Google Cloud 良好架构框架的安全支柱中包含这一原则,其中提供了建议,以便您在整体安全策略中构建强大的网络防御计划。
此原则强调使用威胁情报主动指导您在核心网络防御功能方面的工作,如《The Defender's Advantage:网络防御体系建立指南》中所定义。
原则概览
当您为系统防范网络攻击时,您会获得一个对抗攻击者的巨大优势,但这个优势却被严重忽视。正如 Mandiant 的创始人所说,“您肯定比任何攻击者都更了解自己的业务、系统、拓扑和基础设施。这是一项不可多得的优势。”为帮助您利用这一固有优势,本文档提供了有关与《The Defender's Advantage》(防御者优势)框架对应的主动和战略性网络防御实践的建议。
建议
如需为云工作负载实现预防性网络防御,请考虑以下部分中的建议:
集成网络防御功能
此建议适用于所有重点领域。
《Defender’s Advantage》框架确定了网络防御的六项关键功能:情报、检测、响应、验证、搜寻和任务控制。每项功能都侧重于网络防御任务的独特部分,但这些功能必须协调一致并协同工作,才能提供有效的防御。专注于构建一个强大且集成的系统,其中每个功能都支持其他功能。如果您需要分阶段采用,请考虑以下建议顺序。根据您当前的云成熟度、资源拓扑和具体威胁形势,您可能需要优先考虑某些功能。
- 智能:智能功能可指导所有其他功能。了解威胁形势(包括最有可能的攻击者、他们的策略、技术和流程 [TTP] 以及潜在影响)对于确定整个计划中的行动优先级至关重要。情报功能负责确定利益相关方、定义情报要求、数据收集、分析和传播、自动化以及创建网络威胁概况。
- 检测和响应:这些功能构成了主动防御的核心,其中包括识别和解决恶意活动。这些函数对于根据智能函数收集的情报采取行动至关重要。检测函数需要采用系统的方法,使检测与攻击者的 TTP 保持一致,并确保强大的日志记录。“响应”功能必须侧重于初始分类、数据收集和突发事件修复。
- 验证:验证功能是一项持续性流程,可确保您的安全控制生态系统处于最新状态并按预期运行。此功能可确保贵组织了解攻击面、知道存在漏洞的位置,并衡量控制措施的有效性。安全验证也是检测工程生命周期的重要组成部分,必须用于识别检测缺口并创建新的检测。
- Hunt:Hunt 功能涉及主动搜索环境中的活跃威胁。当贵组织在检测和响应功能方面达到基准成熟度时,必须实现此功能。Hunt 函数可扩展检测功能,并有助于发现控制缺口和薄弱环节。搜索功能必须基于特定威胁。此高级功能得益于强大的情报、检测和响应功能。
- 任务控制:任务控制功能充当连接所有其他功能的中央枢纽。此职能负责制定网络防御计划的策略、进行沟通和采取果断行动。这可确保所有功能协同运作,并与贵组织的业务目标保持一致。在使用任务控制功能连接其他功能之前,您必须先着重明确任务控制功能的用途。
在网络防御的所有方面使用情报功能
此建议适用于所有重点领域。
此建议强调了情报功能是强大网络防御计划的核心部分。威胁情报可提供有关威胁行为者、其 TTP 和失陷指标 (IOC) 的知识。这些知识应为所有网络防御职能部门提供决策依据,并确定行动优先级。以情报为依据的方法可帮助您调整防御措施,以应对最有可能影响贵组织的威胁。这种方法还有助于高效分配和确定资源优先级。
以下 Google Cloud 产品和功能可帮助您利用威胁情报来指导安全运维。使用这些功能可识别潜在威胁、漏洞和风险并确定其优先级,然后规划和实施适当的措施。
Google Security Operations (Google SecOps) 可帮助您集中存储和分析安全数据。使用 Google SecOps 将日志映射到通用模型中,丰富日志,并将日志关联到时间轴,以便全面了解攻击。您还可以创建检测规则,设置 IoC 匹配,以及执行威胁搜寻活动。该平台还提供精选检测规则,这些规则是预定义的代管式规则,可帮助识别威胁。Google SecOps 还可以与 Mandiant 一线情报集成。Google SecOps 独特地集成了业界领先的 AI 技术,以及 Mandiant 提供的威胁情报和 Google VirusTotal。这项集成对于评估威胁、了解谁在针对贵组织以及潜在影响至关重要。
Security Command Center Enterprise 由 Google AI 提供支持,可帮助安全专业人员高效评估、调查和响应多个云环境中的安全问题。可以从 Security Command Center 中受益的安全专业人士包括安全运营中心 (SOC) 分析师、漏洞和状况分析师以及合规性管理员。Security Command Center 企业版可丰富安全数据、评估风险并确定漏洞的优先级。此解决方案可为团队提供解决高风险漏洞和补救当前威胁所需的信息。
Chrome Enterprise 进阶版提供威胁防范和数据保护功能,可帮助用户避免渗漏风险,并防止恶意软件进入企业管理的设备。Chrome Enterprise 进阶版还可让您了解浏览器中可能发生的不安全或潜在不安全活动。
通过 Network Intelligence Center 等工具进行网络监控,可让您了解网络性能。网络监控还可以帮助您检测异常的流量模式,或检测可能表明攻击或数据泄露尝试的数据传输量。
了解并利用防御者的优势
此建议适用于所有重点领域。
如前所述,如果您对自己的业务、系统、拓扑和基础架构有深入的了解,就比攻击者更具优势。为了充分利用这种知识优势,请在制定网络防御计划时利用这些有关环境的数据。
Google Cloud 提供以下功能,可帮助您主动了解情况,以识别威胁、了解风险并及时做出响应,从而减少潜在损害:
Chrome Enterprise 进阶版可保护用户免受渗漏风险,从而帮助您增强企业设备的安全性。它可将 Sensitive Data Protection 服务扩展到浏览器,并防范恶意软件。它还提供防范恶意软件和钓鱼式攻击等功能,有助于防止用户接触到不安全的内容。此外,您还可以控制扩展程序的安装,以防止安装不安全或未经审核的扩展程序。这些功能可帮助您为运营奠定安全基础。
Security Command Center Enterprise 提供持续的风险引擎,可提供全面且持续的风险分析和管理。风险引擎功能可丰富安全数据、评估风险并确定漏洞的优先级,以帮助您快速解决问题。借助 Security Command Center,贵组织可以主动发现弱点并实施缓解措施。
Google SecOps 可集中管理安全数据,并提供包含时间轴的丰富日志。这样,防御者就可以主动识别正在进行的入侵行为,并根据攻击者的行为调整防御措施。
网络监控有助于识别可能表明攻击的异常网络活动,并提供可用于采取行动的早期指标。为了帮助您主动保护数据免遭盗窃,请持续监控数据渗漏情况,并使用提供的工具。
持续验证和改进防御措施
此建议与所有重点领域都相关。
此建议强调了有针对性地测试控制措施并持续验证其重要性,以了解整个攻击面的优势和劣势。这包括通过以下方法验证控制措施、操作和人员的有效性:
您还必须主动搜索威胁,并利用搜索结果来提高检测能力和可见度。使用以下工具持续测试和验证您对抗真实威胁的防御能力:
Security Command Center Enterprise 提供持续风险引擎,可评估漏洞并确定修复优先级,从而持续评估您的整体安全状况。Security Command Center Enterprise 可帮助您确定问题的优先级,从而确保资源得到有效利用。
Google SecOps 提供威胁搜索和精选检测功能,可让您主动发现控制措施中的弱点。借助此功能,您可以持续测试并改进检测威胁的能力。
Chrome Enterprise 进阶版提供威胁防范和数据保护功能,可帮助您应对不断变化的新威胁,并不断更新防范渗漏风险和恶意软件的防御措施。
Cloud 新一代防火墙 (Cloud NGFW) 提供网络监控和数据渗漏监控。这些功能可帮助您验证当前安全状况的有效性,并找出潜在的弱点。数据渗漏监控功能可帮助您验证贵组织的数据保护机制的强度,并在必要时主动进行调整。将 Cloud NGFW 中的威胁发现结果与 Security Command Center 和 Google SecOps 集成后,您可以优化基于网络的威胁检测、优化威胁响应,并自动执行操作手册。如需详细了解此集成,请参阅统一云端防御:Security Command Center 和 Cloud NGFW 企业版。
管理和协调网络防御工作
此建议适用于所有重点领域。
如集成网络防御功能中所述,任务控制功能可将网络防御计划的其他功能关联起来。此功能可实现整个计划的协调和统一管理。它还可帮助您与不负责网络安全的其他团队协调工作。Mission Control 功能有助于赋予用户权力和问责能力,促进敏捷性和专业性,并推动责任感和透明度。
以下产品和功能可帮助您实现任务控制功能:
- Security Command Center Enterprise 可充当协调和管理网络防御操作的中央枢纽。它可将工具、团队和数据整合到一起,并提供内置的 Google SecOps 响应功能。Security Command Center 可让您清晰了解组织的安全状态,并识别不同资源中的安全配置错误。
- Google SecOps 为团队提供了一个平台,可通过映射日志和创建时间轴来应对威胁。您还可以定义检测规则并搜索威胁。
- Google Workspace 和 Chrome Enterprise 进阶版可帮助您管理和控制最终用户对敏感资源的访问权限。您可以根据用户身份和请求的情境定义精细的访问权限控制。
- 网络监控可深入了解网络资源的性能。您可以将网络监控数据洞见导入 Security Command Center 和 Google SecOps,以便集中监控并与其他基于时间轴的数据点相关联。此集成可帮助您检测和响应由恶意活动导致的潜在网络使用情况变化。
- 数据渗漏监控有助于识别可能的数据丢失事故。借助此功能,您可以高效地调动突发事件响应团队、评估损失并限制进一步的数据渗漏。您还可以改进当前的政策和控制措施,以确保数据保护。
产品摘要
下表列出了本文档中介绍的产品和功能,并将其与相关的建议和安全功能进行了对应。
| Google Cloud 产品 | 适用的建议 |
|---|---|
| Google SecOps |
在网络防御的各个方面使用情报功能:启用威胁搜寻和 IoC 匹配,并与 Mandiant 集成以进行全面的威胁评估。
了解并充分利用防御者的优势:提供精选的检测功能,并集中管理安全数据,以便主动识别入侵行为。 持续验证和改进防御措施:支持持续测试和改进威胁检测功能。通过任务控制功能管理和协调网络防御工作:提供一个用于威胁响应、日志分析和时间轴创建的平台。 |
| Security Command Center Enterprise |
在网络防御的各个方面使用情报功能:使用 AI 评估风险、确定漏洞优先级,并提供有助于进行补救的实用数据分析。
了解并充分利用自身作为防御者的优势:提供全面的风险分析、漏洞优先级划分,以及主动识别弱点。 持续验证和改进防御措施:提供持续的安全状况评估和资源优先级设置。通过任务控制功能管理和协调网络防御工作:充当管理和协调网络防御操作的中央枢纽。 |
| Chrome 企业进阶版 |
在网络防御的各个方面使用情报功能:帮助用户防范渗漏风险、防止恶意软件,并可让您了解不安全的浏览器活动。
了解并充分利用防护工具的优势:通过数据保护、防恶意软件和对扩展程序的控制,增强企业设备的安全性。 持续验证和改进防御措施:通过不断更新防范渗漏风险和恶意软件的防御措施,应对新出现和不断演变的威胁。通过任务控制功能管理和协调网络防御工作:管理和控制最终用户对敏感资源的访问权限,包括精细的访问权限控制。 |
| Google Workspace | 通过任务控制管理和协调网络防御工作:管理和控制最终用户对敏感资源的访问权限,包括精细的访问权限控制。 |
| Network Intelligence Center | 在网络防御的各个方面使用情报功能:提供对网络性能的直观了解,并检测异常流量模式或数据传输。 |
| Cloud NGFW | 持续验证和改进防御措施:通过与 Security Command Center 和 Google SecOps 集成,优化基于网络的威胁检测和响应。 |