Dieses Prinzip in der Sicherheitssäule des Google Cloud Well-Architected Framework enthält Empfehlungen zum Erstellen robuster Programme zur Cyberabwehr als Teil Ihrer allgemeinen Sicherheitsstrategie.
Dieses Prinzip betont die Verwendung von Threat Intelligence, um Ihre Bemühungen in den wichtigsten Funktionen der Cyberabwehr proaktiv zu steuern, wie in Intelligente Cyberabwehr: Ein Leitfaden definiert.
Übersicht über die Grundsätze
Wenn Sie Ihr System vor Cyberangriffen schützen, haben Sie einen erheblichen, ungenutzten Vorteil gegenüber Angreifern. Wie der Gründer von Mandiant sagt: „Sie sollten mehr über Ihr Unternehmen, Ihre Systeme, Ihre Topologie und Ihre Infrastruktur wissen als jeder Angreifer. Das ist ein unglaublicher Vorteil.“ Damit Sie diesen inhärenten Vorteil nutzen können, enthält dieses Dokument Empfehlungen zu proaktiven und strategischen Cyberabwehrmaßnahmen, die dem Defender's Advantage-Framework zugeordnet sind.
Empfehlungen
Wenn Sie präventive Cyberabwehr für Ihre Cloud-Arbeitslasten implementieren möchten, sollten Sie die Empfehlungen in den folgenden Abschnitten berücksichtigen:
- Komponenten der Cyberabwehr integrieren
- Bedrohungsdaten in allen Aspekten der Cyberabwehr nutzen
- Vorteil des Verteidigers verstehen und nutzen
- Sicherheitsmaßnahmen kontinuierlich validieren und verbessern
- Cyberabwehrmaßnahmen verwalten und koordinieren
Komponenten der Cyberabwehr integrieren
Diese Empfehlung ist für alle Schwerpunktbereiche relevant.
Das Defender's Advantage-Framework umfasst sechs kritische Funktionen der Cyberabwehr: Bedrohungsdaten, Bedrohungserkennung, Reaktion, Validierung, Aufspüren und Mission Control. Jede Funktion konzentriert sich auf einen bestimmten Teil der Cyberabwehr, aber diese Funktionen müssen gut koordiniert sein und zusammenarbeiten, um eine effektive Abwehr zu ermöglichen. Konzentrieren Sie sich auf den Aufbau eines robusten und integrierten Systems, in dem jede Funktion die anderen unterstützt. Wenn Sie einen stufenweisen Ansatz für die Einführung benötigen, sollten Sie die folgende Reihenfolge in Betracht ziehen. Abhängig von Ihrer aktuellen Cloud-Reife, der Ressourcentopologie und der spezifischen Bedrohungslandschaft sollten Sie bestimmte Funktionen priorisieren.
- Intelligence: Die Intelligence-Funktion steuert alle anderen Funktionen. Die Bedrohungslandschaft zu verstehen, einschließlich der wahrscheinlichsten Angreifer, ihrer Taktiken, Techniken und Verfahren (Tactics, Techniques and Procedures, TTPs) und der potenziellen Auswirkungen, ist entscheidend, um Maßnahmen im gesamten Programm zu priorisieren. Die Intelligence-Funktion ist für die Identifizierung von Stakeholdern, die Definition von Intelligence-Anforderungen, die Datenerhebung, die Analyse und Verbreitung, die Automatisierung und die Erstellung eines Cyberbedrohungsprofils verantwortlich.
- Erkennen und Reagieren: Diese Funktionen bilden den Kern der aktiven Abwehr, bei der böswillige Aktivitäten identifiziert und behoben werden. Diese Funktionen sind erforderlich, um auf die Informationen zu reagieren, die von der Intelligence-Funktion erfasst werden. Die Funktion „Detect“ erfordert einen methodischen Ansatz, bei dem Erkennungen an die TTPs von Angreifern angepasst werden und eine robuste Protokollierung gewährleistet wird. Die Funktion „Reagieren“ muss sich auf die erste Triage, die Datenerhebung und die Behebung von Vorfällen konzentrieren.
- Validieren: Die Validierungsfunktion ist ein kontinuierlicher Prozess, der dafür sorgt, dass Ihr Sicherheitskontrollsystem auf dem neuesten Stand ist und wie vorgesehen funktioniert. Diese Funktion sorgt dafür, dass Ihr Unternehmen die Angriffsfläche kennt, weiß, wo Sicherheitslücken vorhanden sind, und die Effektivität von Kontrollen messen kann. Die Sicherheitsvalidierung ist auch ein wichtiger Bestandteil des Lebenszyklus für die Entwicklung von Erkennungsfunktionen und muss verwendet werden, um Lücken bei der Erkennung zu identifizieren und neue Erkennungsfunktionen zu erstellen.
- Bedrohungssuche: Bei der Bedrohungssuche wird proaktiv nach aktiven Bedrohungen in einer Umgebung gesucht. Diese Funktion muss implementiert werden, wenn Ihre Organisation ein grundlegendes Reifegradniveau bei den Funktionen „Erkennen“ und „Reagieren“ erreicht hat. Die Funktion „Hunt“ erweitert die Erkennungsfunktionen und hilft, Lücken und Schwachstellen in den Kontrollen zu identifizieren. Die Hunt-Funktion muss auf bestimmten Bedrohungen basieren. Diese erweiterte Funktion profitiert von einer Grundlage aus robusten Funktionen für Informationen, Erkennung und Reaktion.
- Mission Control: Die Mission Control-Funktion dient als zentraler Hub, der alle anderen Funktionen miteinander verbindet. Diese Funktion ist für Strategie, Kommunikation und entschlossenes Handeln in Ihrem Programm zur Cyberabwehr verantwortlich. So wird sichergestellt, dass alle Funktionen zusammenarbeiten und auf die Geschäftsziele Ihrer Organisation ausgerichtet sind. Sie müssen sich mit dem Zweck der Mission Control-Funktion vertraut machen, bevor Sie sie zum Verknüpfen der anderen Funktionen verwenden.
Intelligence-Funktion in allen Aspekten der Cyberabwehr nutzen
Diese Empfehlung ist für alle Schwerpunktbereiche relevant.
Diese Empfehlung unterstreicht die Bedeutung der Intelligence-Funktion als Kernbestandteil eines starken Cyberabwehrprogramms. Bedrohungsdaten liefern Informationen zu Bedrohungsakteuren, ihren TTPs und Kompromittierungsindikatoren (IOCs). Dieses Wissen sollte Aktionen in allen Cyberabwehrfunktionen beeinflussen und priorisieren. Mit einem informationsbasierten Ansatz können Sie Ihre Schutzmaßnahmen an die Bedrohungen anpassen, die Ihr Unternehmen am wahrscheinlichsten betreffen. Dieser Ansatz trägt auch zur effizienten Zuweisung und Priorisierung von Ressourcen bei.
Die folgenden Google Cloud Produkte und Funktionen helfen Ihnen, Bedrohungsinformationen für Ihre Sicherheitsabläufe zu nutzen. Mit diesen Funktionen können Sie potenzielle Bedrohungen, Sicherheitslücken und Risiken identifizieren und priorisieren sowie geeignete Maßnahmen planen und umsetzen.
Mit Google Security Operations (Google SecOps) können Sie Sicherheitsdaten zentral speichern und analysieren. Mit Google SecOps können Sie Logs einem gemeinsamen Modell zuordnen, die Logs anreichern und die Logs mit Zeitachsen verknüpfen, um einen umfassenden Überblick über Angriffe zu erhalten. Sie können auch Erkennungsregeln erstellen, den Abgleich von IoC einrichten und Aktivitäten zur Bedrohungssuche ausführen. Die Plattform bietet auch ausgewählte Erkennungen, die vordefinierte und verwaltete Regeln sind, mit denen Sie Bedrohungen identifizieren können. Google SecOps kann auch in Mandiant Frontline Intelligence integriert werden. Google SecOps bietet eine einzigartige Integration von branchenführender KI sowie Threat Intelligence von Mandiant und Google VirusTotal. Diese Integration ist entscheidend für die Bewertung von Bedrohungen und dafür, zu verstehen, wer auf Ihre Organisation abzielt und welche potenziellen Auswirkungen dies haben kann.
Security Command Center Enterprise, das auf Google AI basiert, ermöglicht es Sicherheitsexperten, Sicherheitsprobleme in mehreren Cloud-Umgebungen effizient zu bewerten, zu untersuchen und darauf zu reagieren. Zu den Sicherheitsexperten, die von Security Command Center profitieren können, gehören Analysten im Security Operations Center (SOC), Analysten für Sicherheitslücken und Sicherheitsstatus sowie Compliance-Manager. Security Command Center Enterprise reichert Sicherheitsdaten an, bewertet Risiken und priorisiert Sicherheitslücken. Diese Lösung bietet Teams die Informationen, die sie benötigen, um Sicherheitslücken mit hohem Risiko zu beheben und aktive Bedrohungen zu beseitigen.
Chrome Enterprise Premium bietet Bedrohungs- und Datenschutz, um Nutzer vor Daten-Exfiltrationsrisiken zu schützen und zu verhindern, dass Malware auf vom Unternehmen verwaltete Geräte gelangt. Chrome Enterprise Premium bietet auch Einblick in unsichere oder potenziell unsichere Aktivitäten, die im Browser stattfinden können.
Die Netzwerküberwachung mit Tools wie dem Network Intelligence Center bietet Einblick in die Netzwerkleistung. Die Netzwerküberwachung kann Ihnen auch dabei helfen, ungewöhnliche Traffic-Muster oder Datenübertragungsmengen zu erkennen, die auf einen Angriff oder einen Versuch zur Datenexfiltration hindeuten könnten.
Vorteil des Verteidigers verstehen und nutzen
Diese Empfehlung ist für alle Schwerpunktbereiche relevant.
Wie bereits erwähnt, haben Sie einen Vorteil gegenüber Angreifern, wenn Sie Ihr Unternehmen, Ihre Systeme, Ihre Topologie und Ihre Infrastruktur genau kennen. Um diesen Wissensvorsprung zu nutzen, sollten Sie diese Daten zu Ihren Umgebungen bei der Planung der Cyberabwehr berücksichtigen.
Google Cloud bietet die folgenden Funktionen, mit denen Sie proaktiv Einblick erhalten, um Bedrohungen zu erkennen, Risiken zu verstehen und rechtzeitig zu reagieren, um potenzielle Schäden zu minimieren:
Mit Chrome Enterprise Premium können Sie die Sicherheit von Unternehmensgeräten verbessern, indem Sie Nutzer vor Daten-Exfiltrationsrisiken schützen. Sie erweitert die Sensitive Data Protection-Dienste auf den Browser und verhindert Malware. Außerdem bietet es Funktionen wie den Schutz vor Malware und Phishing, um zu verhindern, dass Sie unsicheren Inhalten ausgesetzt werden. Außerdem haben Sie die Möglichkeit, die Installation von Erweiterungen zu steuern, um unsichere oder nicht geprüfte Erweiterungen zu verhindern. Diese Funktionen helfen Ihnen, eine sichere Grundlage für Ihre Abläufe zu schaffen.
Security Command Center Enterprise bietet eine kontinuierliche Risiko-Engine, die eine umfassende und fortlaufende Risikoanalyse und ‑verwaltung ermöglicht. Die Risikoberechnung reichert Sicherheitsdaten an, bewertet Risiken und priorisiert Sicherheitslücken, damit Probleme schnell behoben werden können. Mit Security Command Center kann Ihre Organisation proaktiv Schwachstellen erkennen und Gegenmaßnahmen ergreifen.
Google SecOps zentralisiert Sicherheitsdaten und stellt angereicherte Logs mit Zeitachsen bereit. So können Sicherheitsteams aktive Kompromittierungen proaktiv erkennen und die Sicherheitsmaßnahmen an das Verhalten der Angreifer anpassen.
Durch die Netzwerküberwachung lassen sich ungewöhnliche Netzwerkaktivitäten erkennen, die auf einen Angriff hindeuten könnten. Außerdem erhalten Sie Frühindikatoren, anhand derer Sie Maßnahmen ergreifen können. Um Ihre Daten proaktiv vor Diebstahl zu schützen, sollten Sie kontinuierlich nach Daten-Exfiltration suchen und die bereitgestellten Tools verwenden.
Abwehrmaßnahmen kontinuierlich validieren und verbessern
Diese Empfehlung ist für alle Schwerpunktbereiche relevant.
Diese Empfehlung unterstreicht die Bedeutung von gezielten Tests und der kontinuierlichen Validierung von Kontrollen, um Stärken und Schwächen der gesamten Angriffsfläche zu ermitteln. Dazu gehört die Validierung der Wirksamkeit von Kontrollen, Abläufen und Mitarbeitern durch Methoden wie die folgenden:
- Penetrationstests
- Red-Blue-Team- und Purple-Team-Übungen
- Theoretische Übungen
Sie müssen auch aktiv nach Bedrohungen suchen und die Ergebnisse verwenden, um die Erkennung und Sichtbarkeit zu verbessern. Verwenden Sie die folgenden Tools, um Ihre Abwehrmaßnahmen gegen reale Bedrohungen kontinuierlich zu testen und zu validieren:
Security Command Center Enterprise bietet eine kontinuierliche Risiko-Engine, mit der Schwachstellen bewertet und die Risikobeseitigung priorisiert werden kann. So lässt sich Ihre allgemeine Sicherheitslage fortlaufend bewerten. Durch die Priorisierung von Problemen trägt Security Command Center Enterprise dazu bei, dass Ressourcen effektiv eingesetzt werden.
Google SecOps bietet die Suche nach Bedrohungen und kuratierte Erkennungen, mit denen Sie proaktiv Schwachstellen in Ihren Kontrollen identifizieren können. Diese Funktion ermöglicht kontinuierliche Tests und Verbesserungen Ihrer Fähigkeit, Bedrohungen zu erkennen.
Chrome Enterprise Premium bietet Funktionen für den Schutz vor Bedrohungen und den Datenschutz, mit denen Sie auf neue und sich entwickelnde Bedrohungen reagieren und Ihre Abwehrmaßnahmen gegen Exfiltrationsrisiken und Malware kontinuierlich aktualisieren können.
Cloud Next Generation Firewall (Cloud NGFW) bietet Netzwerk- und Datenexfiltrations-Monitoring. Mit diesen Funktionen können Sie die Effektivität Ihres aktuellen Sicherheitsstatus überprüfen und potenzielle Schwachstellen identifizieren. Mit der Überwachung der Datenexfiltration können Sie die Stärke der Datenschutzmechanismen Ihrer Organisation validieren und bei Bedarf proaktive Anpassungen vornehmen. Wenn Sie Bedrohungsergebnisse aus Cloud NGFW in Security Command Center und Google SecOps einbinden, können Sie die netzwerkbasierte Bedrohungserkennung optimieren, die Reaktion auf Bedrohungen optimieren und Playbooks automatisieren. Weitere Informationen zu dieser Integration finden Sie unter Cloud-Sicherheitsmaßnahmen vereinheitlichen: Security Command Center und Cloud NGFW Enterprise.
Cyberabwehrmaßnahmen verwalten und koordinieren
Diese Empfehlung ist für alle Schwerpunktbereiche relevant.
Wie bereits im Abschnitt Funktionen der Cyberabwehr integrieren beschrieben, verbindet die Funktion „Mission Control“ die anderen Funktionen des Cyberabwehrprogramms. Diese Funktion ermöglicht die Koordination und einheitliche Verwaltung des Programms. Außerdem können Sie so die Zusammenarbeit mit anderen Teams koordinieren, die nicht im Bereich Cybersicherheit tätig sind. Die Mission Control-Funktion fördert Eigenverantwortung und Verantwortlichkeit, Agilität und Fachwissen sowie Verantwortung und Transparenz.
Die folgenden Produkte und Funktionen können Ihnen bei der Implementierung der Mission Control-Funktion helfen:
- Security Command Center Enterprise dient als zentraler Hub für die Koordination und Verwaltung Ihrer Cyberabwehr. Sie vereint Tools, Teams und Daten sowie die integrierten Abwehrfunktionen von Google SecOps. Security Command Center bietet einen klaren Überblick über den Sicherheitsstatus Ihrer Organisation und ermöglicht die Identifizierung von Sicherheitsfehlkonfigurationen in verschiedenen Ressourcen.
- Google SecOps bietet eine Plattform, auf der Teams auf Bedrohungen reagieren können, indem sie Protokolle zuordnen und Zeitachsen erstellen. Sie können auch Erkennungsregeln definieren und nach Bedrohungen suchen.
- Mit Google Workspace und Chrome Enterprise Premium können Sie den Endnutzerzugriff auf sensible Ressourcen verwalten und steuern. Sie können detaillierte Zugriffskontrollen auf Grundlage der Nutzeridentität und des Kontexts einer Anfrage definieren.
- Das Netzwerk-Monitoring bietet Einblicke in die Leistung von Netzwerkressourcen. Sie können Erkenntnisse zur Netzwerküberwachung in Security Command Center und Google SecOps importieren, um sie zentral zu überwachen und mit anderen zeitachsenbasierten Datenpunkten zu korrelieren. Diese Integration hilft Ihnen, potenzielle Änderungen der Netzwerknutzung zu erkennen und darauf zu reagieren, die durch schädliche Aktivitäten verursacht werden.
- Die Überwachung der Datenexfiltration hilft, mögliche Vorfälle mit Datenverlust zu erkennen. Mit dieser Funktion können Sie schnell ein Team zur Reaktion auf Vorfälle mobilisieren, Schäden bewerten und weitere Daten-Exfiltrationen begrenzen. Sie können auch die aktuellen Richtlinien und Kontrollen verbessern, um den Datenschutz zu gewährleisten.
Produktübersicht
In der folgenden Tabelle sind die Produkte und Funktionen aufgeführt, die in diesem Dokument beschrieben werden, und sie werden den zugehörigen Empfehlungen und Sicherheitsfunktionen zugeordnet.
| Google Cloud product | Anwendbare Empfehlungen |
|---|---|
| Google SecOps |
Intelligence-Funktion in allen Aspekten der Cyberabwehr nutzen:
Ermöglicht das Aufspüren von Bedrohungen und den IoC-Abgleich und lässt sich für eine umfassende Bedrohungsanalyse in Mandiant integrieren.
Vorteil des Verteidigers nutzen: Bietet kuratierte Erkennungen und zentralisiert Sicherheitsdaten für die proaktive Identifizierung von Kompromittierungen. Sicherheitsmaßnahmen kontinuierlich validieren und verbessern: Ermöglicht kontinuierliche Tests und Verbesserungen der Funktionen zur Erkennung von Bedrohungen.Cyberabwehr über Mission Control verwalten und koordinieren: Bietet eine Plattform für die Reaktion auf Bedrohungen, die Protokollanalyse und die Erstellung von Zeitachsen. |
| Security Command Center Enterprise |
Intelligence-Funktion in allen Aspekten der Cyberabwehr nutzen:
Mithilfe von KI werden Risiken bewertet, Schwachstellen priorisiert und umsetzbare Informationen zur Behebung bereitgestellt.
Vorteil des Verteidigers verstehen und nutzen: Umfassende Risikoanalyse, Priorisierung von Sicherheitslücken und proaktive Identifizierung von Schwachstellen. Sicherheitsmaßnahmen kontinuierlich validieren und verbessern: Ermöglicht die fortlaufende Bewertung der Sicherheitslage und die Priorisierung von Ressourcen.Cyberabwehrmaßnahmen über Mission Control verwalten und koordinieren: Mission Control dient als zentraler Hub für die Verwaltung und Koordination von Cyberabwehrmaßnahmen. |
| Chrome Enterprise Premium |
Intelligence-Funktion in allen Aspekten der Cyberabwehr nutzen: Schützt Nutzer vor Daten-Exfiltrationsrisiken, verhindert Malware und bietet Einblick in unsichere Browseraktivitäten.
Vorteile der Verteidigung nutzen: Die Sicherheit von Unternehmensgeräten wird durch Datenschutz, Malware-Schutz und Kontrolle über Erweiterungen verbessert. Schutzmaßnahmen kontinuierlich validieren und verbessern: Neue und sich entwickelnde Bedrohungen werden durch kontinuierliche Updates der Schutzmaßnahmen gegen Exfiltrationsrisiken und Malware abgewehrt.Cyberabwehrmaßnahmen über Mission Control verwalten und koordinieren: Endnutzerzugriff auf vertrauliche Ressourcen verwalten und steuern, einschließlich detaillierter Zugriffssteuerung. |
| Google Workspace | Cyberabwehrmaßnahmen über Mission Control verwalten und koordinieren: Endnutzerzugriff auf vertrauliche Ressourcen verwalten und steuern, einschließlich detaillierter Zugriffssteuerung. |
| Network Intelligence Center | Intelligence-Funktion in allen Aspekten der Cyberabwehr nutzen: Sie bietet Einblick in die Netzwerkleistung und erkennt ungewöhnliche Traffic-Muster oder Datenübertragungen. |
| Cloud NGFW | Schutzmaßnahmen kontinuierlich validieren und verbessern: Optimiert die netzwerkbasierte Bedrohungserkennung und ‑abwehr durch die Integration mit Security Command Center und Google SecOps. |