Questo principio del pilastro della sicurezza del Google Cloud Architecture Framework fornisce consigli per creare programmi di cyberdifesa efficaci nell'ambito della strategia di sicurezza complessiva.
Questo principio sottolinea l'uso dell'intelligence sulle minacce per guidare in modo proattivo le tue attività nelle funzioni di difesa informatica di base, come definito in The Defender's Advantage: una guida per attivare la difesa informatica.
Panoramica dei principi
Quando difendi il tuo sistema dagli attacchi informatici, hai un vantaggio significativo e sottoutilizzato rispetto agli utenti malintenzionati. Come afferma il fondatore di Mandiant, "devi conoscere la tua attività, i tuoi sistemi, la tua topologia e la tua infrastruttura meglio di qualsiasi malintenzionato. Si tratta di un vantaggio incredibile." Per aiutarti a sfruttare questo vantaggio intrinseco, questo documento fornisce consigli sulle pratiche di cyberdifesa proattive e strategiche mappate al framework Defender's Advantage.
Consigli
Per implementare la difesa cibernetica preventiva per i tuoi workload cloud, prendi in considerazione i consigli riportati nelle seguenti sezioni:
- Integrare le funzioni della difesa informatica
- Utilizza la funzione di intelligence in tutti gli aspetti della difesa informatica
- Comprendere e sfruttare il vantaggio del difensore
- Convalida e migliora continuamente le tue difese
- Gestire e coordinare le attività di cyberdifesa
Integrare le funzioni della difesa informatica
Questo consiglio è pertinente per tutte le aree di interesse.
Il framework The Defender's Advantage identifica sei funzioni critiche della difesa informatica: Intelligence, Rilevamento, Risposta, Convalida, Ricerca e Mission Control. Ogni funzione si concentra su un aspetto unico della missione di cyberdifesa, ma queste funzioni devono essere ben coordinate e lavorare insieme per fornire una difesa efficace. Concentrati sulla creazione di un sistema robusto e integrato in cui ogni funzione supporta le altre. Se hai bisogno di un approccio graduale per l'adozione, considera l'ordine suggerito di seguito. A seconda del livello di maturità del cloud, della topologia delle risorse e del panorama di minacce specifico, potresti dare la priorità a determinate funzioni.
- Intelligenza: la funzione di intelligence guida tutte le altre funzioni. Comprendere il panorama delle minacce, inclusi gli autori di attacchi più probabili, le loro tattiche, tecniche e procedure (TTP) e il potenziale impatto, è fondamentale per dare la priorità alle azioni nell'intero programma. La funzione di intelligence è responsabile dell'identificazione degli stakeholder, della definizione dei requisiti di intelligence, della raccolta, dell'analisi e della diffusione dei dati, dell'automazione e della creazione di un profilo di minacce informatiche.
- Rileva e rispondi: queste funzioni costituiscono il nucleo della difesa attiva, che prevede l'identificazione e la gestione delle attività dannose. Queste funzioni sono necessarie per intervenire in base alle informazioni raccolte dalla funzione di intelligence. La funzione Detect richiede un approccio metodico che allinei i rilevamenti alle TTP degli aggressori e garantisca un logging affidabile. La funzione di risposta deve concentrarsi sulla selezione iniziale, sulla raccolta dei dati e sulla correzione degli incidenti.
- Convalida: la funzione di convalida è un processo continuo che garantisce che l'ecosistema di controllo della sicurezza sia aggiornato e funzioni come previsto. Questa funzione garantisce che la tua organizzazione comprenda la superficie di attacco, sappia dove esistono vulnerabilità e misuri l'efficacia dei controlli. La convalida della sicurezza è anche un componente importante del ciclo di vita della progettazione del rilevamento e deve essere utilizzata per identificare le lacune di rilevamento e creare nuovi rilevamenti.
- Caccia: la funzione Caccia prevede la ricerca proattiva di minacce attive all'interno di un ambiente. Questa funzione deve essere implementata quando la tua organizzazione ha un livello di maturità di base nelle funzioni di rilevamento e risposta. La funzione Hunt amplia le funzionalità di rilevamento e aiuta a identificare lacune e punti deboli nei controlli. La funzione di ricerca deve essere basata su minacce specifiche. Questa funzionalità avanzata si basa su solide funzionalità di intelligence, rilevamento e risposta.
- Mission Control: la funzione Mission Control funge da hub centrale che collega tutte le altre funzioni. Questa funzione è responsabile della strategia, della comunicazione e dell'azione decisiva nell'ambito del programma di cyberdifesa. Garantisce che tutte le funzioni funzionino insieme e che siano in linea con gli obiettivi commerciali della tua organizzazione. Devi concentrarti su una comprensione chiara dello scopo della funzione Mission Control prima di utilizzarla per collegare le altre funzioni.
Utilizza la funzione di intelligence in tutti gli aspetti della difesa informatica
Questo consiglio è pertinente per tutte le aree di interesse.
Questo consiglio mette in evidenza la funzione di intelligence come parte fondamentale di un solido programma di cyberdifesa. La threat intelligence fornisce informazioni sugli attori delle minacce, sulle loro TTP e sugli indicatori di compromissione (IOC). Queste conoscenze devono informare e dare la priorità alle azioni in tutte le funzioni di difesa informatica. Un approccio basato sull'intelligence ti aiuta ad allineare le difese per far fronte alle minacce che hanno maggiori probabilità di colpire la tua organizzazione. Questo approccio aiuta anche a ottimizzare l'allocazione e la definizione delle priorità delle risorse.
I seguenti Google Cloud prodotti e funzionalità ti aiutano a sfruttare la threat intelligence per orientare le tue operazioni di sicurezza. Utilizza queste funzionalità per identificare e dare la priorità a potenziali minacce, vulnerabilità e rischi, quindi pianifica e implementa le azioni appropriate.
Google Security Operations (Google SecOps) ti aiuta ad archiviare e analizzare i dati di sicurezza in modo centralizzato. Utilizza Google SecOps per mappare i log in un modello comune, arricchirli e collegarli alle sequenze temporali per una visione completa degli attacchi. Puoi anche creare regole di rilevamento, configurare la corrispondenza di indicatori di compromissione e svolgere attività di ricerca di minacce. La piattaforma fornisce anche rilevamenti selezionati, ovvero regole predefinite e gestite per aiutare a identificare le minacce. Google SecOps può anche essere integrato con Mandiant Frontline Intelligence. Google SecOps integra in modo unico l'AI leader del settore, insieme alla threat intelligence di Mandiant e a Google VirusTotal. Questa integrazione è fondamentale per la valutazione delle minacce e per capire chi ha scelto come bersaglio la tua organizzazione e il potenziale impatto.
Security Command Center Enterprise, basato sull'IA di Google, consente ai professionisti della sicurezza di valutare, esaminare e rispondere in modo efficiente ai problemi di sicurezza in più ambienti cloud. I professionisti della sicurezza che possono trarre vantaggio da Security Command Center includono analisti del Security Operations Center (SOC), analisti di vulnerabilità e strategie di sicurezza e responsabili della conformità. Security Command Center Enterprise arricchisce i dati sulla sicurezza, valuta i rischi e dà priorità alle vulnerabilità. Questa soluzione fornisce ai team le informazioni di cui hanno bisogno per gestire le vulnerabilità ad alto rischio e correggere le minacce attive.
Chrome Enterprise Premium offre protezione dei dati e dalle minacce, che aiuta a proteggere gli utenti dai rischi di esfiltrazione e impedisce ai malware di accedere ai dispositivi gestiti dall'azienda. Chrome Enterprise Premium offre anche visibilità sulle attività non sicure o potenzialmente non sicure che possono verificarsi nel browser.
Il monitoraggio della rete, tramite strumenti come Network Intelligence Center, offre visibilità sulle prestazioni della rete. Il monitoraggio della rete può anche aiutarti a rilevare pattern di traffico insoliti o quantità di trasferimento di dati che potrebbero indicare un attacco o un tentativo di esfiltrazione dei dati.
Comprendere e sfruttare il vantaggio di chi si difende
Questo consiglio è pertinente per tutte le aree di interesse.
Come accennato in precedenza, hai un vantaggio rispetto agli attaccanti se hai una conoscenza approfondita della tua attività, dei tuoi sistemi, della tua topologia e della tua infrastruttura. Per sfruttare questo vantaggio in termini di conoscenza, utilizza questi dati sui tuoi ambienti durante la pianificazione della cyberdifesa.
Google Cloud offre le seguenti funzionalità per aiutarti a ottenere in modo proattivo la visibilità necessaria per identificare le minacce, comprendere i rischi e rispondere in modo tempestivo per mitigare i potenziali danni:
Chrome Enterprise Premium ti aiuta a migliorare la sicurezza dei dispositivi aziendali proteggendo gli utenti dai rischi di esfiltrazione. Estende i servizi Sensitive Data Protection nel browser e impedisce i malware. Offre inoltre funzionalità come la protezione da malware e phishing per contribuire a evitare l'esposizione a contenuti non sicuri. Inoltre, ti consente di controllare l'installazione delle estensioni per evitare quelle non sicure o non sottoposte a verifica. Queste funzionalità ti aiutano a creare una base sicura per le tue operazioni.
Security Command Center Enterprise fornisce un motore dei rischi continuo che offre analisi e gestione dei rischi complete e continuative. La funzionalità dell'engine di rischio arricchisce i dati sulla sicurezza, valuta i rischi e dà la priorità alle vulnerabilità per aiutarti a risolvere rapidamente i problemi. Security Command Center consente alla tua organizzazione di identificare in modo proattivo le debolezze e implementare le mitigazioni.
Google SecOps centralizza i dati sulla sicurezza e fornisce log arricchiti con tempistiche. In questo modo, i difensori possono identificare proattivamente le compromissioni attive e adattare le difese in base al comportamento degli aggressori.
Il monitoraggio della rete consente di identificare attività di rete irregolari che potrebbero indicare un attacco e fornisce indicatori precoci che puoi utilizzare per intervenire. Per proteggere in modo proattivo i tuoi dati dal furto, monitora costantemente la loro esfiltrazione e utilizza gli strumenti forniti.
Convalida e migliora continuamente le tue difese
Questo consiglio è pertinente per tutte le aree di interesse.
Questo consiglio sottolinea l'importanza dei test mirati e della convalida continua dei controlli per comprendere i punti di forza e di debolezza nell'intera superficie di attacco. Ciò include la convalida dell'efficacia di controlli, operazioni e personale tramite metodi come:
Devi anche cercare attivamente le minacce e utilizzare i risultati per migliorare il rilevamento e la visibilità. Utilizza i seguenti strumenti per testare e convalidare continuamente le tue difese contro le minacce del mondo reale:
Security Command Center Enterprise fornisce un motore di rischio continuo per valutare le vulnerabilità e dare la priorità alla correzione, il che consente di valutare continuamente la tua postura di sicurezza complessiva. Assegnando priorità ai problemi, Security Command Center Enterprise ti aiuta a garantire che le risorse vengano utilizzate in modo efficace.
Google SecOps offre rilevamenti selezionati e di ricerca di minacce che ti consentono di identificare in modo proattivo i punti deboli dei tuoi controlli. Questa funzionalità consente di testare e migliorare continuamente la tua capacità di rilevare le minacce.
Chrome Enterprise Premium offre funzionalità di protezione dei dati e dalle minacce che possono aiutarti a gestire minacce nuove ed emergenti e ad aggiornare continuamente le tue difese contro i rischi di esfiltrazione e i malware.
Cloud Next Generation Firewall (Cloud NGFW) fornisce il monitoraggio della rete e della fuga di dati. Queste funzionalità possono aiutarti a convalidare l'efficacia della tua attuale security posture e identificare potenziali debolezze. Il monitoraggio dell'esfiltrazione dei dati consente di convalidare l'efficacia degli attuali meccanismi di protezione dei dati dell'organizzazione e di apportare aggiustamenti proattivi ove necessario. Quando integri i risultati relativi alle minacce di Cloud NGFW con Security Command Center e Google SecOps, puoi ottimizzare il rilevamento delle minacce basato sulla rete, ottimizzare la risposta alle minacce e automatizzare i playbook. Per ulteriori informazioni su questa integrazione, consulta Unifying Your Cloud Defenses: Security Command Center & Cloud NGFW Enterprise.
Gestire e coordinare le attività di difesa informatica
Questo consiglio è pertinente per tutte le aree di interesse.
Come descritto in precedenza in Integrare le funzioni di difesa informatica, la funzione di controllo missione interconnette le altre funzioni del programma di difesa informatica. Questa funzione consente il coordinamento e la gestione unificata del programma. Inoltre, ti aiuta a coordinarti con altri team che non si occupano di cybersicurezza. La funzionalità Mission Control promuove empowerment e responsabilità, facilita l'agilità e la competenza e promuove responsabilità e trasparenza.
I seguenti prodotti e funzionalità possono aiutarti a implementare la funzionalità Mission Control:
- Security Command Center Enterprise funge da hub centrale per coordinare e gestire le operazioni di cyberdifesa. Mette insieme strumenti, team e dati, nonché le funzionalità di risposta di Google SecOps integrate. Security Command Center offre una chiara visibilità sullo stato della sicurezza della tua organizzazione e consente di identificare le configurazioni errate della sicurezza in diverse risorse.
- Google SecOps fornisce una piattaforma per consentire ai team di rispondere alle minacce mappando i log e creando sequenze temporali. Puoi anche definire regole di rilevamento e cercare minacce.
- Google Workspace e Chrome Enterprise Premium ti aiutano a gestire e controllare l'accesso degli utenti finali alle risorse sensibili. Puoi definire controlli di accesso granulari in base all'identità dell'utente e al contesto di una richiesta.
- Il monitoraggio della rete fornisce informazioni sul rendimento delle risorse di rete. Puoi importare gli approfondimenti sul monitoraggio della rete in Security Command Center e in Google SecOps per il monitoraggio e la correlazione centralizzati rispetto ad altri punti dati basati su sequenze temporali. Questa integrazione ti aiuta a rilevare e rispondere a potenziali variazioni nell'utilizzo della rete causate da attività illecite.
- Il monitoraggio dell'esfiltrazione di dati consente di identificare possibili incidenti di perdita di dati. Con questa funzionalità, puoi mobilitare in modo efficiente un team di risposta agli incidenti, valutare i danni e limitare l'ulteriore esfiltrazione di dati. Puoi anche migliorare i criteri e i controlli attuali per garantire la protezione dei dati.
Riepilogo prodotto
La tabella seguente elenca i prodotti e le funzionalità descritti in questo documento e li mappa alle funzionalità di sicurezza e ai consigli associati.
| Google Cloud prodotto | Consigli applicabili |
|---|---|
| Google SecOps |
Utilizza la funzione di intelligence in tutti gli aspetti della difesa informatica:
Consente la ricerca delle minacce e la corrispondenza degli indicatori di compromissione e si integra con
Mandiant per una valutazione completa delle minacce.
Comprendi e sfrutta il vantaggio del difensore: fornisce rilevamenti selezionati e centralizza i dati di sicurezza per l'identificazione proattiva delle compromissioni. Convalida e migliora continuamente le tue difese: consente il test e il miglioramento continui delle funzionalità di rilevamento delle minacce.Gestisci e coordina le attività di difesa informatica tramite Mission Control: fornisce una piattaforma per la risposta alle minacce, l'analisi dei log e la creazione di schemi temporali. |
| Security Command Center Enterprise |
Utilizza la funzione di intelligence in tutti gli aspetti della difesa informatica:
utilizza l'IA per valutare i rischi, dare la priorità alle vulnerabilità e fornire informazioni strategiche per la correzione.
Comprendi e sfrutta il Defender's Advantage: offre analisi dei rischi completa, priorità alle vulnerabilità e identificazione proattiva delle debolezze. Convalida e migliora costantemente le tue difese: fornisce una valutazione continua della strategia di sicurezza e la definizione delle priorità delle risorse.Gestisci e coordina le attività di difesa informatica tramite Mission Control: agisce come hub centrale per la gestione e il coordinamento delle operazioni di difesa informatica. |
| Chrome Enterprise Premium |
Utilizza la funzione di intelligence in tutti gli aspetti della difesa informatica:
protegge gli utenti dai rischi di esfiltrazione, previene i malware e
fornisce visibilità sulle attività del browser non sicure.
Comprendi e sfrutta il vantaggio del difensore: migliora la sicurezza dei dispositivi aziendali tramite protezione dei dati, prevenzione del malware e controllo delle estensioni. Convalida e migliora continuamente le tue difese: affronta le minacce nuove ed emergenti tramite aggiornamenti continui delle difese contro i rischi di esfiltrazione e i malware.Gestisci e coordina le attività di cyberdifesa tramite Mission Control: gestisci e controlla l'accesso degli utenti finali alle risorse sensibili, inclusi i controlli granulari degli accessi. |
| Google Workspace | Gestisci e coordina le attività di cyberdifesa tramite Mission Control: gestisci e controlla l'accesso degli utenti finali alle risorse sensibili, inclusi i controlli granulari degli accessi. |
| Network Intelligence Center | Utilizza la funzione di intelligence in tutti gli aspetti della difesa informatica: offre visibilità sul rendimento della rete e rileva pattern di traffico o trasferimenti di dati insoliti. |
| Cloud NGFW | Convalida e migliora continuamente le tue difese: ottimizza il rilevamento e la risposta alle minacce basate sulla rete tramite l'integrazione con Security Command Center e Google SecOps. |