Dieses Prinzip in der Sicherheitssäule des Google Cloud Architektur-Frameworks enthält Empfehlungen zum Aufbau robuster Cyberabwehrprogramme als Teil Ihrer allgemeinen Sicherheitsstrategie.
Dieses Prinzip betont die Verwendung von Bedrohungsinformationen, um Ihre Bemühungen proaktiv auf die wichtigsten Funktionen der Cyberabwehr auszurichten, wie in Intelligente Cyberabwehr: Ein Leitfaden definiert.
Grundsatzübersicht
Wenn Sie Ihr System gegen Cyberangriffe verteidigen, haben Sie einen erheblichen, aber wenig genutzten Vorteil gegenüber den Angreifern. Wie der Gründer von Mandiant sagt: „Sie sollten mehr über Ihr Unternehmen, Ihre Systeme, Ihre Topologie und Ihre Infrastruktur wissen als jeder Angreifer. Das ist ein unglaublicher Vorteil.“ Um Ihnen dabei zu helfen, diesen Vorteil zu nutzen, enthält dieses Dokument Empfehlungen zu proaktiven und strategischen Cyberabwehrpraktiken, die dem Defender's Advantage-Framework zugeordnet sind.
Empfehlungen
Beachten Sie die Empfehlungen in den folgenden Abschnitten, um eine proaktive Cyberabwehr für Ihre Cloud-Arbeitslasten zu implementieren:
- Funktionen der Cyberabwehr integrieren
- Die Intelligence-Funktion in allen Aspekten der Cyberabwehr nutzen
- Vorteile der Verteidigungsmöglichkeiten nutzen
- Abwehrmaßnahmen kontinuierlich prüfen und verbessern
- Cyberabwehrmaßnahmen verwalten und koordinieren
Funktionen der Cyberabwehr integrieren
Diese Empfehlung gilt für alle Fokusbereiche.
Das Defender's Advantage-Framework identifiziert sechs kritische Funktionen der Cyberabwehr: Intelligence (Erkenntnisse), Detect (Erkennen), Respond (Reagieren), Validate (Validieren), Hunt (Suchen) und Mission Control (Missionssteuerung). Jede Funktion konzentriert sich auf einen bestimmten Teil der Cyberabwehr. Diese Funktionen müssen jedoch gut koordiniert sein und zusammenarbeiten, um eine effektive Abwehr zu ermöglichen. Konzentrieren Sie sich darauf, ein robustes und integriertes System zu entwickeln, in dem jede Funktion die anderen unterstützt. Wenn Sie einen mehrstufigen Ansatz für die Einführung benötigen, sollten Sie die folgende Reihenfolge in Betracht ziehen. Je nach aktueller Cloud-Reife, Ressourcentopologie und spezifischer Bedrohungslandschaft sollten Sie bestimmte Funktionen priorisieren.
- Intelligenz: Die Funktion „Intelligenz“ steuert alle anderen Funktionen. Das Verständnis der Bedrohungslandschaft – einschließlich der wahrscheinlichsten Angreifer, ihrer Taktiken, Techniken und Verfahren (TTPs) sowie der potenziellen Auswirkungen – ist entscheidend, um Maßnahmen im gesamten Programm zu priorisieren. Die Intelligence-Funktion ist für die Identifizierung von Stakeholdern, die Definition von Intelligence-Anforderungen, die Datenerhebung, -analyse und -weitergabe, die Automatisierung und die Erstellung eines Cyberbedrohungsprofils verantwortlich.
- Erkenne und reagiere: Diese Funktionen bilden den Kern der aktiven Verteidigung, bei der böswillige Aktivitäten erkannt und behoben werden. Diese Funktionen sind erforderlich, um auf die Informationen zu reagieren, die von der Intelligence-Funktion erfasst werden. Die Funktion „Erkennung“ erfordert einen methodischen Ansatz, der die Erkennungen an die TTPs der Angreifer anpasst und für eine robuste Protokollierung sorgt. Der Schwerpunkt der Funktion „Reagieren“ muss auf der Erstbewertung, der Datenerhebung und der Behebung von Vorfällen liegen.
- Validieren: Die Validierung ist ein kontinuierlicher Prozess, der dafür sorgt, dass Ihr Sicherheitskontrollsystem auf dem neuesten Stand ist und wie vorgesehen funktioniert. So kann Ihr Unternehmen die Angriffsfläche nachvollziehen, Sicherheitslücken erkennen und die Effektivität von Kontrollen messen. Die Sicherheitsüberprüfung ist auch eine wichtige Komponente des Lebenszyklus der Erkennungsentwicklung und muss verwendet werden, um Lücken bei der Erkennung zu identifizieren und neue Erkennungen zu erstellen.
- Hunt: Bei der Hunt-Funktion wird proaktiv nach aktiven Bedrohungen in einer Umgebung gesucht. Diese Funktion muss implementiert werden, wenn Ihre Organisation eine gewisse Reife in den Funktionen „Erkennung“ und „Reaktion“ erreicht hat. Die Hunt-Funktion erweitert die Erkennungsfunktionen und hilft, Lücken und Schwächen in den Steuerelementen zu erkennen. Die Hunt-Funktion muss auf bestimmten Bedrohungen basieren. Diese erweiterte Funktion basiert auf robusten Funktionen für Informationen, Erkennung und Reaktion.
- Mission Control: Die Mission Control-Funktion dient als zentraler Hub, der alle anderen Funktionen verbindet. Diese Funktion ist für Strategie, Kommunikation und entscheidende Maßnahmen im Rahmen Ihres Cyberabwehrprogramms verantwortlich. So wird sichergestellt, dass alle Funktionen zusammenarbeiten und mit den Geschäftszielen Ihrer Organisation übereinstimmen. Sie müssen sich ein klares Bild vom Zweck der Mission Control-Funktion machen, bevor Sie sie verwenden, um die anderen Funktionen zu verbinden.
Die Intelligence-Funktion in allen Aspekten der Cyberabwehr nutzen
Diese Empfehlung gilt für alle Fokusbereiche.
In dieser Empfehlung wird die Intelligence-Funktion als zentraler Bestandteil eines starken Cyberabwehrprogramms hervorgehoben. Bedrohungsinformationen liefern Informationen zu Bedrohungsakteuren, ihren TTPs und Bedrohungsindikatoren (IOCs). Dieses Wissen sollte Aktionen in allen Funktionen der Cyberabwehr informieren und priorisieren. Ein datengetriebener Ansatz hilft Ihnen, Ihre Abwehrmaßnahmen auf die Bedrohungen auszurichten, die Ihre Organisation am ehesten treffen. Dieser Ansatz trägt auch zur effizienten Zuweisung und Priorisierung von Ressourcen bei.
Mit den folgenden Google Cloud Produkten und Funktionen können Sie Bedrohungsinformationen nutzen, um Ihre Sicherheitsabläufe zu steuern. Mit diesen Funktionen können Sie potenzielle Bedrohungen, Sicherheitslücken und Risiken identifizieren und priorisieren und dann entsprechende Maßnahmen planen und implementieren.
Google Security Operations (Google SecOps) unterstützt Sie dabei, Sicherheitsdaten zentral zu speichern und zu analysieren. Mit Google SecOps können Sie Logs einem gemeinsamen Modell zuordnen, sie anreichern und mit Zeitachsen verknüpfen, um eine umfassende Übersicht über Angriffe zu erhalten. Außerdem können Sie Erkennungsregeln erstellen, den Abgleich von Kompromittierungsindikatoren einrichten und Aktivitäten zur Bedrohungssuche ausführen. Die Plattform bietet auch ausgewählte Erkennungen, d. h. vordefinierte und verwaltete Regeln, mit denen sich Bedrohungen leichter erkennen lassen. Google SecOps kann auch mit Mandiant Frontline Intelligence integriert werden. Google SecOps kombiniert branchenführende KI mit Bedrohungsinformationen von Mandiant und Google VirusTotal. Diese Integration ist entscheidend für die Bedrohungsbewertung und um zu verstehen, wer auf Ihr Unternehmen abzielt und welche potenziellen Auswirkungen dies hat.
Mit Security Command Center Enterprise, das auf der KI von Google basiert, können Sicherheitsexperten Sicherheitsprobleme in mehreren Cloud-Umgebungen effizient bewerten, untersuchen und beheben. Zu den Sicherheitsexperten, die von Security Command Center profitieren können, gehören SOC-Analysten (Security Operations Center), Sicherheits- und Risikoanalysten sowie Compliance-Manager. Security Command Center Enterprise ergänzt Sicherheitsdaten, bewertet Risiken und priorisiert Sicherheitslücken. Diese Lösung bietet Teams die Informationen, die sie benötigen, um Sicherheitslücken mit hohem Risiko anzugehen und aktive Bedrohungen zu beheben.
Chrome Enterprise Premium bietet Funktionen für den Schutz vor Bedrohungen und den Datenschutz, die Nutzer vor Exfiltrationsrisiken schützen und verhindern, dass Malware auf vom Unternehmen verwalteten Geräten gelangt. Chrome Enterprise Premium bietet außerdem Informationen zu unsicheren oder potenziell unsicheren Aktivitäten im Browser.
Mithilfe von Tools wie dem Network Intelligence Center können Sie die Netzwerkleistung im Blick behalten. Mithilfe des Netzwerkmonitorings können Sie auch ungewöhnliche Traffic-Muster oder Datenübertragungsmengen erkennen, die auf einen Angriff oder einen Versuch zur Datenexfiltration hinweisen könnten.
Den Vorteil des Verteidigers verstehen und nutzen
Diese Empfehlung gilt für alle Fokusbereiche.
Wie bereits erwähnt, haben Sie einen Vorteil gegenüber Angreifern, wenn Sie Ihr Unternehmen, Ihre Systeme, Ihre Topologie und Ihre Infrastruktur genau kennen. Nutzen Sie diese Daten zu Ihren Umgebungen bei der Planung der Cyberabwehr, um diesen Wissensvorteil zu nutzen.
Google Cloud bietet die folgenden Funktionen, mit denen Sie proaktiv Transparenz gewinnen, Bedrohungen erkennen, Risiken verstehen und zeitnah reagieren können, um potenzielle Schäden zu begrenzen:
Mit Chrome Enterprise Premium können Sie die Sicherheit von Unternehmensgeräten verbessern, indem Sie Nutzer vor Exfiltrationsrisiken schützen. Er erweitert die Dienste zum Schutz sensibler Daten in den Browser und verhindert Malware. Außerdem bietet es Funktionen wie Schutz vor Malware und Phishing, um die Gefahr von unsicheren Inhalten zu verringern. Außerdem können Sie die Installation von Erweiterungen steuern, um unsichere oder nicht überprüfte Erweiterungen zu verhindern. Mit diesen Funktionen können Sie eine sichere Grundlage für Ihre Abläufe schaffen.
Security Command Center Enterprise bietet eine kontinuierliche Risiko-Engine, die eine umfassende und fortlaufende Risikoanalyse und -verwaltung ermöglicht. Die Risikoengine-Funktion ergänzt Sicherheitsdaten, bewertet Risiken und priorisiert Sicherheitslücken, um Probleme schnell zu beheben. Mit dem Security Command Center kann Ihr Unternehmen Schwachstellen proaktiv erkennen und Maßnahmen zur Risikominimierung ergreifen.
Google SecOps zentralisiert Sicherheitsdaten und stellt erweiterte Protokolle mit Zeitleisten bereit. So können Sicherheitsteams aktive Manipulationen proaktiv erkennen und die Abwehrmaßnahmen anhand des Verhaltens der Angreifer anpassen.
Mit dem Netzwerkmonitoring können Sie unregelmäßige Netzwerkaktivitäten erkennen, die auf einen Angriff hindeuten könnten. Außerdem erhalten Sie frühzeitige Hinweise, auf die Sie reagieren können. Um Ihre Daten proaktiv vor Diebstahl zu schützen, sollten Sie die Datenexfiltration kontinuierlich überwachen und die bereitgestellten Tools verwenden.
Abwehrmaßnahmen kontinuierlich prüfen und verbessern
Diese Empfehlung gilt für alle Fokusbereiche.
Diese Empfehlung unterstreicht die Bedeutung gezielter Tests und der kontinuierlichen Validierung von Kontrollen, um Stärken und Schwächen auf der gesamten Angriffsfläche zu ermitteln. Dazu gehört auch die Überprüfung der Wirksamkeit von Kontrollen, Abläufen und Mitarbeitern mithilfe von Methoden wie den folgenden:
- Penetrationstests
- Rot-Blau-Team- und Lila-Team-Übungen
- Theoretische Übungen
Sie müssen auch aktiv nach Bedrohungen suchen und die Ergebnisse verwenden, um die Erkennung und Sichtbarkeit zu verbessern. Mit den folgenden Tools können Sie Ihre Abwehrmaßnahmen kontinuierlich auf reale Bedrohungen testen und validieren:
Security Command Center Enterprise bietet eine kontinuierliche Risiko-Engine, mit der sich Sicherheitslücken bewerten und die Behebung priorisieren lassen. So können Sie Ihre allgemeine Sicherheitslage kontinuierlich bewerten. Durch die Priorisierung von Problemen können Sie mit Security Command Center Enterprise dafür sorgen, dass Ressourcen effektiv genutzt werden.
Google SecOps bietet Threat-Hunting und ausgewählte Erkennungen, mit denen Sie Schwachstellen in Ihren Kontrollen proaktiv erkennen können. So können Sie Ihre Fähigkeit, Bedrohungen zu erkennen, kontinuierlich testen und verbessern.
Chrome Enterprise Premium bietet Funktionen für den Schutz vor Bedrohungen und den Datenschutz, mit denen Sie neue und sich entwickelnde Bedrohungen bekämpfen und Ihre Abwehrmaßnahmen gegen Exfiltrationsrisiken und Malware kontinuierlich aktualisieren können.
Cloud Next Generation Firewall (Cloud NGFW) bietet Netzwerküberwachung und Überwachung der Datenexfiltration. Mit diesen Funktionen können Sie die Effektivität Ihres aktuellen Sicherheitsstatus prüfen und potenzielle Schwachstellen erkennen. Mithilfe der Überwachung der Datenexfiltration können Sie die Stärke der Datenschutzmechanismen Ihrer Organisation prüfen und bei Bedarf proaktive Anpassungen vornehmen. Wenn Sie Bedrohungsergebnisse aus Cloud NGFW in Security Command Center und Google SecOps einbinden, können Sie die netzwerkbasierte Bedrohungserkennung, die Bedrohungsabwehr und die Automatisierung von Playbooks optimieren. Weitere Informationen zu dieser Integration finden Sie unter Cloud-Sicherheitsmechanismen kombinieren: Security Command Center und Cloud NGFW Enterprise.
Cyberabwehrmaßnahmen verwalten und koordinieren
Diese Empfehlung gilt für alle Fokusbereiche.
Wie bereits im Abschnitt Funktionen der Cyberabwehr integrieren beschrieben, verbindet die Mission Control-Funktion die anderen Funktionen des Cyberabwehrprogramms miteinander. Diese Funktion ermöglicht die Koordination und einheitliche Verwaltung im gesamten Programm. Außerdem können Sie so besser mit anderen Teams zusammenarbeiten, die nicht mit der Internetsicherheit befasst sind. Die Mission Control-Funktion fördert Eigenverantwortung und Verantwortlichkeit, fördert Agilität und Fachwissen und fördert Verantwortung und Transparenz.
Die folgenden Produkte und Funktionen können Ihnen bei der Implementierung der Mission Control-Funktion helfen:
- Security Command Center Enterprise dient als zentraler Hub für die Koordination und Verwaltung Ihrer Cyberabwehrmaßnahmen. Es vereint Tools, Teams und Daten sowie die integrierten Abwehrfunktionen von Google SecOps. Das Security Command Center bietet einen klaren Überblick über den Sicherheitsstatus Ihrer Organisation und ermöglicht die Identifizierung von Sicherheitskonfigurationsfehlern in verschiedenen Ressourcen.
- Google SecOps bietet eine Plattform, mit der Teams auf Bedrohungen reagieren können, indem sie Protokolle zuordnen und Zeitpläne erstellen. Sie können auch Erkennungsregeln definieren und nach Bedrohungen suchen.
- Mit Google Workspace und Chrome Enterprise Premium können Sie den Zugriff von Endnutzern auf sensible Ressourcen verwalten und steuern. Sie können detaillierte Zugriffssteuerungen basierend auf der Nutzeridentität und dem Kontext einer Anfrage definieren.
- Das Netzwerkmonitoring bietet Einblicke in die Leistung von Netzwerkressourcen. Sie können Statistiken zur Netzwerküberwachung in Security Command Center und Google SecOps importieren, um sie zentral zu überwachen und mit anderen zeitachsebasierten Datenpunkten zu korrelieren. Mit dieser Integration können Sie potenzielle Änderungen der Netzwerknutzung erkennen und auf schädliche Aktivitäten reagieren.
- Das Monitoring der Datenexfiltration hilft, mögliche Datenverluste zu erkennen. Mit dieser Funktion können Sie ein Incident-Response-Team effizient mobilisieren, Schäden bewerten und eine weitere Datenexfiltration einschränken. Sie können auch die aktuellen Richtlinien und Einstellungen verbessern, um den Datenschutz zu gewährleisten.
Produktübersicht
In der folgenden Tabelle sind die in diesem Dokument beschriebenen Produkte und Funktionen aufgeführt und den zugehörigen Empfehlungen und Sicherheitsfunktionen zugeordnet.
| Google Cloud Produkt | Anwendbare Empfehlungen |
|---|---|
| Google SecOps |
Die Intelligence-Funktion in allen Aspekten der Cyberabwehr verwenden:
Ermöglicht das Aufspüren von Bedrohungen und das Abgleichen von IoCs und lässt sich für eine umfassende Bedrohungsbewertung in Mandiant einbinden.
Vorteile der Rolle des Verteidigers nutzen: Bietet ausgewählte Erkennungen und zentralisiert Sicherheitsdaten zur proaktiven Identifizierung von Systemausfällen. Abwehrmaßnahmen kontinuierlich validieren und verbessern: Ermöglicht kontinuierliches Testen und Verbessern der Bedrohungserkennung.Cyberabwehrmaßnahmen über Mission Control verwalten und koordinieren: Bietet eine Plattform für die Reaktion auf Bedrohungen, die Protokollanalyse und die Erstellung von Zeitachsen. |
| Security Command Center Enterprise |
Die Intelligence-Funktion in allen Aspekten der Cyberabwehr verwenden: Mithilfe von KI werden Risiken bewertet, Sicherheitslücken priorisiert und umsetzbare Informationen zur Behebung bereitgestellt.
Vorteil des Verteidigers nutzen: Bietet eine umfassende Risikoanalyse, Priorisierung von Sicherheitslücken und proaktive Erkennung von Schwachstellen. Kontinuierliche Validierung und Verbesserung Ihrer Abwehrmaßnahmen: Bietet eine kontinuierliche Bewertung der Sicherheitslage und Priorisierung von Ressourcen.Cyberabwehrmaßnahmen über Mission Control verwalten und koordinieren: Die Mission Control dient als zentraler Hub für die Verwaltung und Koordination von Cyberabwehrmaßnahmen. |
| Chrome Enterprise Premium |
Die Intelligence-Funktion in allen Aspekten der Cyberabwehr verwenden:
Schützt Nutzer vor Exfiltrationsrisiken, verhindert Malware und bietet Einblicke in unsichere Browseraktivitäten.
Vorteile des Schutzes nutzen: Verbessert die Sicherheit von Unternehmensgeräten durch Datenschutz, Malware-Prävention und Kontrolle über Erweiterungen. Kontinuierliche Validierung und Verbesserung der Abwehrmaßnahmen: Neue und sich entwickelnde Bedrohungen werden durch kontinuierliche Updates der Abwehrmaßnahmen gegen Exfiltrationsrisiken und Malware bekämpft.Cyberabwehrmaßnahmen über Mission Control verwalten und koordinieren: Verwalten und steuern Sie den Zugriff von Endnutzern auf vertrauliche Ressourcen, einschließlich detaillierter Zugriffssteuerungen. |
| Google Workspace | Cyberabwehrmaßnahmen über Mission Control verwalten und koordinieren: Verwalten und steuern Sie den Zugriff von Endnutzern auf vertrauliche Ressourcen, einschließlich detaillierter Zugriffssteuerungen. |
| Network Intelligence Center | Verwenden Sie die Intelligence-Funktion in allen Aspekten der Cyberabwehr: Sie bietet Transparenz in Bezug auf die Netzwerkleistung und erkennt ungewöhnliche Trafficmuster oder Datenübertragungen. |
| Cloud NGFW | Ihre Abwehr kontinuierlich prüfen und verbessern: Optimiert die netzwerkbasierte Bedrohungserkennung und -reaktion durch die Einbindung in Security Command Center und Google SecOps. |