Este princípio no pilar de segurança do Google Cloud Framework bem arquitetado fornece recomendações para criar programas de defesa cibernética robustos como parte da sua estratégia de segurança geral.
Este princípio enfatiza a utilização de informações sobre ameaças para orientar proativamente os seus esforços nas funções essenciais de ciberdefesa, conforme definido em A vantagem do defensor: um guia para ativar a ciberdefesa.
Vista geral do princípio
Quando defende o seu sistema contra ciberataques, tem uma vantagem significativa e subutilizada contra os atacantes. Conforme afirma o fundador da Mandiant, "Deve saber mais sobre a sua empresa, os seus sistemas, a sua topologia e a sua infraestrutura do que qualquer atacante. Esta é uma vantagem incrível." Para ajudar a usar esta vantagem inerente, este documento fornece recomendações sobre práticas de ciberdefesa proativas e estratégicas mapeadas para a estrutura de vantagens do defensor.
Recomendações
Para implementar uma defesa cibernética preventiva para as suas cargas de trabalho na nuvem, considere as recomendações nas secções seguintes:
- Integre as funções de defesa cibernética
- Use a função de inteligência em todos os aspetos da defesa cibernética
- Compreenda e tire partido da vantagem do defensor
- Valide e melhore as suas defesas continuamente
- Faça a gestão e coordene os esforços de defesa cibernética
Integre as funções de ciberdefesa
Esta recomendação é relevante para todas as áreas de foco.
A estrutura Defender's Advantage identifica seis funções críticas da ciberdefesa: inteligência, deteção, resposta, validação, procura e controlo da missão. Cada função centra-se numa parte única da missão de ciberdefesa, mas estas funções têm de estar bem coordenadas e funcionar em conjunto para oferecer uma defesa eficaz. Foque-se na criação de um sistema robusto e integrado em que cada função suporta as outras. Se precisar de uma abordagem faseada para a adoção, considere a seguinte ordem sugerida. Consoante a maturidade da nuvem atual, a topologia dos recursos e o panorama de ameaças específico, pode querer dar prioridade a determinadas funções.
- Inteligência: a função de inteligência orienta todas as outras funções. Compreender o panorama das ameaças, incluindo os atacantes mais prováveis, as respetivas táticas, técnicas e procedimentos (TTPs) e o potencial impacto, é fundamental para dar prioridade às ações em todo o programa. A função de inteligência é responsável pela identificação dos intervenientes, pela definição dos requisitos de inteligência, pela recolha, análise e disseminação de dados, pela automatização e pela criação de um perfil de ameaça cibernética.
- Deteção e resposta: estas funções constituem o núcleo da defesa ativa, que envolve a identificação e a resolução de atividade maliciosa. Estas funções são necessárias para agir com base nas informações recolhidas pela função de inteligência. A função Detect requer uma abordagem metódica que alinhe as deteções com as TTPs dos atacantes e garanta um registo robusto. A função Responder tem de se focar na triagem inicial, na recolha de dados e na correção de incidentes.
- Validar: a função de validação é um processo contínuo que garante que o seu ecossistema de controlo de segurança está atualizado e a funcionar conforme previsto. Esta função garante que a sua organização compreende a superfície de ataque, sabe onde existem vulnerabilidades e mede a eficácia dos controlos. A validação de segurança também é um componente importante do ciclo de vida da engenharia de deteção e tem de ser usada para identificar lacunas de deteção e criar novas deteções.
- Hunt: a função Hunt envolve a pesquisa proativa de ameaças ativas num ambiente. Esta função tem de ser implementada quando a sua organização tiver um nível de maturidade de base nas funções de deteção e resposta. A função de procura expande as capacidades de deteção e ajuda a identificar lacunas e pontos fracos nos controlos. A função de procura tem de se basear em ameaças específicas. Esta função avançada beneficia de uma base de capacidades de inteligência, deteção e resposta robustas.
- Mission Control: a função Mission Control atua como o hub central que liga todas as outras funções. Esta função é responsável pela estratégia, comunicação e ação decisiva no seu programa de defesa cibernética. Garante que todas as funções funcionam em conjunto e que estão alinhadas com os objetivos empresariais da sua organização. Tem de se concentrar em estabelecer uma compreensão clara da finalidade da função de controlo da missão antes de a usar para associar as outras funções.
Use a função de inteligência em todos os aspetos da defesa cibernética
Esta recomendação é relevante para todas as áreas de foco.
Esta recomendação realça a função de inteligência como parte essencial de um programa de ciberdefesa forte. As informações sobre ameaças fornecem conhecimentos sobre os autores de ameaças, as respetivas TTPs e os indicadores de comprometimento (IOCs). Estes conhecimentos devem informar e dar prioridade às ações em todas as funções de defesa cibernética. Uma abordagem baseada em inteligência ajuda a alinhar as defesas para fazer face às ameaças com maior probabilidade de afetarem a sua organização. Esta abordagem também ajuda na atribuição e priorização eficientes de recursos.
Os seguintes Google Cloud produtos e funcionalidades ajudam a tirar partido da inteligência sobre ameaças para orientar as suas operações de segurança. Use estas funcionalidades para identificar e priorizar potenciais ameaças, vulnerabilidades e riscos e, em seguida, planear e implementar as ações adequadas.
O Google Security Operations (Google SecOps) ajuda a armazenar e analisar dados de segurança de forma centralizada. Use o Google SecOps para mapear registos num modelo comum, enriquecer os registos e associá-los a cronologias para uma vista abrangente dos ataques. Também pode criar regras de deteção, configurar a correspondência de IoCs e realizar atividades de procura de ameaças. A plataforma também oferece deteções organizadas, que são regras predefinidas e geridas para ajudar a identificar ameaças. O Google SecOps também pode ser integrado com a inteligência de linha da frente da Mandiant. O Google SecOps integra de forma exclusiva a IA líder da indústria, juntamente com a inteligência sobre ameaças da Mandiant e o Google VirusTotal. Esta integração é fundamental para a avaliação de ameaças e para compreender quem está a segmentar a sua organização e o potencial impacto.
O Security Command Center Enterprise, com tecnologia de IA da Google, permite que os profissionais de segurança avaliem, investiguem e respondam de forma eficiente a problemas de segurança em vários ambientes de nuvem. Os profissionais de segurança que podem beneficiar do Security Command Center incluem analistas do centro de operações de segurança (SOC), analistas de vulnerabilidades e postura, e gestores de conformidade. O Security Command Center Enterprise enriquece os dados de segurança, avalia o risco e dá prioridade às vulnerabilidades. Esta solução fornece às equipas as informações de que precisam para resolver vulnerabilidades de alto risco e corrigir ameaças ativas.
O Chrome Enterprise Premium oferece proteção contra ameaças e de dados, o que ajuda a proteger os utilizadores contra riscos de exfiltração e impede que software malicioso seja instalado em dispositivos geridos pela empresa. O Chrome Enterprise Premium também oferece visibilidade da atividade não segura ou potencialmente não segura que pode ocorrer no navegador.
A monitorização da rede, através de ferramentas como o Network Intelligence Center, oferece visibilidade do desempenho da rede. A monitorização de rede também pode ajudar a detetar padrões de tráfego invulgares ou detetar quantidades de transferência de dados que podem indicar um ataque ou uma tentativa de exfiltração de dados.
Compreenda e tire partido da vantagem do defensor
Esta recomendação é relevante para todas as áreas de foco.
Conforme mencionado anteriormente, tem uma vantagem sobre os atacantes quando tem um conhecimento completo da sua empresa, sistemas, topologia e infraestrutura. Para tirar partido desta vantagem de conhecimento, use estes dados sobre os seus ambientes durante o planeamento da defesa cibernética.
Google Cloud oferece as seguintes funcionalidades para ajudar a obter proativamente visibilidade para identificar ameaças, compreender riscos e responder atempadamente para mitigar potenciais danos:
O Chrome Enterprise Premium ajuda a melhorar a segurança dos dispositivos empresariais protegendo os utilizadores contra riscos de exfiltração. Estende os serviços de proteção de dados confidenciais ao navegador e impede software malicioso. Também oferece funcionalidades como proteção contra software malicioso e phishing para ajudar a evitar a exposição a conteúdo não seguro. Além disso, dá-lhe controlo sobre a instalação de extensões para ajudar a evitar extensões inseguras ou não validadas. Estas capacidades ajudam a estabelecer uma base segura para as suas operações.
O Security Command Center Enterprise oferece um motor de risco contínuo que oferece análise e gestão de riscos abrangentes e contínuas. A funcionalidade do motor de risco enriquece os dados de segurança, avalia o risco e prioriza as vulnerabilidades para ajudar a corrigir problemas rapidamente. O Security Command Center permite que a sua organização identifique proativamente as vulnerabilidades e implemente mitigações.
O Google SecOps centraliza os dados de segurança e fornece registos enriquecidos com cronologias. Isto permite que os defensores identifiquem proativamente compromissos ativos e adaptem as defesas com base no comportamento dos atacantes.
A monitorização da rede ajuda a identificar atividade de rede irregular que possa indicar um ataque e fornece indicadores iniciais que pode usar para tomar medidas. Para ajudar a proteger proativamente os seus dados contra roubo, monitorize continuamente a exfiltração de dados e use as ferramentas fornecidas.
Valide e melhore continuamente as suas defesas
Esta recomendação é relevante para todas as áreas de foco.
Esta recomendação realça a importância dos testes segmentados e da validação contínua dos controlos para compreender os pontos fortes e fracos em toda a superfície de ataque. Isto inclui a validação da eficácia dos controlos, das operações e do pessoal através de métodos como os seguintes:
Também tem de procurar ativamente ameaças e usar os resultados para melhorar a deteção e a visibilidade. Use as seguintes ferramentas para testar e validar continuamente as suas defesas contra ameaças reais:
O Security Command Center Enterprise oferece um motor de risco contínuo para avaliar as vulnerabilidades e priorizar a correção, o que permite uma avaliação contínua da sua postura de segurança geral. Ao dar prioridade aos problemas, o Security Command Center Enterprise ajuda a garantir que os recursos são usados de forma eficaz.
O Google SecOps oferece deteções de procura de ameaças e deteções organizadas que lhe permitem identificar proativamente pontos fracos nos seus controlos. Esta capacidade permite testar e melhorar continuamente a sua capacidade de detetar ameaças.
O Chrome Enterprise Premium oferece funcionalidades de proteção de dados e contra ameaças que podem ajudar a resolver ameaças novas e em evolução, e a atualizar continuamente as suas defesas contra riscos de exfiltração e software malicioso.
A firewall de próxima geração da nuvem (NGFW da nuvem) oferece monitorização de rede e monitorização de exfiltração de dados. Estas capacidades podem ajudar a validar a eficácia da sua postura de segurança atual e identificar potenciais pontos fracos. A monitorização da exfiltração de dados ajuda a validar a eficácia dos mecanismos de proteção de dados da sua organização e a fazer ajustes proativos quando necessário. Quando integra as conclusões de ameaças do Cloud NGFW com o Security Command Center e o Google SecOps, pode otimizar a deteção de ameaças baseadas na rede, otimizar a resposta a ameaças e automatizar guias interativos. Para mais informações acerca desta integração, consulte o artigo Unificar as suas defesas na nuvem: Security Command Center e Cloud NGFW Enterprise.
Faça a gestão e coordene os esforços de defesa cibernética
Esta recomendação é relevante para todas as áreas de foco.
Conforme descrito anteriormente em Integre as funções de defesa cibernética, a função de controlo da missão interliga as outras funções do programa de defesa cibernética. Esta função permite a coordenação e a gestão unificada em todo o programa. Também ajuda a coordenar com outras equipas que não trabalham em cibersegurança. A função de controlo da missão promove a capacitação e a responsabilidade, facilita a agilidade e a especialização, e impulsiona a responsabilidade e a transparência.
Os seguintes produtos e funcionalidades podem ajudar a implementar a função de controlo de missão:
- O Security Command Center Enterprise funciona como um centro central para coordenar e gerir as suas operações de ciberdefesa. Reúne ferramentas, equipas e dados, juntamente com as capacidades de resposta do Google SecOps incorporadas. O Security Command Center oferece uma visibilidade clara do estado de segurança da sua organização e permite a identificação de configurações incorretas de segurança em diferentes recursos.
- O Google SecOps oferece uma plataforma para as equipas responderem a ameaças mapeando registos e criando linhas cronológicas. Também pode definir regras de deteção e pesquisar ameaças.
- O Google Workspace e o Chrome Enterprise Premium ajudam a gerir e controlar o acesso do utilizador final a recursos confidenciais. Pode definir controlos de acesso detalhados com base na identidade do utilizador e no contexto de um pedido.
- A monitorização da rede fornece estatísticas sobre o desempenho dos recursos de rede. Pode importar estatísticas de monitorização de rede para o Security Command Center e o Google SecOps para monitorização e correlação centralizadas com outros pontos de dados baseados na cronologia. Esta integração ajuda a detetar e responder a potenciais alterações de utilização da rede causadas por atividade maliciosa.
- A monitorização da exfiltração de dados ajuda a identificar possíveis incidentes de perda de dados. Com esta funcionalidade, pode mobilizar de forma eficiente uma equipa de resposta a incidentes, avaliar os danos e limitar a exfiltração de dados adicional. Também pode melhorar as políticas e os controlos atuais para garantir a proteção de dados.
Resumo do produto
A tabela seguinte apresenta os produtos e as funcionalidades descritos neste documento e mapeia-os para as recomendações e as capacidades de segurança associadas.
| Google Cloud produto | Recomendações aplicáveis |
|---|---|
| Google SecOps |
Use a função de inteligência em todos os aspetos da defesa cibernética:
Permite a procura de ameaças e a correspondência de IoC, e integra-se com o
Mandiant para uma avaliação abrangente de ameaças.
Compreenda e tire partido da vantagem do seu defensor: fornece deteções preparadas e centraliza os dados de segurança para a identificação proativa de comprometimentos. Valide e melhore continuamente as suas defesas: Permite o teste e a melhoria contínuos das capacidades de deteção de ameaças.Faça a gestão e coordene os esforços de ciberdefesa através do Mission Control: oferece uma plataforma para resposta a ameaças, análise de registos e criação de cronologias. |
| Security Command Center Enterprise |
Use a função de inteligência em todos os aspetos da defesa cibernética:
usa a IA para avaliar o risco, priorizar vulnerabilidades e fornecer
estatísticas acionáveis para remediação.
Compreenda e tire partido da vantagem do seu defensor: oferece uma análise de risco abrangente, priorização de vulnerabilidades e identificação proativa de pontos fracos. Valide e melhore as suas defesas continuamente: oferece uma avaliação contínua da postura de segurança e priorização de recursos.Gerir e coordenar os esforços de defesa cibernética através do Mission Control: funciona como um centro central para gerir e coordenar operações de defesa cibernética. |
| Chrome Enterprise Premium |
Use a função de inteligência em todos os aspetos da defesa cibernética:
Protege os utilizadores contra riscos de exfiltração, impede software malicioso e
oferece visibilidade da atividade do navegador não segura.
Compreenda e tire partido da vantagem do seu defensor: melhora a segurança dos dispositivos empresariais através da proteção de dados, da prevenção de software malicioso e do controlo das extensões. Valide e melhore continuamente as suas defesas: Aborda ameaças novas e em evolução através de atualizações contínuas às defesas contra riscos de exfiltração e software malicioso.Gerir e coordenar os esforços de defesa cibernética através do Mission Control: gerir e controlar o acesso do utilizador final a recursos confidenciais, incluindo controlos de acesso detalhados. |
| Google Workspace | Gerir e coordenar os esforços de defesa cibernética através do Mission Control: gerir e controlar o acesso do utilizador final a recursos confidenciais, incluindo controlos de acesso detalhados. |
| Network Intelligence Center | Use a função de inteligência em todos os aspetos da defesa cibernética: Oferece visibilidade sobre o desempenho da rede e deteta padrões de tráfego ou transferências de dados invulgares. |
| Cloud NGFW | Valide e melhore as suas defesas continuamente: Otimiza a deteção e a resposta a ameaças baseadas na rede através da integração com o Security Command Center e o Google SecOps. |