Google Cloud 架构完善框架安全支柱中的这一原则提供了相关建议,可帮助您构建强大的网络防御计划,将其作为整体安全策略的一部分。
此原则强调使用威胁情报来主动指导您在核心网络防御功能(如《The Defender's Advantage:网络防御体系建立指南》中所述)方面所做的努力。
原则概览
在防御网络攻击时,您拥有一个显著但未得到充分利用的优势,可以用来对抗攻击者。正如 Mandiant 的创始人所说:“您肯定比任何攻击者都更了解自己的业务、系统、拓扑和基础设施。这是一项不可多得的优势。”为帮助您利用这一固有优势,本文档提供了有关主动且战略性的网络防御实践的建议,这些实践与“防御者优势”框架相对应。
建议
如需为云工作负载实现抢先式网络防御,请考虑以下部分中的建议:
集成网络防御功能
此建议适用于所有重点领域。
The Defender's Advantage 框架确定了网络防御的六个关键功能:情报、检测、响应、验证、搜寻和任务控制。每项职能都侧重于网络防御任务的独特部分,但这些职能必须协调一致,共同发挥作用,才能提供有效的防御。专注于构建一个稳健的集成系统,使每个功能都能支持其他功能。如果您需要分阶段采用,请考虑以下建议的顺序。 根据您当前的云成熟度、资源拓扑和具体威胁形势,您可能需要优先考虑某些功能。
- 智能:智能功能可指导所有其他功能。了解威胁形势(包括最有可能的攻击者、其策略、技术和流程 [TTP] 以及潜在影响)对于确定整个计划中各项行动的优先级至关重要。情报职能部门负责利益相关者识别、情报需求定义、数据收集、分析和传播、自动化以及创建网络威胁概况。
- 检测和响应:这些功能构成了主动防御的核心,包括识别和处理恶意活动。 这些函数对于根据智能函数收集的情报采取行动至关重要。检测功能需要一种有条不紊的方法,该方法可将检测结果与攻击者的 TTP 相对应,并确保记录详尽的日志。“响应”功能必须侧重于初始分诊、数据收集和事件补救。
- 验证:“验证”功能是一个持续的过程,可确保您的安全控制生态系统是最新的,并且按设计运行。此功能可确保您的组织了解攻击面,知道漏洞存在的位置,并衡量控制措施的有效性。安全验证也是检测工程生命周期中的一个重要组成部分,必须用于识别检测差距并创建新的检测。
- 主动搜索:主动搜索功能是指主动搜索环境中的活跃威胁。当组织在“检测”和“响应”功能方面达到基准成熟度时,必须实现此功能。“搜索”功能可扩展检测功能,并有助于识别控制措施中的缺口和弱点。搜索功能必须基于特定威胁。此高级功能得益于强大的情报、检测和响应功能。
- 任务控制中心:任务控制中心功能充当连接所有其他功能的中央枢纽。此职能负责制定网络防御计划的策略、沟通和果断行动。它可确保所有功能协同运作,并与组织的业务目标保持一致。在使用 Mission Control 功能连接其他功能之前,您必须先明确了解该功能的用途。
在网络防御的各个方面使用情报功能
此建议适用于所有重点领域。
此建议强调了情报功能是强大的网络防御计划的核心组成部分。威胁情报可提供有关威胁行为者、其 TTP 和失陷指标 (IOC) 的知识。这些知识应为所有网络防御职能部门的行动提供信息并确定优先级。借助情报驱动的方法,您可以调整防御措施,以应对最有可能影响贵组织的威胁。这种方法还有助于高效分配和确定资源优先级。
以下 Google Cloud 产品和功能可帮助您利用威胁情报来指导安全运维。使用这些功能可识别潜在的威胁、漏洞和风险并确定其优先级,然后规划并实施适当的措施。
Google Security Operations (Google SecOps) 可帮助您集中存储和分析安全数据。使用 Google SecOps 将日志映射到通用模型中,丰富日志,并将日志关联到时间轴,以便全面了解攻击情况。 您还可以创建检测规则,设置 IoC 匹配,以及执行威胁搜寻活动。该平台还提供精选检测规则,这些规则是预定义的代管式规则,可帮助您找出威胁。Google SecOps 还可以与 Mandiant 一线情报集成。Google SecOps 独特地集成了行业领先的 AI,以及 Mandiant 的威胁情报和 Google VirusTotal。这种集成对于评估威胁至关重要,有助于了解谁在针对您的组织以及潜在影响。
Security Command Center Enterprise 由 Google AI 提供支持,可帮助安全专业人员高效评估、调查和应对多个云环境中的安全问题。安全运营中心 (SOC) 分析师、漏洞和安全状况分析师以及合规性经理等安全专业人员可以从 Security Command Center 中受益。Security Command Center Enterprise 可丰富安全数据、评估风险并确定漏洞的优先级。此解决方案可为团队提供所需的信息,以便他们解决高风险漏洞并补救当前存在的威胁。
Chrome Enterprise Premium 提供威胁防范和数据保护功能,可帮助用户避免渗漏风险,并防止恶意软件进入企业管理的设备。Chrome 企业进阶版还可让您了解浏览器中可能发生的不安全或潜在不安全活动。
通过 Network Intelligence Center 等工具进行网络监控,可让您了解网络性能。网络监控还可以帮助您检测异常流量模式或可能表明存在攻击或数据渗漏尝试的数据传输量。
了解并利用防御者的优势
此建议适用于所有重点领域。
如前所述,如果您透彻了解自己的业务、系统、拓扑和基础设施,就能比攻击者更具优势。为了充分利用这种知识优势,请在网络防御规划期间利用有关您环境的这些数据。
Google Cloud 提供以下功能,帮助您主动了解情况,以便及时发现威胁、了解风险并采取应对措施,从而减轻潜在损害:
Chrome Enterprise 进阶版可帮助您保护用户免受数据渗漏风险的侵害,从而增强企业设备的安全性。它将 Sensitive Data Protection 服务扩展到浏览器,并可防范恶意软件。它还提供恶意软件和钓鱼式攻击防护等功能,有助于防止用户接触不安全的内容。此外,它还可让您控制扩展程序的安装,以帮助防止不安全或未经审核的扩展程序。这些功能可帮助您为运营建立安全的基础。
Security Command Center Enterprise 提供持续的风险引擎,可进行全面且持续的风险分析和管理。风险引擎功能可丰富安全数据、评估风险并确定漏洞的优先级,从而帮助您快速解决问题。借助 Security Command Center,组织可以主动识别弱点并实施缓解措施。
Google SecOps 可集中管理安全数据,并提供包含时间轴的丰富日志。这样,防御者就可以主动识别正在进行的入侵,并根据攻击者的行为调整防御措施。
网络监控有助于识别可能表明存在攻击的异常网络活动,并提供可用于采取行动的早期指标。为了帮助您主动保护数据免遭窃取,请持续监控数据渗漏情况并使用提供的工具。
持续验证和改进防御措施
此建议适用于所有重点领域。
此建议强调了有针对性的测试和持续验证控制措施的重要性,以便了解整个攻击面的优势和劣势。这包括通过以下方法验证控制措施、运营和员工的有效性:
您还必须主动搜索威胁,并利用搜索结果来提高检测能力和可见性。使用以下工具持续测试和验证您的防御措施是否能抵御实际威胁:
Security Command Center Enterprise 提供持续的风险引擎来评估漏洞并确定补救措施的优先级,从而持续评估您的总体安全状况。通过确定问题的优先级,Security Command Center Enterprise 可帮助您确保资源得到有效利用。
Google SecOps 提供威胁搜寻和精选检测功能,可让您主动发现控制措施中的弱点。此功能可让您持续测试和提升检测威胁的能力。
Chrome Enterprise Premium 提供威胁和数据保护功能,可帮助您应对不断出现的新威胁,并持续更新防御措施,防范数据渗漏风险和恶意软件。
Cloud 新一代防火墙 (Cloud NGFW) 提供网络监控和数据渗漏监控功能。这些功能可帮助您验证当前安全状况的有效性,并找出潜在的薄弱环节。数据渗出监控有助于您验证组织数据保护机制的强度,并在必要时主动进行调整。将 Cloud NGFW 的威胁发现结果与 Security Command Center 和 Google SecOps 集成后,您可以优化基于网络的威胁检测、优化威胁响应并自动执行手册。如需详细了解此集成,请参阅统一云防御:Security Command Center 和 Cloud NGFW Enterprise。
管理和协调网络防御工作
此建议适用于所有重点领域。
如整合网络防御功能中所述,任务控制功能可将网络防御计划的其他功能相互关联起来。此函数可实现整个计划的协调和统一管理。它还有助于您与不从事网络安全工作的其他团队进行协调。任务控制功能可增强赋能和责任感,提高敏捷性和专业性,并推动责任和透明度。
以下产品和功能可帮助您实现 Mission Control 功能:
- Security Command Center Enterprise 可作为协调和管理网络防御运营的中央枢纽。它将工具、团队和数据整合在一起,并提供内置的 Google SecOps 响应功能。Security Command Center 可清晰显示组织的安全状态,并能够识别不同资源中的安全配置错误。
- Google SecOps 提供了一个平台,供团队通过映射日志和创建时间轴来应对威胁。您还可以定义检测规则并搜索威胁。
- Google Workspace 和 Chrome Enterprise Premium 可帮助您管理和控制最终用户对敏感资源的访问权限。您可以根据用户身份和请求的情境来定义精细的访问权限控制。
- 网络监控可让您深入了解网络资源的性能。您可以将网络监控数据洞见导入 Security Command Center 和 Google SecOps,以便集中监控并与其他基于时间轴的数据点进行关联。此集成有助于您检测和应对恶意活动可能导致的网络使用情况变化。
- 数据渗漏监控有助于识别可能的数据丢失事件。借助此功能,您可以高效地调动突发事件响应团队,评估损失并限制进一步的数据渗漏。您还可以改进当前的政策和控制措施,以确保数据受到保护。
产品摘要
下表列出了本文档中介绍的产品和功能,并将其与相关的建议和安全功能对应起来。
| Google Cloud 产品 | 适用的建议 |
|---|---|
| Google SecOps |
在网络防御的各个方面使用情报功能:
支持威胁搜寻和 IoC 匹配,并与 Mandiant 集成以进行全面的威胁评估。
了解并充分利用防御者的优势:提供精选的检测结果,并集中管理安全数据,以便主动识别入侵行为。 持续验证和改进防御措施: 支持持续测试和改进威胁检测功能。通过任务控制中心管理和协调网络防御工作:提供用于威胁响应、日志分析和时间轴创建的平台。 |
| Security Command Center Enterprise |
在网络防御的各个方面使用情报功能:
利用 AI 评估风险、确定漏洞优先级,并提供可用于补救的实用分析洞见。
了解并利用防御者的优势:提供全面的风险分析、漏洞优先级划分和主动识别弱点。 持续验证和改进防御措施:持续评估安全状况并确定资源优先级。通过任务控制中心管理和协调网络防御工作:充当管理和协调网络防御运营的中央枢纽。 |
| Chrome 企业进阶版 |
在网络防御的各个方面使用智能功能:
保护用户免受数据渗漏风险的侵害,防止恶意软件,并提供对不安全浏览器活动的可见性。
了解并充分利用防御者的优势:通过数据保护、恶意软件防范和扩展程序控制,增强企业设备的安全防护能力。 持续验证和改进防御措施: 通过持续更新防御措施来应对新的和不断演变的威胁,防范数据渗漏风险和恶意软件。通过任务控制中心管理和协调网络防御工作:管理和控制最终用户对敏感资源的访问权限,包括精细的访问权限控制。 |
| Google Workspace | 通过任务控制中心管理和协调网络防御工作:管理和控制最终用户对敏感资源的访问权限,包括精细的访问权限控制。 |
| Network Intelligence Center | 在网络防御的各个方面使用智能功能: 可提供网络性能方面的可见性,并检测异常流量模式或数据传输。 |
| Cloud NGFW | 持续验证和改进防御措施:通过与 Security Command Center 和 Google SecOps 集成,优化基于网络的威胁检测和响应。 |