Google Cloud Well-Architected Framework 的安全支柱原則提供相關建議,協助您建構強大的網路防禦計畫,做為整體安全策略的一環。
這項原則強調運用威脅情報,主動引導您在核心網路防禦功能 (如《完善防備的好處:網路防禦機制啟動指南》所述) 方面所做的努力。
原則總覽
在防禦系統抵禦網路攻擊時,您擁有對抗攻擊者的重大優勢,但這項優勢尚未充分發揮。正如Mandiant 創辦人所言:「您遠比任何攻擊者都更瞭解自家業務、系統、拓撲和基礎架構。這是無與倫比的優勢。」為協助您善用這項優勢,本文提供主動式策略性網路防禦做法的建議,並對應至《完善防備的好處》架構。
建議
如要為雲端工作負載導入先發制人的網路防禦措施,請參考下列各節的建議:
整合網路防禦功能
這項建議與所有重點領域相關。
The Defender's Advantage 框架列出六大網路防禦能力:情報、偵測、應變、驗證、搜索和任務控管。各項能力分別著重於網路防禦任務的不同部分,但這些能力必須妥善協調並共同運作,才能提供有效的防禦機制。著重於建構強大且整合的系統,讓各項功能彼此支援。如需分階段採用,建議按照下列順序進行。視您目前的雲端成熟度、資源拓撲和特定威脅情勢而定,您可能需要優先處理某些功能。
- 情報:情報功能會引導所有其他功能。瞭解威脅情勢 (包括最有可能的攻擊者、其策略、技術和程序 (TTP),以及潛在影響) 對於整個計畫的行動優先順序至關重要。情報團隊負責識別利害關係人、定義情報需求、收集資料、分析及散布資訊、自動化作業,以及建立網路威脅設定檔。
- 偵測及應變:這些功能是主動防禦的核心,可識別及處理惡意活動。這些函式是根據情報函式收集的情報採取行動的必要條件。偵測團隊必須採用系統化做法,根據攻擊者的戰術、技術與程序調整偵測機制,並確保記錄檔內容完整。「回應」功能必須著重於初步分類、資料收集和事件補救。
- 驗證:驗證功能是持續進行的程序,可確保安全控管生態系統維持最新狀態,並按照設計運作。這項功能可確保貴機構瞭解攻擊面、安全漏洞位置,並衡量控管機制的成效。安全性驗證也是偵測工程生命週期的重要環節,必須用於找出偵測缺口並建立新的偵測機制。
- 搜索:搜索功能會主動搜尋環境中的現有威脅。如果貴機構在偵測和回應功能方面已達到基本成熟度,就必須實作這項功能。搜索功能可擴大偵測範圍,協助找出控管機制中的漏洞和弱點。「搜尋」功能必須以特定威脅為依據。這項進階功能以強大的情報、偵測和回應功能為基礎。
- 任務控管:任務控管功能是連結所有其他功能的中樞,這項功能負責制定策略、溝通,以及在網路防禦計畫中採取果斷行動。確保所有功能都能協同運作,並與貴機構的業務目標一致。您必須先清楚瞭解任務控管功能的目的,才能使用這項功能連結其他功能。
在網路防禦的各個層面運用情報功能
這項建議與所有重點領域相關。
這項建議強調情報功能是強大網路防禦計畫的核心部分。威脅情報可提供威脅發動者、其 TTP 和入侵指標 (IOC) 的相關知識。這類知識應做為所有網路防禦功能的行動依據,並決定行動優先順序。情報導向方法可協助您調整防禦機制,應對最有可能影響貴機構的威脅。這種做法也有助於有效分配及優先處理資源。
下列 Google Cloud 產品和功能可協助您運用威脅情報,引導資安作業。使用這些功能找出潛在威脅、安全漏洞和風險,並排定優先順序,然後規劃及採取適當行動。
Google Security Operations (Google SecOps) 可協助您集中儲存及分析安全性資料,使用 Google SecOps 將記錄對應至常用模型、增補記錄,並將記錄連結至時間軸,全面掌握攻擊情況。您也可以建立偵測規則、設定 IoC 比對,以及執行威脅搜尋活動。這個平台也提供精選偵測功能,也就是預先定義及管理的規則,可協助您找出威脅。Google SecOps 也可整合 Mandiant 第一線情報。Google SecOps 獨家整合了領先業界的 AI 技術,以及 Mandiant 和 Google VirusTotal 的威脅情報。這項整合對於評估威脅至關重要,有助於瞭解誰鎖定貴機構,以及可能造成的影響。
Security Command Center Enterprise 採用 Google AI 技術,可協助資安專業人員有效評估、調查及回應多個雲端環境中的安全問題。Security Command Center 適用於資安專業人員,包括資安營運中心 (SOC) 分析師、安全漏洞和狀態分析師,以及法規遵循經理。Security Command Center Enterprise 會擴增安全性資料、評估風險,並優先處理安全漏洞。這項解決方案可為團隊提供所需資訊,協助他們解決高風險安全漏洞,並修復現有威脅。
Chrome Enterprise Premium 提供威脅和資料保護功能,可協助保護使用者免於資料外洩風險,並防止惡意軟體入侵企業管理的裝置。Chrome Enterprise Premium 也可讓您掌握瀏覽器中可能發生的不安全或潛在不安全活動。
透過 Network Intelligence Center 等工具進行網路監控,可掌握網路效能。網路監控也有助於偵測異常流量模式,或偵測可能表示攻擊或資料外洩企圖的資料傳輸量。
瞭解並善用身為防禦者的優勢
這項建議與所有重點領域相關。
如前所述,您對自家業務、系統、拓撲和基礎架構瞭若指掌,這就是您勝過攻擊者的優勢。如要善用這項知識優勢,請在規劃網路防禦時運用環境相關資料。
Google Cloud 提供下列功能,協助您主動掌握情況,識別威脅、瞭解風險,並及時採取行動,降低潛在損害:
Chrome Enterprise Premium 可保護使用者免於資料外洩風險,進而提升企業裝置的安全性。這項擴充功能可將Sensitive Data Protection 服務延伸至瀏覽器,並防範惡意軟體。此外,這項服務還提供惡意軟體和網路釣魚防護等功能,協助您避免接觸不安全內容。此外,您也可以控管擴充功能的安裝作業,避免安裝不安全或未經審查的擴充功能。這些功能可協助您為作業建立安全基礎。
Security Command Center Enterprise 提供持續運作的風險引擎,可進行全面且持續的風險分析和管理。風險引擎功能可擴充安全性資料、評估風險,並排定安全漏洞的優先順序,協助您快速修正問題。貴機構可透過 Security Command Center 主動找出弱點並實施緩解措施。
Google SecOps 會集中處理安全防護資料,並提供附有時間軸的強化記錄。這有助於防禦者主動找出進行中的入侵事件,並根據攻擊者的行為調整防禦措施。
網路監控功能可協助您找出可能代表攻擊的異常網路活動,並提供早期指標,讓您採取行動。為主動防範資料遭竊,請持續監控資料外洩情形,並使用提供的工具。
持續驗證及強化防禦機制
這項建議與所有重點領域相關。
這項建議強調針對性測試和持續驗證控管機制的重要性,有助於瞭解整個攻擊面的優勢和弱點。包括透過下列方法驗證控管措施、作業和人員的成效:
您也必須主動搜尋威脅,並運用結果改善偵測和可視性。使用下列工具持續測試及驗證防禦措施,防範實際威脅:
Security Command Center Enterprise 提供持續運作的風險引擎,可評估安全漏洞並優先處理修復作業,持續評估整體安全防護機制。Security Command Center Enterprise 會優先處理問題,確保資源有效運用。
Google SecOps 提供威脅搜尋和精選偵測功能,可協助您主動找出控管機制中的弱點。這項功能可持續測試及提升威脅偵測能力。
Chrome Enterprise Premium 提供威脅與資料防護功能,可協助您防範不斷演變的新型威脅,並持續更新防禦措施,防範資料外洩風險和惡意軟體。
Cloud Next Generation Firewall (Cloud NGFW) 提供網路監控和資料外洩監控功能。這些功能可協助您驗證目前安全防護機制的成效,並找出潛在弱點。資料外洩監控功能可協助您驗證貴機構資料保護機制的強度,並視需要主動進行調整。將 Cloud NGFW 的威脅發現項目與 Security Command Center 和 Google SecOps 整合後,您就能改善網路威脅偵測和應變機制,並自動執行應對手冊。如要進一步瞭解這項整合功能,請參閱「整合雲端防禦機制:Security Command Center 和 Cloud NGFW Enterprise」。
管理及協調網路防禦工作
這項建議與所有重點領域相關。
如先前在「整合網路防禦功能」一節所述,任務控管功能會連結網路防禦計畫的其他功能。這項功能可讓您協調及統一管理整個計畫。此外,這項工具也能協助您與其他非網路安全團隊協調合作。任務控管團隊可促進授權和問責、提升敏捷度和專業知識,並落實責任和資訊公開。
下列產品和功能可協助您實作任務控管功能:
- Security Command Center Enterprise 是協調及管理網路防禦作業的中樞,這項服務整合了工具、團隊和資料,並內建 Google SecOps 應變功能。Security Command Center 可清楚顯示貴機構的安全性狀態,並找出不同資源的安全性設定錯誤。
- Google SecOps 提供平台,讓團隊透過對應記錄和建立時間軸,應對威脅。您也可以定義偵測規則和搜尋威脅。
- Google Workspace 和 Chrome Enterprise Premium 可協助您管理及控管使用者對機密資源的存取權。您可以根據使用者身分和要求情境,定義精細的存取權控管機制。
- 網路監控功能可深入瞭解網路資源的效能。您可以將網路監控深入分析匯入 Security Command Center 和 Google SecOps,集中監控及比對其他時間軸資料點。這項整合功能可協助您偵測及回應惡意活動造成的潛在網路用量變化。
- 資料外洩監控功能有助於找出可能發生的資料遺失事件。您可以使用這項功能有效調動事件應變團隊、評估損害,並限制資料外洩。您也可以改善現行政策和控制項,確保資料受到保護。
產品摘要
下表列出本文件中說明的產品和功能,並對應至相關建議和安全性功能。
| Google Cloud 產品 | 適用建議 |
|---|---|
| Google SecOps |
在網路防禦的各個層面運用情報功能:
支援威脅搜索和入侵指標比對,並與 Mandiant 整合,進行全面威脅評估。
瞭解並善用防禦者優勢:提供精選的偵測結果,並集中管理安全資料,主動識別遭入侵的情況。 持續驗證及改善防禦措施: 持續測試及改善威脅偵測能力。透過任務控管團隊管理及協調網路防禦作業:提供威脅回應、記錄分析和時間軸建立平台。 |
| Security Command Center Enterprise |
在網路防禦的各個層面運用情報功能:
運用 AI 評估風險、優先處理安全漏洞,並提供可做為行動依據的洞察資料,以利補救。
瞭解並善用防禦者的優勢:提供全方位的風險分析、安全漏洞優先順序,以及主動找出弱點。 持續驗證及改善防禦措施:持續評估安全防護機制,並決定資源優先順序。透過任務控管機制管理及協調網路防禦工作:做為管理及協調網路防禦作業的中樞。 |
| Chrome Enterprise Premium |
在網路防禦的各個層面使用智慧功能:
保護使用者免於資料外洩風險、防範惡意軟體,並掌握不安全的瀏覽器活動。
瞭解並善用防禦者的優勢:透過資料保護、惡意軟體防範和擴充功能控管,提升企業裝置的安全性。 持續驗證及改善防禦措施: 持續更新防禦措施,防範資料外洩風險和惡意軟體,因應日新月異的威脅。透過任務控制中心管理及協調網路防禦工作:管理及控管使用者對機密資源的存取權,包括精細的存取權控管機制。 |
| Google Workspace | 透過任務控制中心管理及協調網路防禦工作:管理及控管使用者對機密資源的存取權,包括精細的存取權控管機制。 |
| Network Intelligence Center | 在網路防禦的各個層面運用情報功能: 掌握網路效能,並偵測異常的流量模式或資料傳輸。 |
| Cloud NGFW | 持續驗證及改善防禦措施: 與 Security Command Center 和 Google SecOps 整合,最佳化網路威脅偵測和應變機制。 |