Questo principio del pilastro della sicurezza del Google Cloud framework Well-Architected fornisce consigli per creare solidi programmi di difesa informatica nell'ambito della tua strategia di sicurezza complessiva.
Questo principio sottolinea l'uso dell'intelligence sulle minacce per guidare in modo proattivo i tuoi sforzi nelle funzioni principali di difesa informatica, come definito in The Defender's Advantage: una guida per attivare la difesa informatica.
Panoramica del principio
Quando difendi il tuo sistema dagli attacchi informatici, hai un vantaggio significativo e sottoutilizzato rispetto agli aggressori. Come afferma il fondatore di Mandiant, "Hai più informazioni sulla tua attività, sui tuoi sistemi, sulla tua topologia e sulla tua infrastruttura di qualsiasi malintenzionato. È un vantaggio incredibile." Per aiutarti a sfruttare questo vantaggio intrinseco, questo documento fornisce consigli su pratiche di difesa informatica proattive e strategiche mappate al framework Defender's Advantage.
Consigli
Per implementare una difesa informatica preventiva per i tuoi workload cloud, prendi in considerazione i suggerimenti nelle sezioni seguenti:
- Integrare le funzioni della difesa informatica
- Utilizza la funzione Intelligence in tutti gli aspetti della difesa informatica
- Comprendere e sfruttare il Defender's Advantage
- Convalidare e migliorare continuamente le difese
- Gestire e coordinare le attività di difesa informatica
Integrare le funzioni della difesa informatica
Questo consiglio è pertinente a tutte le aree di interesse.
Il framework di The Defender's Advantage identifica sei funzioni critiche della difesa informatica: intelligence, rilevamento, risposta, convalida, ricerca delle minacce e mission control. Ogni funzione si concentra su una parte unica della missione di cyberdifesa, ma queste funzioni devono essere ben coordinate e lavorare insieme per fornire una difesa efficace. Concentrati sulla creazione di un sistema solido e integrato in cui ogni funzione supporti le altre. Se hai bisogno di un approccio graduale per l'adozione, considera l'ordine suggerito di seguito. A seconda del tuo attuale livello di maturità del cloud, della topologia delle risorse e del panorama delle minacce specifico, potresti voler dare la priorità a determinate funzioni.
- Intelligence: la funzione Intelligence guida tutte le altre funzioni. Comprendere il panorama delle minacce, inclusi gli autori degli attacchi più probabili, le loro tattiche, tecniche e procedure (TTP) e il potenziale impatto, è fondamentale per dare la priorità alle azioni nell'intero programma. La funzione Intelligence è responsabile dell'identificazione degli stakeholder, della definizione dei requisiti di intelligence, della raccolta, dell'analisi e della diffusione dei dati, dell'automazione e della creazione di un profilo di minaccia informatica.
- Rilevamento e risposta: queste funzioni costituiscono il nucleo della difesa attiva, che prevede l'identificazione e la gestione delle attività dannose. Queste funzioni sono necessarie per agire in base alle informazioni raccolte dalla funzione di intelligence. La funzione Rileva richiede un approccio metodico che allinei i rilevamenti alle TTP degli autori degli attacchi e garantisca una registrazione robusta. La funzione Rispondi deve concentrarsi sul triage iniziale, sulla raccolta dei dati e sulla correzione degli incidenti.
- Convalida: la funzione di convalida è un processo continuo che garantisce che l'ecosistema di controllo della sicurezza sia aggiornato e funzioni come previsto. Questa funzione garantisce che la tua organizzazione comprenda la superficie di attacco, sappia dove esistono vulnerabilità e misuri l'efficacia dei controlli. La convalida della sicurezza è anche un componente importante del ciclo di vita della progettazione del rilevamento e deve essere utilizzata per identificare le lacune nel rilevamento e creare nuovi rilevamenti.
- Caccia: la funzione di caccia prevede la ricerca proattiva di minacce attive all'interno di un ambiente. Questa funzione deve essere implementata quando la tua organizzazione ha un livello di maturità di base nelle funzioni di rilevamento e risposta. La funzione Caccia espande le funzionalità di rilevamento e aiuta a identificare lacune e punti deboli nei controlli. La funzione Caccia deve basarsi su minacce specifiche. Questa funzionalità avanzata si basa su solide capacità di intelligence, rilevamento e risposta.
- Mission Control: la funzione Mission Control funge da hub centrale che collega tutte le altre funzioni. Questa funzione è responsabile della strategia, della comunicazione e dell'azione decisiva nell'ambito del tuo programma di cyberdifesa. Garantisce che tutte le funzioni funzionino insieme e che siano in linea con gli obiettivi commerciali della tua organizzazione. Prima di utilizzarla per connettere le altre funzioni, devi concentrarti sulla creazione di una comprensione chiara dello scopo della funzione Mission Control.
Utilizza la funzione Intelligence in tutti gli aspetti della difesa informatica
Questo consiglio è pertinente a tutte le aree di interesse.
Questo consiglio evidenzia la funzione di intelligence come parte fondamentale di un solido programma di cyberdifesa. La threat intelligence fornisce informazioni sugli autori delle minacce, sulle loro TTP e sugli indicatori di compromissione (IOC). Queste conoscenze devono informare e dare priorità alle azioni in tutte le funzioni di difesa informatica. Un approccio basato sull'intelligence ti aiuta ad allineare le difese per contrastare le minacce che hanno maggiori probabilità di colpire la tua organizzazione. Questo approccio aiuta anche l'allocazione e la definizione delle priorità delle risorse.
I seguenti Google Cloud prodotti e funzionalità ti aiutano a sfruttare la threat intelligence per guidare le tue operazioni di sicurezza. Utilizza queste funzionalità per identificare e dare la priorità a potenziali minacce, vulnerabilità e rischi, quindi pianificare e implementare le azioni appropriate.
Google Security Operations (Google SecOps) ti aiuta ad archiviare e analizzare i dati di sicurezza in modo centralizzato. Utilizza Google SecOps per mappare i log in un modello comune, arricchire i log e collegarli alle cronologie per una visione completa degli attacchi. Puoi anche creare regole di rilevamento, configurare la corrispondenza degli indicatori di compromissione ed eseguire attività di threat hunting. La piattaforma fornisce anche rilevamenti selezionati, ovvero regole predefinite e gestite per identificare le minacce. Google SecOps può anche integrarsi con l'intelligence di prima linea di Mandiant. Google SecOps integra in modo esclusivo l'AI leader del settore, insieme all'intelligence sulle minacce di Mandiant e Google VirusTotal. Questa integrazione è fondamentale per la valutazione delle minacce e per capire chi prende di mira la tua organizzazione e il potenziale impatto.
Security Command Center Enterprise, basato su Google AI, consente ai professionisti della sicurezza di valutare, analizzare e rispondere in modo efficiente ai problemi di sicurezza in più ambienti cloud. I professionisti della sicurezza che possono trarre vantaggio da Security Command Center includono analisti del centro operativo di sicurezza (SOC), analisti di vulnerabilità e postura e responsabili della conformità. Security Command Center Enterprise arricchisce i dati di sicurezza, valuta il rischio e assegna priorità alle vulnerabilità. Questa soluzione fornisce ai team le informazioni necessarie per risolvere le vulnerabilità ad alto rischio e correggere le minacce attive.
Chrome Enterprise Premium offre protezione dei dati e dalle minacce, che aiuta a proteggere gli utenti dai rischi di esfiltrazione e impedisce l'accesso di malware ai dispositivi gestiti dall'azienda. Chrome Enterprise Premium offre anche visibilità sull'attività non sicura o potenzialmente non sicura che può verificarsi all'interno del browser.
Il monitoraggio della rete, tramite strumenti come Network Intelligence Center, fornisce visibilità sulle prestazioni della rete. Il monitoraggio della rete può anche aiutarti a rilevare pattern di traffico insoliti o quantità di trasferimento di dati che potrebbero indicare un attacco o un tentativesfiltrazione di datiti.
Comprendere e sfruttare il vantaggio di chi si difende
Questo consiglio è pertinente a tutte le aree di interesse.
Come accennato in precedenza, hai un vantaggio rispetto agli autori degli attacchi quando hai una conoscenza approfondita della tua attività, dei tuoi sistemi, della tua topologia e della tua infrastruttura. Per sfruttare questo vantaggio di conoscenza, utilizza questi dati sui tuoi ambienti durante la pianificazione della difesa informatica.
Google Cloud offre le seguenti funzionalità per aiutarti a ottenere in modo proattivo visibilità per identificare le minacce, comprendere i rischi e rispondere in modo tempestivo per mitigare potenziali danni:
Chrome Enterprise Premium ti aiuta a migliorare la sicurezza dei dispositivi aziendali proteggendo gli utenti dai rischi di esfiltrazione. Estende i servizi Sensitive Data Protection al browser e previene i malware. Offre anche funzionalità come la protezione da malware e phishing per contribuire a prevenire l'esposizione a contenuti non sicuri. Inoltre, ti consente di controllare l'installazione delle estensioni per evitare quelle non sicure o non verificate. Queste funzionalità ti aiutano a creare una base sicura per le tue operazioni.
Security Command Center Enterprise fornisce un motore dei rischi continuo che offre una gestione e un'analisi dei rischi complete e continue. La funzionalità del motore di rischio arricchisce i dati di sicurezza, valuta il rischio e assegna la priorità alle vulnerabilità per risolvere rapidamente i problemi. Security Command Center consente alla tua organizzazione di identificare in modo proattivo i punti deboli e implementare misure di mitigazione.
Google SecOps centralizza i dati di sicurezza e fornisce log arricchiti con cronologie. Ciò consente ai difensori di identificare in modo proattivo i compromessi attivi e adattare le difese in base al comportamento degli autori degli attacchi.
Il monitoraggio della rete aiuta a identificare attività di rete irregolari che potrebbero indicare un attacco e fornisce indicatori precoci che puoi utilizzare per intervenire. Per proteggere in modo proattivo i tuoi dati dal furto, monitora costantemente l'esfiltrazione di datii e utilizza gli strumenti forniti.
Convalida e migliora continuamente le tue difese
Questo consiglio è pertinente a tutte le aree di interesse.
Questo consiglio sottolinea l'importanza di test mirati e della convalida continua dei controlli per comprendere i punti di forza e di debolezza dell'intera superficie di attacco. Ciò include la convalida dell'efficacia di controlli, operazioni e personale tramite metodi come:
Devi anche cercare attivamente le minacce e utilizzare i risultati per migliorare il rilevamento e la visibilità. Utilizza i seguenti strumenti per testare e convalidare continuamente le tue difese contro le minacce reali:
Security Command Center Enterprise fornisce un motore di rischio continuo per valutare le vulnerabilità e dare la priorità alla correzione, il che consente una valutazione continua del tuo approccio generale alla sicurezza. Assegnando la priorità ai problemi, Security Command Center Enterprise ti aiuta a garantire che le risorse vengano utilizzate in modo efficace.
Google SecOps offre funzionalità di threat hunting e rilevamenti curati che ti consentono di identificare in modo proattivo i punti deboli dei tuoi controlli. Questa funzionalità consente di testare e migliorare continuamente la tua capacità di rilevare le minacce.
Chrome Enterprise Premium offre funzionalità di protezione dei dati e dalle minacce che possono aiutarti ad affrontare minacce nuove ed emergenti e ad aggiornare continuamente le tue difese contro i rischi di esfiltrazione e i malware.
Cloud Next Generation Firewall (Cloud NGFW) fornisce il monitoraggio della rete e dell'esfiltrazione dei dati. Queste funzionalità possono aiutarti a convalidare l'efficacia della tua attuale postura di sicurezza e a identificare potenziali punti deboli. Il monitoraggio dell'esfiltrazione dei dati ti aiuta a convalidare l'efficacia dei meccanismi di protezione dei dati della tua organizzazione e ad apportare modifiche proattive, se necessario. Quando integri i risultati delle minacce di Cloud NGFW con Security Command Center e Google SecOps, puoi ottimizzare il rilevamento delle minacce basato sulla rete, la risposta alle minacce e automatizzare i playbook. Per saperne di più su questa integrazione, consulta Unificazione delle difese cloud: Security Command Center e Cloud NGFW Enterprise.
Gestire e coordinare le attività di difesa informatica
Questo consiglio è pertinente a tutte le aree di interesse.
Come descritto in precedenza in Integrare le funzioni di difesa informatica, la funzione Mission Control interconnette le altre funzioni del programma di difesa informatica. Questa funzione consente il coordinamento e la gestione unificata del programma. Ti aiuta anche a coordinarti con altri team che non si occupano di sicurezza informatica. La funzione Mission Control promuove l'empowerment e la responsabilità, facilita l'agilità e la competenza e favorisce la responsabilità e la trasparenza.
I seguenti prodotti e funzionalità possono aiutarti a implementare la funzione Mission Control:
- Security Command Center Enterprise funge da hub centrale per coordinare e gestire le operazioni di cyberdifesa. Riunisce strumenti, team e dati, oltre alle funzionalità di risposta integrate di Google SecOps. Security Command Center offre una visibilità chiara sullo stato di sicurezza della tua organizzazione e consente l'identificazione di errori di configurazione della sicurezza in diverse risorse.
- Google SecOps fornisce una piattaforma per consentire ai team di rispondere alle minacce mappando i log e creando cronologie. Puoi anche definire regole di rilevamento e cercare minacce.
- Google Workspace e Chrome Enterprise Premium ti aiutano a gestire e controllare l'accesso degli utenti finali alle risorse sensibili. Puoi definire controlli di accesso granulari in base all'identità dell'utente e al contesto di una richiesta.
- Il monitoraggio della rete fornisce informazioni sul rendimento delle risorse di rete. Puoi importare gli approfondimenti sul monitoraggio della rete in Security Command Center e Google SecOps per il monitoraggio e la correlazione centralizzati con altri punti dati basati sulla cronologia. Questa integrazione ti aiuta a rilevare e rispondere a potenziali modifiche dell'utilizzo della rete causate da attività illecite.
- Il monitoraggio dell'esfiltrazione di dati consente di identificare possibili incidenti di perdita di dati. Con questa funzionalità, puoi mobilitare in modo efficiente un team di risposta agli incidenti, valutare i danni e limitare l'ulteriore esfiltrazione di dati. Puoi anche migliorare le norme e i controlli attuali per garantire la protezione dei dati.
Riepilogo prodotto
La seguente tabella elenca i prodotti e le funzionalità descritti in questo documento e li associa ai consigli e alle funzionalità di sicurezza correlati.
| Google Cloud prodotto | Consigli applicabili |
|---|---|
| Google SecOps |
Utilizza la funzione Intelligence in tutti gli aspetti della difesa informatica:
Consente la ricerca delle minacce e la corrispondenza degli indicatori di compromissione e si integra con
Mandiant per una valutazione completa delle minacce.
Comprendi e sfrutta il vantaggio del tuo difensore: fornisce rilevamenti curati e centralizza i dati di sicurezza per l'identificazione proattiva delle compromissioni. Convalida e migliora continuamente le tue difese: Consente di testare e migliorare continuamente le funzionalità di rilevamento delle minacce.Gestire e coordinare gli sforzi di difesa informatica tramite Mission Control: fornisce una piattaforma per la risposta alle minacce, l'analisi dei log e la creazione di cronologie. |
| Security Command Center Enterprise |
Utilizza la funzione Intelligence in tutti gli aspetti della difesa informatica:
Utilizza l'AI per valutare il rischio, dare la priorità alle vulnerabilità e fornire
approfondimenti utili per la correzione.
Comprendi e sfrutta il tuo vantaggio di difensore: offre analisi completa dei rischi, definizione delle priorità delle vulnerabilità e identificazione proattiva dei punti deboli. Convalida e migliora continuamente le tue difese: fornisce una valutazione continua del livello di sicurezza e la definizione delle priorità delle risorse.Gestisci e coordina gli sforzi di difesa informatica tramite Mission Control: funge da hub centrale per la gestione e il coordinamento delle operazioni di difesa informatica. |
| Chrome Enterprise Premium |
Utilizza la funzione Intelligence in tutti gli aspetti della difesa informatica:
Protegge gli utenti dai rischi di esfiltrazione, previene i malware e
fornisce visibilità sull'attività del browser non sicura.
Comprendere e sfruttare il vantaggio del difensore: migliora la sicurezza dei dispositivi aziendali tramite la protezione dei dati, la prevenzione dei malware e il controllo delle estensioni. Convalida e migliora continuamente le tue difese: Affronta le minacce nuove e in evoluzione tramite aggiornamenti continui delle difese contro i rischi di esfiltrazione e malware.Gestisci e coordina gli sforzi di difesa informatica tramite Mission Control: gestisci e controlla l'accesso degli utenti finali a risorse sensibili, inclusi controlli dell'accesso granulari. |
| Google Workspace | Gestisci e coordina gli sforzi di difesa informatica tramite Mission Control: gestisci e controlla l'accesso degli utenti finali a risorse sensibili, inclusi controlli dell'accesso granulari. |
| Network Intelligence Center | Utilizza la funzione Intelligence in tutti gli aspetti della difesa informatica: Fornisce visibilità sulle prestazioni della rete e rileva pattern di traffico o trasferimenti di dati insoliti. |
| Cloud NGFW | Convalida e migliora continuamente le tue difese: Ottimizza il rilevamento e la risposta alle minacce basati sulla rete tramite l'integrazione con Security Command Center e Google SecOps. |