Implementa una defensa cibernética preventiva

Este principio del pilar de seguridad del framework de arquitectura proporciona recomendaciones para crear programas sólidos de defensa cibernética como parte de tu estrategia de seguridad general.Google Cloud

Este principio enfatiza el uso de la inteligencia de amenazas para guiar de forma proactiva tus esfuerzos en las funciones principales de defensa cibernética, como se define en The Defender's Advantage: Una guía para activar la defensa cibernética.

Descripción general de los principios

Cuando defiendes tu sistema contra ciberataques, tienes una ventaja significativa y poco aprovechada contra los atacantes. Como afirma el fundador de Mandiant, “deberías saber más sobre tu empresa, tus sistemas, tu topología y tu infraestructura que cualquier atacante. Esta es una ventaja increíble". Para ayudarte a usar esta ventaja inherente, en este documento se proporcionan recomendaciones sobre prácticas de defensa cibernética estratégicas y proactivas que se asignan al marco de trabajo de Defender's Advantage.

Recomendaciones

Para implementar una ciberdefensa preventiva para tus cargas de trabajo en la nube, ten en cuenta las recomendaciones de las siguientes secciones:

• Cómo integrar las funciones de la defensa cibernética
• Usa la función de inteligencia en todos los aspectos de la defensa cibernética
• Comprende y aprovecha la ventaja de tu defensor
• Valida y mejora tus defensas de forma continua
• Administra y coordina las iniciativas de defensa cibernética

Integra las funciones de la defensa cibernética

Esta recomendación es relevante para todas las áreas de enfoque.

El framework de The Defender's Advantage identifica seis funciones críticas de la defensa cibernética: inteligencia, detección, respuesta, validación, caza y control de misión. Cada función se enfoca en una parte única de la misión de defensa cibernética, pero estas funciones deben estar bien coordinadas y trabajar juntas para proporcionar una defensa eficaz. Enfócate en crear un sistema integrado y sólido en el que cada función admita a las demás. Si necesitas un enfoque por etapas para la adopción, considera el siguiente orden sugerido. Según el nivel de madurez de tu nube actual, la topología de recursos y el panorama de amenazas específico, es posible que desees priorizar ciertas funciones.

1. Inteligencia: La función Inteligencia guía a todas las demás funciones. Comprender el panorama de amenazas, incluidos los atacantes más probables, sus tácticas, técnicas y procedimientos (TTP) y el posible impacto, es fundamental para priorizar las acciones en todo el programa. La función de inteligencia es responsable de la identificación de las partes interesadas, la definición de los requisitos de inteligencia, la recopilación, el análisis y la difusión de datos, la automatización y la creación de un perfil de ciberamenaza.
2. Detectar y responder: Estas funciones conforman el núcleo de la defensa activa, que implica identificar y abordar la actividad maliciosa. Estas funciones son necesarias para actuar en función de la información que recopila la función de inteligencia. La función Detect requiere un enfoque metódico que alinee las detecciones con las TTP de los atacantes y garantice un registro sólido. La función de respuesta debe enfocarse en la clasificación inicial, la recopilación de datos y la solución de incidentes.
3. Validación: La función de validación es un proceso continuo que garantiza que el ecosistema de control de seguridad esté actualizado y funcione según lo diseñado. Esta función garantiza que tu organización comprenda la superficie de ataque, sepa dónde existen vulnerabilidades y mida la eficacia de los controles. La validación de la seguridad también es un componente importante del ciclo de vida de la ingeniería de detección y se debe usar para identificar brechas de detección y crear detecciones nuevas.
4. Búsqueda: La función de búsqueda implica buscar de forma proactiva amenazas activas dentro de un entorno. Esta función se debe implementar cuando tu organización tenga un nivel de madurez de referencia en las funciones de detección y respuesta. La función Caza expande las capacidades de detección y ayuda a identificar brechas y debilidades en los controles. La función de búsqueda debe basarse en amenazas específicas. Esta función avanzada se beneficia de una base de capacidades sólidas de inteligencia, detección y respuesta.
5. Control de misión: La función Control de misión actúa como el centro central que conecta todas las demás funciones. Esta función es responsable de la estrategia, la comunicación y la acción decisiva en todo tu programa de defensa cibernética. Garantiza que todas las funciones funcionen juntas y que estén alineadas con los objetivos comerciales de tu organización. Debes enfocarte en establecer una comprensión clara del propósito de la función de Mission Control antes de usarla para conectar las otras funciones.

Usa la función de inteligencia en todos los aspectos de la defensa cibernética

Esta recomendación es relevante para todas las áreas de enfoque.

Esta recomendación destaca la función de inteligencia como una parte fundamental de un programa de defensa cibernética sólido. La inteligencia sobre amenazas proporciona información sobre los agentes de amenazas, sus TTP y los indicadores de compromiso (IoC). Este conocimiento debe informar y priorizar las acciones en todas las funciones de defensa cibernética. Un enfoque basado en la inteligencia te ayuda a alinear las defensas para enfrentar las amenazas que tienen más probabilidades de afectar a tu organización. Este enfoque también ayuda con la asignación y priorización eficientes de los recursos.

Los siguientes Google Cloud productos y funciones te ayudan a aprovechar la información sobre amenazas para guiar tus operaciones de seguridad. Usa estas funciones para identificar y priorizar posibles amenazas, vulnerabilidades y riesgos, y, luego, planificar e implementar las acciones adecuadas.

• Google Security Operations (Google SecOps) te ayuda a almacenar y analizar datos de seguridad de forma centralizada. Usa Google SecOps para asignar registros a un modelo común, enriquecerlos y vincularlos a cronogramas para obtener una vista integral de los ataques. También puedes crear reglas de detección, configurar coincidencias de IoC y realizar actividades de búsqueda de amenazas. La plataforma también proporciona detecciones seleccionadas, que son reglas predefinidas y administradas para ayudar a identificar amenazas. Google SecOps también se puede integrar con la inteligencia de primera línea de Mandiant. Google SecOps integra de forma única la IA líder en la industria, junto con la inteligencia sobre amenazas de Mandiant y Google VirusTotal. Esta integración es fundamental para evaluar las amenazas y comprender quién es el objetivo de tu organización y el posible impacto.

• Security Command Center Enterprise, que se basa en la IA de Google, permite a los profesionales de la seguridad evaluar, investigar y responder de manera eficiente a los problemas de seguridad en varios entornos de nube. Entre los profesionales de seguridad que pueden beneficiarse de Security Command Center, se incluyen analistas del centro de operaciones de seguridad (SOC), analistas de vulnerabilidad y postura, y administradores de cumplimiento. Security Command Center Enterprise enriquece los datos de seguridad, evalúa los riesgos y prioriza las vulnerabilidades. Esta solución les proporciona a los equipos la información que necesitan para abordar las vulnerabilidades de alto riesgo y solucionar las amenazas activas.

• Chrome Enterprise Premium ofrece protección de datos y contra amenazas, lo que ayuda a proteger a los usuarios contra riesgos de robo de datos y evita que el software malicioso ingrese a los dispositivos administrados por la empresa. Chrome Enterprise Premium también proporciona visibilidad sobre la actividad no segura o potencialmente no segura que puede ocurrir dentro del navegador.

• La supervisión de red, a través de herramientas como Network Intelligence Center, proporciona visibilidad del rendimiento de la red. La supervisión de red también puede ayudarte a detectar patrones de tráfico inusuales o cantidades de transferencia de datos que podrían indicar un ataque o un intento de robo de datos.

Comprende y aprovecha la ventaja de tu defensor

Esta recomendación es relevante para todas las áreas de enfoque.

Como se mencionó anteriormente, tienes una ventaja sobre los atacantes cuando tienes una comprensión profunda de tu empresa, tus sistemas, tu topología y tu infraestructura. Para aprovechar esta ventaja de conocimiento, usa estos datos sobre tus entornos durante la planificación de la defensa cibernética.

Google Cloud proporciona las siguientes funciones para ayudarte a obtener visibilidad de forma proactiva, identificar amenazas, comprender los riesgos y responder de manera oportuna para mitigar posibles daños:

• Chrome Enterprise Premium te ayuda a mejorar la seguridad de los dispositivos empresariales, ya que protege a los usuarios contra riesgos de robo de datos. Extiende los servicios de Sensitive Data Protection al navegador y evita el software malicioso. También ofrece funciones como la protección contra software malicioso y phishing para ayudar a evitar la exposición a contenido no seguro. Además, te brinda control sobre la instalación de extensiones para ayudar a evitar extensiones inseguras o no verificadas. Estas funciones te ayudan a establecer una base segura para tus operaciones.

• Security Command Center Enterprise proporciona un motor de riesgos continuo que ofrece un análisis y una administración de riesgos integrales y continuos. La función del motor de riesgo enriquece los datos de seguridad, evalúa los riesgos y prioriza las vulnerabilidades para ayudar a solucionar los problemas con rapidez. Security Command Center permite a tu organización identificar debilidades de forma proactiva y, luego, implementar mitigaciones.

• Google SecOps centraliza los datos de seguridad y proporciona registros enriquecidos con cronogramas. Esto permite a los defensores identificar de forma proactiva las intrusiones activas y adaptar las defensas en función del comportamiento de los atacantes.

• La supervisión de red ayuda a identificar la actividad irregular de la red que podría indicar un ataque y proporciona indicadores anticipados que puedes usar para tomar medidas. Para proteger tus datos de manera proactiva contra el robo, supervisa de forma continua la extracción de datos y usa las herramientas proporcionadas.

Valida y mejora tus defensas de forma continua

Esta recomendación es relevante para todas las áreas de enfoque.

Esta recomendación enfatiza la importancia de las pruebas dirigidas y la validación continua de los controles para comprender las fortalezas y debilidades de toda la superficie de ataque. Esto incluye validar la efectividad de los controles, las operaciones y el personal a través de métodos como los siguientes:

• Pruebas de penetración
• Ejercicios de equipo rojo-azul y equipo púrpura
• Ejercicios de mesa

También debes buscar amenazas de forma activa y usar los resultados para mejorar la detección y la visibilidad. Usa las siguientes herramientas para probar y validar de forma continua tus defensas contra amenazas reales:

• Security Command Center Enterprise proporciona un motor de riesgo continuo para evaluar las vulnerabilidades y priorizar la remediación, lo que permite una evaluación continua de tu postura de seguridad general. Cuando priorizas los problemas, Security Command Center Enterprise te ayuda a garantizar que los recursos se usen de forma eficaz.

• Google SecOps ofrece detecciones seleccionadas y de búsqueda de amenazas que te permiten identificar de forma proactiva las debilidades de tus controles. Esta función permite realizar pruebas continuas y mejorar tu capacidad para detectar amenazas.

• Chrome Enterprise Premium proporciona funciones de protección de datos y contra amenazas que pueden ayudarte a abordar amenazas nuevas y en evolución, y a actualizar de forma continua tus defensas contra riesgos de robo de datos y software malicioso.

• Cloud Next Generation Firewall (Cloud NGFW) proporciona supervisión de red y supervisión de robo de datos. Estas funciones pueden ayudarte a validar la eficacia de tu postura de seguridad actual y a identificar posibles debilidades. La supervisión de robo de datos te ayuda a validar la solidez de los mecanismos de protección de datos de tu organización y a realizar ajustes proactivos cuando sea necesario. Cuando integras los hallazgos de amenazas de la NGFW de Cloud con Security Command Center y Google SecOps, puedes optimizar la detección de amenazas basadas en la red, optimizar la respuesta a las amenazas y automatizar los planes de acción. Para obtener más información sobre esta integración, consulta Cómo unificar tus defensas en la nube: Security Command Center y Cloud NGFW Enterprise.

Administrar y coordinar los esfuerzos de defensa cibernética

Esta recomendación es relevante para todas las áreas de enfoque.

Como se describió anteriormente en Cómo integrar las funciones de la defensa cibernética, la función de Control de misión interconecta las otras funciones del programa de defensa cibernética. Esta función permite la coordinación y la administración unificada en todo el programa. También te ayuda a coordinar con otros equipos que no trabajan en la seguridad cibernética. La función de Control de misiones promueve la capacitación y la responsabilidad, facilita la agilidad y la experiencia, y fomenta la responsabilidad y la transparencia.

Los siguientes productos y funciones pueden ayudarte a implementar la función Control de la misión:

• Security Command Center Enterprise actúa como un centro central para coordinar y gestionar tus operaciones de ciberdefensa. Combina herramientas, equipos y datos, junto con las capacidades de respuesta integradas de Google SecOps. Security Command Center proporciona una visibilidad clara del estado de seguridad de tu organización y permite identificar errores de configuración de seguridad en diferentes recursos.
• Google SecOps proporciona una plataforma para que los equipos respondan a las amenazas a través de la asignación de registros y la creación de cronogramas. También puedes definir reglas de detección y buscar amenazas.
• Google Workspace y Chrome Enterprise Premium te ayudan a administrar y controlar el acceso de los usuarios finales a recursos sensibles. Puedes definir controles de acceso detallados en función de la identidad del usuario y el contexto de una solicitud.
• La supervisión de red proporciona estadísticas sobre el rendimiento de los recursos de red. Puedes importar estadísticas de supervisión de red a Security Command Center y Google SecOps para la supervisión centralizada y la correlación con otros datos basados en cronogramas. Esta integración te ayuda a detectar y responder a posibles cambios en el uso de la red causados por actividades dañinas.
• La supervisión de la extracción de datos ayuda a identificar posibles incidentes de pérdida de datos. Con esta función, puedes movilizar de manera eficiente un equipo de respuesta a incidentes, evaluar los daños y limitar la extracción de datos adicional. También puedes mejorar las políticas y los controles actuales para garantizar la protección de los datos.

Resumen del producto

En la siguiente tabla, se enumeran los productos y las funciones que se describen en este documento y se asignan a las recomendaciones y las capacidades de seguridad asociadas.

Google Cloud producto	Recomendaciones aplicables
Google SecOps	Usa la función de inteligencia en todos los aspectos de la defensa cibernética: Permite la búsqueda de amenazas y la coincidencia de IoC, y se integra con Mandiant para una evaluación integral de amenazas. Comprende y aprovecha la ventaja de tu defensor: Proporciona detecciones seleccionadas y centraliza los datos de seguridad para la identificación proactiva de vulneraciones. Valida y mejora tus defensas de forma continua: Permite la prueba y mejora continuas de las capacidades de detección de amenazas. Administra y coordina los esfuerzos de defensa cibernética a través de Mission Control: Proporciona una plataforma para la respuesta a amenazas, el análisis de registros y la creación de cronogramas.
Security Command Center Enterprise	Usa la función de inteligencia en todos los aspectos de la defensa cibernética: Usa la IA para evaluar el riesgo, priorizar las vulnerabilidades y proporcionar estadísticas prácticas para la solución. Comprende y aprovecha la ventaja de tu defensor: Ofrece un análisis de riesgos integral, una priorización de vulnerabilidades y una identificación proactiva de las debilidades. Valida y mejora tus defensas de forma continua: Proporciona una evaluación continua de la postura de seguridad y una priorización de recursos. Administra y coordina los esfuerzos de defensa cibernética a través del control de la misión: Actúa como un centro central para administrar y coordinar las operaciones de defensa cibernética.
Chrome Enterprise Premium	Usa la función de inteligencia en todos los aspectos de la defensa cibernética: Protege a los usuarios de los riesgos de robo de datos, evita el software malicioso y proporciona visibilidad de la actividad no segura del navegador. Comprende y aprovecha la ventaja de tu defensor: Mejora la seguridad de los dispositivos empresariales a través de la protección de datos, la prevención de software malicioso y el control sobre las extensiones. Valida y mejora tus defensas de forma continua: Se abordan amenazas nuevas y en evolución a través de actualizaciones continuas de las defensas contra riesgos de robo de datos y software malicioso. Administra y coordina las iniciativas de defensa cibernética a través del control de la misión: Administra y controla el acceso de los usuarios finales a recursos sensibles, incluidos los controles de acceso detallados.
Google Workspace	Administra y coordina las iniciativas de defensa cibernética a través del control de la misión: Administra y controla el acceso de los usuarios finales a recursos sensibles, incluidos los controles de acceso detallados.
Network Intelligence Center	Usa la función de inteligencia en todos los aspectos de la defensa cibernética: Proporciona visibilidad del rendimiento de la red y detecta patrones de tráfico o transferencias de datos inusuales.
Cloud NGFW	Valida y mejora tus defensas de forma continua: Optimiza la detección y la respuesta ante amenazas basadas en la red a través de la integración con Security Command Center y Google SecOps.