu organización y permite identificar errores de configuración de seguridad en diferentes recursos.
• Google SecOps proporciona una plataforma para que los equipos respondan a las amenazas mediante la asignación de registros y la creación de cronologías. También puedes definir reglas de detección y buscar amenazas.
• Google Workspace y Chrome Enterprise Premium te ayudan a gestionar y controlar el acceso de los usuarios finales a recursos sensibles. Puedes definir controles de acceso granulares basados en la identidad del usuario y el contexto de una solicitud.
• La monitorización de la red proporciona información valiosa sobre el rendimiento de los recursos de la red. Puedes importar las estadísticas de monitorización de la red a Security Command Center y Google SecOps para centralizar la monitorización y la correlación con otros puntos de datos basados en la cronología. Esta integración te ayuda a detectar y responder a posibles cambios en el uso de la red causados por actividades maliciosas.
• La monitorización de la filtración externa de datos ayuda a identificar posibles incidentes de pérdida de datos. Con esta función, puede movilizar de forma eficiente un equipo de respuesta ante incidentes, evaluar los daños y limitar la filtración de datos. También puedes mejorar las políticas y los controles actuales para garantizar la protección de datos.

Resumen del producto

En la siguiente tabla se enumeran los productos y las funciones que se describen en este documento y se relacionan con las recomendaciones y las funciones de seguridad asociadas.

Google Cloud product	Recomendaciones aplicables
Google SecOps	Usa la función de inteligencia en todos los aspectos de la ciberdefensa: permite la búsqueda de amenazas y la coincidencia de IoCs, y se integra con Mandiant para ofrecer una evaluación de amenazas completa. Aprovecha la ventaja de tu defensor: proporciona detecciones seleccionadas y centraliza los datos de seguridad para identificar las vulneraciones de forma proactiva. Valida y mejora tus defensas continuamente: permite probar y mejorar continuamente las capacidades de detección de amenazas. Gestionar y coordinar las medidas de ciberdefensa a través de Mission Control: proporciona una plataforma para la respuesta a amenazas, el análisis de registros y la creación de cronologías.
Security Command Center Enterprise	Usa la función de inteligencia en todos los aspectos de la ciberdefensa: utiliza la IA para evaluar los riesgos, priorizar las vulnerabilidades y proporcionar estadísticas útiles para la corrección. Conoce y aprovecha las ventajas de tu sistema de defensa: ofrece un análisis de riesgos completo, priorización de vulnerabilidades e identificación proactiva de puntos débiles. Valida y mejora tus defensas continuamente: ofrece una evaluación continua de la estrategia de seguridad y la priorización de recursos. Gestionar y coordinar las iniciativas de ciberdefensa a través de Mission Control: actúa como centro de gestión y coordinación de las operaciones de ciberdefensa.
Chrome Enterprise Premium	Usa la función de inteligencia en todos los aspectos de la ciberdefensa: protege a los usuarios frente a los riesgos de exfiltración, evita el malware y proporciona visibilidad sobre la actividad del navegador que no es segura. Aprovecha las ventajas de tu defensor: mejora la seguridad de los dispositivos de la empresa mediante la protección de datos, la prevención de malware y el control de las extensiones. Valida y mejora tus defensas continuamente: aborda las amenazas nuevas y en constante evolución mediante actualizaciones continuas de las defensas contra los riesgos de exfiltración y malware. Gestionar y coordinar las medidas de ciberdefensa a través de Mission Control: gestiona y controla el acceso de los usuarios finales a recursos sensibles, incluidos los controles de acceso detallados.
Google Workspace	Gestionar y coordinar las medidas de ciberdefensa a través de Mission Control: gestiona y controla el acceso de los usuarios finales a recursos sensibles, incluidos los controles de acceso detallados.
Network Intelligence Center	Usa la función de inteligencia en todos los aspectos de la ciberdefensa: proporciona visibilidad del rendimiento de la red y detecta patrones de tráfico o transferencias de datos inusuales.
Cloud NGFW	Valida y mejora tus defensas continuamente: optimiza la detección y la respuesta ante amenazas basadas en la red mediante la integración con Security Command Center y Google SecOps.