Google Cloud 良好架构框架的安全支柱中,这一原则提供了建议,以便您在整体安全策略中构建强大的网络防御计划。
此原则强调使用威胁情报主动指导您在核心网络防御功能方面的工作,如 The Defender's Advantage:网络防御体系建立指南中所定义。
原则概览
在防范网络攻击时,您可以利用一个被严重低估的优势来对抗攻击者。正如 Mandiant 的创始人所述,“您应该比任何攻击者都更了解您的业务、系统、拓扑和基础架构。这是一项不可多得的优势。”为帮助您利用这一固有优势,本文档提供了有关与《The Defender's Advantage》(防御者优势)框架对应的主动和战略性网络防御实践的建议。
建议
如需为云工作负载实现预防性网络防御,请考虑以下部分中的建议:
集成网络防御功能
此建议与所有重点领域相关。
Defender's Advantage 框架确定了网络防御的六项关键功能:情报、检测、响应、验证、追捕和任务控制。 每项功能都侧重于网络防御任务的独特部分,但这些功能必须协调一致并协同工作,才能提供有效的防御。专注于构建一个强大且集成的系统,其中每个功能都支持其他功能。如果您需要分阶段采用,请考虑以下建议顺序。根据您当前的云成熟度、资源拓扑和具体威胁形势,您可能需要优先考虑某些功能。
- 智能:智能功能会指导所有其他功能。了解威胁形势 - 包括最有可能的攻击者、他们的策略、技术和流程 (TTP) 以及潜在影响,对于整个计划中的行动优先级至关重要。情报功能负责确定利益相关方、定义情报要求、数据收集、分析和传播、自动化以及创建网络威胁概况。
- 检测和响应:这些功能构成了主动防御的核心,其中包括识别和解决恶意活动。这些函数对于根据智能函数收集的情报采取行动至关重要。检测函数需要采用系统的方法,使检测与攻击者的 TTP 保持一致,并确保强大的日志记录。“响应”函数必须专注于初始分类、数据收集和突发事件补救。
- 验证:验证功能是一项持续性流程,可确保您的安全控制生态系统处于最新状态并按预期运行。此功能可确保贵组织了解攻击面、知道存在漏洞的位置,并衡量控制措施的有效性。安全验证也是检测工程生命周期的重要组成部分,必须用于识别检测漏洞和创建新的检测。
- Hunt:Hunt 功能涉及主动搜索环境中的活跃威胁。当贵组织在检测和响应功能方面达到基准成熟度时,必须实现此功能。Hunt 函数可扩展检测功能,并有助于发现控制缺口和薄弱环节。猎捕功能必须基于特定威胁。此高级功能得益于强大的情报、检测和响应功能。
- 指挥中心:指挥中心功能充当连接所有其他功能的中央枢纽。此职能负责整个网络防御计划的战略、沟通和果断行动。它可确保所有功能协同运作,并与贵组织的业务目标保持一致。在使用任务控制功能连接其他功能之前,您必须先着重明确任务控制功能的用途。
在网络防御的各个方面使用情报功能
此建议与所有重点领域相关。
此建议强调了情报功能是强大网络防御计划的核心部分。威胁情报可提供有关威胁行为者、其 TTP 和失陷指标 (IOC) 的知识。这些信息可以为所有网络防御职能部门的行动提供依据,并确定这些行动的优先级。智能驱动型方法可帮助您协调防御措施,以应对最有可能影响组织的威胁。这种方法还有助于高效分配和确定资源优先级。
以下 Google Cloud 产品和功能可帮助您利用威胁情报来指导安全运维。使用这些功能可以识别潜在的威胁、漏洞和风险并确定其优先级,然后规划和实施适当的措施。
Google Security Operations (Google SecOps) 可帮助您集中存储和分析安全数据。使用 Google SecOps 将日志映射到通用模型中,丰富日志,并将日志关联到时间轴,以便全面了解攻击。您还可以创建检测规则、设置 IoC 匹配,以及执行威胁搜寻活动。该平台还提供精选检测规则,这些规则是预定义的代管式规则,可帮助识别威胁。Google SecOps 还可以与 Mandiant 一线情报集成。Google SecOps 以独特方式集成行业领先的 AI 以及 Mandiant 的威胁情报和 Google VirusTotal。这种集成对于评估威胁并了解谁在攻击您的组织以及潜在影响至关重要。
Security Command Center Enterprise 由 Google AI 提供支持,可让安全专业人员高效评估、调查和响应多个云环境中的安全问题。可以从 Security Command Center 中受益的安全专业人员包括安全运营中心 (SOC) 分析师、漏洞和状况分析师以及合规性管理人员。Security Command Center Enterprise 可丰富安全数据、评估风险并确定漏洞的优先级。此解决方案可为团队提供解决高风险漏洞和补救当前威胁所需的信息。
Chrome Enterprise Premium 提供威胁防范和数据保护功能,有助于保护用户免遭渗漏风险,并防止恶意软件进入企业管理的设备。Chrome Enterprise 进阶版还可让您了解浏览器中可能发生的不安全或潜在不安全活动。
通过 Network Intelligence Center 等工具进行网络监控,有助于了解网络性能。网络监控还可以帮助您检测异常的流量模式,或检测可能表明攻击或数据泄露尝试的数据传输量。
了解并利用防御者的优势
此建议与所有重点领域相关。
如前所述,如果您对自己的业务、系统、拓扑和基础架构有深入的了解,就比攻击者更具优势。为了充分利用这种知识优势,请在制定网络防御计划时利用这些有关环境的数据。
Google Cloud 提供以下功能,可帮助您主动了解情况,以识别威胁、了解风险并及时做出响应,从而减少潜在损害:
Chrome Enterprise 进阶版可保护用户免受渗漏风险,从而帮助您增强企业设备的安全性。它可将 Sensitive Data Protection 服务扩展到浏览器,并防范恶意软件。它还提供防范恶意软件和钓鱼式攻击等功能,有助于防止用户接触到不安全的内容。此外,您还可以控制扩展程序的安装,以防止安装不安全或未经审核的扩展程序。这些功能可帮助您为运营奠定安全基础。
Security Command Center Enterprise 提供持续的风险引擎,可提供全面且持续的风险分析和管理。风险引擎功能可丰富安全数据、评估风险并确定漏洞的优先级,以帮助您快速解决问题。借助 Security Command Center,您的组织可以主动识别弱点并实施缓解措施。
Google SecOps 可集中管理安全数据,并提供包含时间轴的丰富日志。这使防御者能够主动识别主动入侵,并根据攻击者的行为调整防御。
网络监控有助于识别可能表明攻击的异常网络活动,并提供可用于采取行动的早期指标。为了主动保护您的数据免遭窃取,请持续监控数据渗漏情况,并使用提供的工具。
持续验证和改进防御措施
此建议与所有重点领域相关。
此建议强调了有针对性地测试控制措施并持续验证其重要性,以了解整个攻击面的优势和劣势。这包括通过如下方法验证控制、运营和人员的有效性:
您还必须主动搜索威胁,并使用结果来改进检测和可见性。使用以下工具持续测试和验证您对抗真实威胁的防御能力:
Security Command Center Enterprise 提供持续风险引擎,可评估漏洞并确定修复优先级,从而持续评估您的整体安全状况。Security Command Center Enterprise 可帮助您确定问题的优先级,从而确保资源得到有效利用。
Google SecOps 提供威胁搜寻和精选检测,可让您主动识别控制措施中的弱点。借助此功能,您可以持续测试并改进检测威胁的能力。
Chrome Enterprise 进阶版提供威胁防范和数据保护功能,可帮助您应对不断变化的新威胁,并不断更新防范渗漏风险和恶意软件的防御措施。
Cloud Next Generation Firewall (Cloud NGFW) 提供网络监控和数据渗漏监控功能。这些功能可帮助您验证当前安全状况的有效性,并找出潜在的弱点。数据外泄监控可帮助您验证组织数据保护机制的强度,并在必要时进行主动调整。将 Cloud NGFW 中的威胁发现结果与 Security Command Center 和 Google SecOps 集成后,您可以优化基于网络的威胁检测、优化威胁响应,并自动执行手册。如需详细了解此集成,请参阅统一云端防御:Security Command Center 和 Cloud NGFW 企业版。
管理和协调网络防御工作
此建议与所有重点领域相关。
如集成网络防御功能中所述,任务控制功能可将网络防御计划的其他功能关联起来。此功能可实现整个计划的协调和统一管理。它还可以帮助您与不在信息安全领域的其他团队协调。任务控制职能部门负责促进赋权和问责,提高敏捷性和专业知识,并提升责任和透明度。
以下产品和功能可帮助您实现任务控制功能:
- Security Command Center Enterprise 充当协调和管理网络防御操作的中心中心。它可将工具、团队和数据整合到一起,并提供内置的 Google SecOps 响应功能。Security Command Center 可让您清楚了解组织的安全状态,并能够识别不同资源中的安全配置错误。
- Google SecOps 为团队提供了一个平台,可通过映射日志和创建时间轴来应对威胁。您还可以定义检测规则并搜索威胁。
- Google Workspace 和 Chrome Enterprise Premium 可帮助您管理和控制最终用户对敏感资源的访问权限。您可以根据用户身份和请求上下文定义精细的访问权限控制。
- 网络监控功能可帮助您深入了解网络资源的性能。您可以将网络监控数据洞见导入 Security Command Center 和 Google SecOps,以便集中监控并与其他基于时间轴的数据点相关联。此集成有助于您检测并响应由恶意活动导致的潜在网络用量变化。
- 数据渗漏监控功能有助于识别可能的数据丢失突发事件。借助此功能,您可以高效地调动突发事件响应团队、评估损失并限制进一步的数据渗漏。您还可以改进当前政策和控制措施,以确保数据保护。
商品摘要
下表列出了本文档中介绍的产品和功能,并将它们与相关的建议和安全功能相对应。
| Google Cloud 产品 | 适用的建议 |
|---|---|
| Google SecOps |
在网络防御的各个方面使用情报功能:实现威胁搜寻和 IoC 匹配,并与 Mandiant 集成以进行全面威胁评估。 了解并充分利用您的防御者的优势:提供精选的检测功能,并集中管理安全数据,以便主动识别入侵行为。 持续验证和改进防御措施:实现持续测试和改进威胁检测功能。通过任务控制功能管理和协调网络防御工作:提供一个平台来应对威胁、分析日志和创建时间轴。 |
| Security Command Center Enterprise |
在网络防御的各个方面运用情报功能:使用 AI 评估风险、确定漏洞优先级,并提供富有实用价值的分析洞见以进行修复。 了解并充分利用自身作为防御者的优势:提供全面的风险分析、漏洞优先级排序,以及主动识别弱点。 持续验证和改进防御措施:提供持续的安全状况评估和资源优先级设置。通过任务控制中心管理和协调网络防御工作:充当管理和协调网络防御运营的中心枢纽。 |
| Chrome 企业进阶版 |
在网络防御的各个方面使用情报功能:帮助用户防范渗漏风险、防止恶意软件,并可让您了解不安全的浏览器活动。
了解并充分利用防护工具的优势:通过数据保护、防恶意软件和对扩展程序的控制,增强企业设备的安全性。 持续验证和改进防御措施:通过不断更新防范渗漏风险和恶意软件的防御措施,应对新的和不断变化的威胁。通过任务控制中心管理和协调网络防御工作:管理和控制最终用户对敏感资源的访问权限,包括精细的访问权限控制。 |
| Google Workspace | 通过任务控制中心管理和协调网络防御工作:管理和控制最终用户对敏感资源的访问权限,包括精细的访问权限控制。 |
| Network Intelligence Center | 在网络防御的各个方面使用智能功能: 可直观了解网络性能,并检测异常流量模式或数据传输。 |
| Cloud NGFW | 持续验证和改进防御措施:通过与 Security Command Center 和 Google SecOps 集成,优化基于网络的威胁检测和响应。 |