Proaktive Cyberabwehr implementieren

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Dieses Prinzip in der Sicherheitssäule des Google Cloud Well-Architected Framework enthält Empfehlungen zum Aufbau robuster Cyberabwehrprogramme als Teil Ihrer allgemeinen Sicherheitsstrategie.

Dieses Prinzip betont die Verwendung von Bedrohungsinformationen, um Ihre Bemühungen proaktiv auf die wichtigsten Funktionen der Cyberabwehr auszurichten, wie in Intelligente Cyberabwehr: Ein Leitfaden definiert.

Prinzip – Übersicht

Wenn Sie Ihr System vor Cyberangriffen schützen, haben Sie einen erheblichen, aber wenig genutzten Vorteil gegenüber den Angreifern. Der Gründer von Mandiant sagt dazu: „Sie sollten mehr über Ihr Unternehmen, Ihre Systeme, Ihre Topologie und Ihre Infrastruktur wissen als jeder Angreifer. Das ist ein unglaublicher Vorteil.“ Um Ihnen dabei zu helfen, diesen Vorteil zu nutzen, enthält dieses Dokument Empfehlungen zu proaktiven und strategischen Cyberabwehrpraktiken, die dem Defender's Advantage-Framework zugeordnet sind.

Empfehlungen

Beachten Sie die Empfehlungen in den folgenden Abschnitten, um eine proaktive Cyberabwehr für Ihre Cloud-Arbeitslasten zu implementieren:

• Funktionen der Cyberabwehr integrieren
• Die Intelligence-Funktion in allen Aspekten der Cyberabwehr einsetzen
• Vorteile der Verteidigungsmöglichkeiten nutzen
• Sicherheitsmechanismen kontinuierlich prüfen und verbessern
• Cyberabwehrmaßnahmen verwalten und koordinieren

Funktionen der Cyberabwehr integrieren

Diese Empfehlung ist für alle Fokusbereiche relevant.

Das Framework „Defender's Advantage“ identifiziert sechs kritische Funktionen der Cyberabwehr: Bedrohungsdaten, Erkennung, Reaktion, Validierung, Aufspüren und Mission Control. Jede Funktion konzentriert sich auf einen besonderen Teil der Cyberabwehrmission. Diese Funktionen müssen jedoch gut koordiniert sein und zusammenarbeiten, um für eine effektive Abwehr zu sorgen. Konzentrieren Sie sich auf den Aufbau eines robusten und integrierten Systems, bei dem jede Funktion die anderen unterstützt. Wenn Sie einen mehrstufigen Ansatz für die Einführung benötigen, sollten Sie die folgende Reihenfolge in Betracht ziehen. Je nach aktueller Cloud-Reife, Ressourcentopologie und spezifischer Bedrohungslandschaft sollten Sie bestimmte Funktionen priorisieren.

1. Radar: Alle anderen Funktionen werden von der Radarfunktion gesteuert. Das Verständnis der Bedrohungslandschaft – einschließlich der wahrscheinlichsten Angreifer, ihrer Taktiken, Techniken und Verfahren (TTPs) sowie der potenziellen Auswirkungen – ist entscheidend, um Maßnahmen im gesamten Programm zu priorisieren. Die Intelligence-Funktion ist für die Identifizierung von Stakeholdern, die Definition von Intelligence-Anforderungen, die Datenerhebung, -analyse und -weitergabe, die Automatisierung und die Erstellung eines Cyberbedrohungsprofils verantwortlich.
2. Erkennung und Reaktion: Diese Funktionen bilden den Kern der aktiven Abwehr. Dabei werden schädliche Aktivitäten identifiziert und behoben. Diese Funktionen sind erforderlich, um auf der von der Intelligenz-Funktion gesammelten Intelligenz zu handeln. Die Funktion „Erkennung“ erfordert einen methodischen Ansatz, der die Erkennungen an die TTPs der Angreifer anpasst und für eine robuste Protokollierung sorgt. Die Reaktionsfunktion muss sich auf die erste Sichtung, Datenerfassung und Behebung von Vorfällen konzentrieren.
3. Validieren: Die Validierung ist ein kontinuierlicher Prozess, der dafür sorgt, dass Ihr Sicherheitskontrollsystem auf dem neuesten Stand ist und wie vorgesehen funktioniert. So kann Ihr Unternehmen die Angriffsfläche nachvollziehen, Sicherheitslücken erkennen und die Effektivität von Kontrollen messen. Die Sicherheitsvalidierung ist auch ein wichtiger Bestandteil des Erkennungsentwicklungszyklus und muss verwendet werden, um Erkennungslücken zu identifizieren und neue Erkennungen zu erstellen.
4. Hunt: Die Jagdfunktion beinhaltet die proaktive Suche nach aktiven Bedrohungen in einer Umgebung. Diese Funktion muss implementiert werden, wenn Ihre Organisation bei der Erkennung und der Reaktion ein gewisses Maß an Reife hat. Die Hunt-Funktion erweitert die Erkennungsfunktionen und hilft, Lücken und Schwächen in den Kontrollen zu erkennen. Die Hunt-Funktion muss auf bestimmten Bedrohungen basieren. Diese erweiterte Funktion basiert auf robusten Funktionen für Informationen, Erkennung und Reaktion.
5. Missionssteuerung: Die Mission Control-Funktion ist der zentrale Hub, der alle anderen Funktionen miteinander verbindet. Diese Funktion ist für Strategie, Kommunikation und entscheidende Maßnahmen im Rahmen Ihres Cyberabwehrprogramms verantwortlich. So wird sichergestellt, dass alle Funktionen zusammenarbeiten und mit den Geschäftszielen Ihres Unternehmens übereinstimmen. Sie müssen sich ein klares Bild vom Zweck der Mission Control-Funktion machen, bevor Sie sie verwenden, um die anderen Funktionen zu verbinden.

Die Intelligence-Funktion in allen Aspekten der Cyberabwehr nutzen

Diese Empfehlung ist für alle Fokusbereiche relevant.

Diese Empfehlung hebt die Intelligenzfunktion als zentralen Bestandteil eines starken Cyberabwehrprogramms hervor. Bedrohungsinformationen liefern Informationen zu Bedrohungsakteuren, ihren TTPs und Bedrohungsindikatoren (IOCs). Dieses Wissen sollte Maßnahmen in allen Funktionen der Cyberabwehr informieren und priorisieren. Ein datengetriebener Ansatz hilft Ihnen, Ihre Abwehrmaßnahmen auf die Bedrohungen auszurichten, die Ihre Organisation am ehesten treffen. Dieser Ansatz trägt auch zur effizienten Zuweisung und Priorisierung von Ressourcen bei.

Mit den folgenden Google Cloud Produkten und Features können Sie Bedrohungsdaten für Ihre Sicherheitsabläufe nutzen. Mit diesen Funktionen können Sie potenzielle Bedrohungen, Sicherheitslücken und Risiken identifizieren und priorisieren und dann geeignete Maßnahmen planen und implementieren.

• Google Security Operations (Google SecOps) unterstützt Sie dabei, Sicherheitsdaten zentral zu speichern und zu analysieren. Mit Google SecOps können Sie Logs einem gemeinsamen Modell zuordnen, sie anreichern und mit Zeitachsen verknüpfen, um eine umfassende Übersicht über Angriffe zu erhalten. Außerdem können Sie Erkennungsregeln erstellen, den Abgleich von Kompromittierungsindikatoren einrichten und Aktivitäten zur Bedrohungssuche ausführen. Die Plattform bietet auch ausgewählte Erkennungen, d. h. vordefinierte und verwaltete Regeln, mit denen sich Bedrohungen leichter erkennen lassen. Google SecOps kann auch mit Mandiant Frontline Intelligence integriert werden. Google SecOps kombiniert branchenführende KI mit Bedrohungsinformationen von Mandiant und Google VirusTotal. Diese Einbindung ist wichtig für die Bewertung von Bedrohungen und für das Verständnis, wer Ihr Unternehmen im Visier hat und welche potenziellen Auswirkungen es hat.

• Security Command Center Enterprise, das auf Google AI basiert, ermöglicht es Sicherheitsexperten, Sicherheitsprobleme in mehreren Cloud-Umgebungen effizient zu bewerten, zu untersuchen und zu beheben. Zu den Sicherheitsexperten, die von Security Command Center profitieren können, gehören SOC-Analysten (Security Operations Center), Sicherheits- und Risikoanalysten sowie Compliance-Manager. Security Command Center Enterprise reichert Sicherheitsdaten an, bewertet Risiken und priorisiert Sicherheitslücken. Diese Lösung bietet Teams die Informationen, die sie benötigen, um Sicherheitslücken mit hohem Risiko anzugehen und aktive Bedrohungen zu beheben.

• Chrome Enterprise Premium bietet Funktionen für den Schutz vor Bedrohungen und den Datenschutz, die Nutzer vor Exfiltrationsrisiken schützen und verhindern, dass Malware auf vom Unternehmen verwalteten Geräten gelangt. Chrome Enterprise Premium bietet außerdem Informationen zu unsicheren oder potenziell unsicheren Aktivitäten, die im Browser stattfinden können.

• Mithilfe von Tools wie dem Network Intelligence Center können Sie die Netzwerkleistung im Blick behalten. Mithilfe des Netzwerkmonitorings können Sie auch ungewöhnliche Traffic-Muster oder Datenübertragungsmengen erkennen, die auf einen Angriff oder einen Versuch zur Datenexfiltration hinweisen könnten.

Den Vorteil des Verteidigers verstehen und nutzen

Diese Empfehlung ist für alle Fokusbereiche relevant.

Wie bereits erwähnt, haben Sie einen Vorteil gegenüber Angreifern, wenn Sie Ihr Unternehmen, Ihre Systeme, Ihre Topologie und Ihre Infrastruktur genau kennen. Nutzen Sie diese Daten zu Ihren Umgebungen bei der Planung der Cyberabwehr, um diesen Wissensvorteil zu nutzen.

Google Cloud bietet die folgenden Funktionen, mit denen Sie proaktiv Transparenz gewinnen, Bedrohungen erkennen, Risiken verstehen und zeitnah reagieren können, um potenzielle Schäden zu begrenzen:

• Mit Chrome Enterprise Premium können Sie die Sicherheit von Unternehmensgeräten verbessern, indem Sie Nutzer vor Exfiltrationsrisiken schützen. Er erweitert die Dienste zum Schutz sensibler Daten in den Browser und verhindert Malware. Außerdem bietet es Funktionen wie Schutz vor Malware und Phishing, um die Gefährdung unsicherer Inhalte zu verhindern. Außerdem können Sie die Installation von Erweiterungen steuern, um unsichere oder nicht überprüfte Erweiterungen zu verhindern. Diese Möglichkeiten helfen Ihnen, eine sichere Grundlage für Ihren Betrieb zu schaffen.

• Security Command Center Enterprise bietet eine kontinuierliche Risiko-Engine, die eine umfassende und fortlaufende Risikoanalyse und -verwaltung ermöglicht. Die Risikoengine-Funktion ergänzt Sicherheitsdaten, bewertet Risiken und priorisiert Sicherheitslücken, um Probleme schnell zu beheben. Mit Security Command Center kann Ihr Unternehmen Schwachstellen proaktiv erkennen und Maßnahmen zur Eindämmung umsetzen.

• Google SecOps zentralisiert Sicherheitsdaten und stellt erweiterte Protokolle mit Zeitleisten bereit. So können Sicherheitsteams proaktiv aktive Angriffe identifizieren und die Schutzmaßnahmen entsprechend dem Verhalten der Angreifer anpassen.

• Mit dem Netzwerkmonitoring können Sie unregelmäßige Netzwerkaktivitäten erkennen, die auf einen Angriff hindeuten könnten. Außerdem erhalten Sie frühzeitige Hinweise, auf die Sie reagieren können. Um Ihre Daten proaktiv vor Diebstahl zu schützen, sollten Sie die Datenexfiltration kontinuierlich überwachen und die bereitgestellten Tools verwenden.

Kontinuierliche Abwehrmaßnahmen validieren und verbessern

Diese Empfehlung ist für alle Fokusbereiche relevant.

Diese Empfehlung unterstreicht die Bedeutung gezielter Tests und der kontinuierlichen Validierung von Kontrollen, um Stärken und Schwächen auf der gesamten Angriffsfläche zu ermitteln. Dazu gehört die Validierung der Wirksamkeit von Kontrollen, Abläufen und Mitarbeitern mithilfe von Methoden wie den folgenden:

• Penetrationstests
• Rot-blaues Team und violettes Team
• Theoretische Übungen

Sie müssen auch aktiv nach Bedrohungen suchen und die Ergebnisse verwenden, um die Erkennung und Sichtbarkeit zu verbessern. Mit den folgenden Tools können Sie Ihre Abwehrmaßnahmen kontinuierlich auf reale Bedrohungen testen und validieren:

• Security Command Center Enterprise bietet eine Engine für kontinuierliches Risiko, um Sicherheitslücken zu bewerten und deren Behebung zu priorisieren. So können Sie Ihren allgemeinen Sicherheitsstatus kontinuierlich bewerten. Durch die Priorisierung von Problemen können Sie mit Security Command Center Enterprise dafür sorgen, dass Ressourcen effizient genutzt werden.

• Google SecOps bietet Threat-Hunting und ausgewählte Erkennungen, mit denen Sie Schwachstellen in Ihren Kontrollen proaktiv erkennen können. So können Sie Ihre Fähigkeit, Bedrohungen zu erkennen, kontinuierlich testen und verbessern.

• Chrome Enterprise Premium bietet Funktionen für den Schutz vor Bedrohungen und den Datenschutz, mit denen Sie neue und sich entwickelnde Bedrohungen bekämpfen und Ihre Abwehrmaßnahmen gegen Datenexfiltration und Malware kontinuierlich aktualisieren können.

• Cloud Next Generation Firewall (Cloud NGFW) bietet Netzwerkmonitoring und Monitoring der Daten-Exfiltration. Mit diesen Funktionen können Sie die Effektivität Ihres aktuellen Sicherheitsstatus überprüfen und potenzielle Schwachstellen erkennen. Mithilfe der Überwachung der Datenexfiltration können Sie die Stärke der Datenschutzmechanismen Ihrer Organisation prüfen und bei Bedarf proaktive Anpassungen vornehmen. Wenn Sie Bedrohungsergebnisse aus Cloud NGFW in Security Command Center und Google SecOps einbinden, können Sie die netzwerkbasierte Bedrohungserkennung, die Bedrohungsreaktion und die Automatisierung von Playbooks optimieren. Weitere Informationen zu dieser Integration finden Sie unter Cloud-Sicherheitsmechanismen kombinieren: Security Command Center und Cloud NGFW Enterprise.

Cyberabwehrmaßnahmen verwalten und koordinieren

Diese Empfehlung ist für alle Fokusbereiche relevant.

Wie bereits unter Funktionen der Cyberabwehr integrieren beschrieben, verbindet die Mission Control-Funktion die anderen Funktionen des Cyberabwehrprogramms. Diese Funktion ermöglicht die Koordination und einheitliche Verwaltung im gesamten Programm. Außerdem können Sie so besser mit anderen Teams zusammenarbeiten, die nicht mit der Internetsicherheit befasst sind. Die Mission Control-Funktion fördert die Befähigung und Verantwortlichkeit, fördert Agilität und Fachwissen und fördert Verantwortung und Transparenz.

Die folgenden Produkte und Funktionen können Ihnen bei der Implementierung der Mission Control-Funktion helfen:

• Security Command Center Enterprise dient als zentraler Hub für die Koordination und Verwaltung Ihrer Cyberabwehrabwehrmaßnahmen. Es vereint Tools, Teams und Daten sowie die integrierten Abwehrfunktionen von Google SecOps. Security Command Center bietet einen klaren Einblick in den Sicherheitsstatus Ihrer Organisation und ermöglicht die Identifizierung von sicherheitsbezogenen Fehlkonfigurationen über verschiedene Ressourcen hinweg.
• Google SecOps bietet eine Plattform, mit der Teams auf Bedrohungen reagieren können, indem sie Protokolle zuordnen und Zeitpläne erstellen. Sie können auch Erkennungsregeln definieren und nach Bedrohungen suchen.
• Mit Google Workspace und Chrome Enterprise Premium können Sie den Zugriff von Endnutzern auf sensible Ressourcen verwalten und steuern. Sie können detaillierte Zugriffssteuerungen basierend auf der Nutzeridentität und dem Kontext einer Anfrage definieren.
• Das Netzwerkmonitoring bietet Einblicke in die Leistung der Netzwerkressourcen. Sie können Statistiken zur Netzwerküberwachung in Security Command Center und Google SecOps importieren, um sie zentral zu überwachen und mit anderen zeitachsebasierten Datenpunkten zu korrelieren. Mit dieser Integration können Sie potenzielle Änderungen der Netzwerknutzung, die durch bösartige Aktivitäten verursacht werden, erkennen und darauf reagieren.
• Das Monitoring der Datenexfiltration hilft, mögliche Datenverluste zu erkennen. Mit dieser Funktion können Sie ein Incident-Response-Team effizient mobilisieren, Schäden bewerten und eine weitere Datenexfiltration einschränken. Sie können auch aktuelle Richtlinien und Kontrollen verbessern, um den Datenschutz zu gewährleisten.

Produktübersicht

In der folgenden Tabelle sind die in diesem Dokument beschriebenen Produkte und Funktionen aufgeführt und den entsprechenden Empfehlungen und Sicherheitsfunktionen zugeordnet.

Google Cloud Produkt	Anwendbare Empfehlungen
Google SecOps	Einsatz der Bedrohungsfunktion für alle Aspekte der Cyberabwehr: Ermöglicht die Suche nach Bedrohungen und den IoC-Abgleich und ist für eine umfassende Bewertung von Bedrohungen in Mandiant eingebunden. Vorteile der Rolle des Verteidigers nutzen: Bietet ausgewählte Erkennungen und zentralisiert Sicherheitsdaten zur proaktiven Identifizierung von Systemausfällen. Sicherheitsmechanismen kontinuierlich validieren und verbessern: Ermöglicht kontinuierliches Testen und Verbessern der Bedrohungserkennung. Cyberabwehrmaßnahmen über Mission Control verwalten und koordinieren: Bietet eine Plattform für die Reaktion auf Bedrohungen, die Protokollanalyse und die Erstellung von Zeitachsen.
Security Command Center Enterprise	Die Funktion „Bedrohungsdaten“ in allen Aspekten der Cyberabwehr verwenden: Mithilfe von KI werden Risiken bewertet, Schwachstellen priorisiert und umsetzbare Informationen zur Behebung bereitgestellt. Vorteile Ihres Sicherheitsteams erkennen und nutzen: Bietet eine umfassende Risikoanalyse, Priorisierung von Sicherheitslücken und proaktive Identifizierung von Schwachstellen. Kontinuierliche Validierung und Verbesserung Ihrer Abwehrmaßnahmen: Bietet eine fortlaufende Bewertung der Sicherheitslage und Priorisierung von Ressourcen. Verwaltung und Koordination der Cyberabwehrmaßnahmen über Mission Control: Agiert als zentraler Hub für die Verwaltung und Koordination von Cyberabwehrmaßnahmen.
Chrome Enterprise Premium	Die Intelligence-Funktion in allen Aspekten der Cyberabwehr verwenden: Schützt Nutzer vor Exfiltrationsrisiken, verhindert Malware und bietet Einblicke in unsichere Browseraktivitäten. Den Vorteil Ihres Sicherheitsteams erkennen und nutzen: Erhöht die Sicherheit für Unternehmensgeräte durch Datenschutz, Malware-Prävention und Kontrolle über Erweiterungen. Schutzmaßnahmen kontinuierlich prüfen und verbessern: Neue und sich entwickelnde Bedrohungen werden durch kontinuierliche Updates der Schutzmaßnahmen gegen Exfiltrationsrisiken und Malware bekämpft. Cyberabwehrmaßnahmen über Mission Control verwalten und koordinieren: Verwalten und kontrollieren Sie den Endnutzerzugriff auf sensible Ressourcen, einschließlich detaillierter Zugriffskontrollen.
Google Workspace	Cyberabwehrmaßnahmen über Mission Control verwalten und koordinieren: Verwalten und kontrollieren Sie den Endnutzerzugriff auf sensible Ressourcen, einschließlich detaillierter Zugriffskontrollen.
Network Intelligence Center	Verwenden Sie die Intelligence-Funktion in allen Aspekten der Cyberabwehr: Sie bietet Transparenz in Bezug auf die Netzwerkleistung und erkennt ungewöhnliche Trafficmuster oder Datenübertragungen.
Cloud NGFW	Kontinuierliche Validierung und Verbesserung Ihrer Abwehrmaßnahmen: Durch die Einbindung in Security Command Center und Google SecOps wird die netzwerkbasierte Bedrohungserkennung und ‐abwehr optimiert.