Google und Security – passt das zusammen? Ja, denn mit Google Chronicle bietet der Hyperscaler ein Cloud-natives SIEM, das völlig neue Möglichkeiten eröffnet. Was der SaaS-Service bringt und warum wir ihn in unser Portfolio integriert haben, erfahren Sie nachfolgend.
Google kennt man vor allem als Suchmaschinen-Anbieter und Cloud Provider. Doch auch in Sachen Security ist der Internet-Gigant kein Neuling. In der Vergangenheit hat er sich vor allem darauf konzentriert, die eigenen Dienste abzusichern. Dass dafür geballte Security Expertise nötig ist, steht außer Frage. Akquisitionen von Branchen-Spezialisten, zuletzt von Mandiant für satte 5,4 Milliarden Dollar, machen klar, dass Google künftig kräftig im Security-Markt mitmischen will. Mit Google Chronicle bietet der Hyperscaler ein Cloud-natives SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation & Response). Die Plattform ersetzt keine Endpunkt-, Netzwerk-, E-Mail- oder Cloud Security, sondern fungiert als zentraler Data Lake: Sie sammelt die Logdaten aller angeschlossenen Systeme, normalisiert, indexiert, korreliert und analysiert sie. Dabei spielt Google seine Stärke voll aus, denn riesige Datenmengen blitzschnell zu durchsuchen liegt in der DNA des Unternehmens. Diese Fähigkeit wird auch in der Security immer wichtiger. Cyberangriffe verlaufen heute häufig über einen längeren Zeitraum und erstrecken sich über mehrere Ebenen. Dabei tun die Eindringlinge alles dafür, unbemerkt zu bleiben. Um solche Angriffe zu erkennen, muss man die Security-Informationen vieler Systeme im Zusammenhang betrachten. Täglich fallen Unmengen an Daten an, die es zu korrelieren und auszuwerten gilt. Ein SIEM als zentrale Speicher- und Analyseplattform schafft die Basis, um Bedrohungen schneller aufzudecken und schneller zu reagieren.
Herausforderungen bei SIEM-Projekten
Bisher waren SIEM-Projekte sehr teuer. Vor allem der Storage verursacht in der Regel hohe Kosten, die sich bei zehn Terabyte schnell einmal auf mehr als 100.000 Euro belaufen können. Cloud-SIEMs skalieren zwar besser, sind aber nicht wesentlich günstiger. In der Praxis bedeutet das: Man kann nie alle Daten speichern, sondern muss genau überlegen, welche man unbedingt braucht und wie lange man sie aufbewahrt. Im Falle eines Cyberangriffs fehlen dann wichtige Informationen, oder Daten müssen erst langwierig wieder aktiviert werden, weil sie ausgelagert auf preiswerterem Cold Storage liegen. Außerdem sind rekursive Analysen, die einen längeren Zeitraum zurückgehen, kaum möglich. Gerade sie aber sind wichtig, um zu erkennen, ob ein Unternehmen von einem Zero-Day-Angriff betroffen war.
Neben dem Speicher ist die Anbindung der Logquellen ein Kostentreiber bei SIEM-Projekten. Meist erfolgt diese über Syslog und ist aufwändig. Lösungen von Drittanbietern lassen sich oft nur schwer oder gar nicht integrieren. Dazu kommt, dass jedes Security-System anders loggt. Damit man die Daten zusammenführen und analysieren kann, muss man sie erst normalisieren – also so aufbereiten, dass gleiche Inhalte in der gleichen Datenbankspalte gespeichert werden. Auch das kostet Zeit.
Das macht Google Chronicle besser
Google Chronicle löst die genannten Herausforderungen und macht SIEM-Projekte dadurch einfacher, preiswerter und schneller umsetzbar. Mit ihrer Lizenz erhalten Kunden Cloud-Storage im Petabyte-Bereich ohne Mehrkosten – und können mit festen, vorhersehbaren Preisen kalkulieren. Die Daten werden ein Jahr lang in einem privaten Container aufbewahrt. So sind auch schnelle, rekursive Analysen jederzeit möglich. Dank der Cloud-nativen Architektur ist Google Chronicle nahezu grenzenlos skalierbar. Man kann die Plattform also nach Herzenslust mit Daten füttern und umfassende Big-Data-Analysen durchführen. Logquellen von Drittanbietern lassen sich ganz einfach per API einbinden. Die Normalisierung der Daten erfolgt in der Regel automatisiert. Neben der integrierten Threat Intelligence zur Bedrohungserkennung kann man auch externe Threat Intelligence-Feeds hinzufügen. Als SaaS-Lösung ist Google Chronicle schnell einsatzbereit, einfach zu managen und erfordert keine Hardware-Investition. Haben Unternehmen bereits ein SIEM im Einsatz, lässt sich Chronicle auch einfach als zusätzlicher leistungsstarker Data Lake „dazuschalten“.
indevis ist Google Cloud-Partner
Google Chronicle hat das Potenzial, viel zu verändern. Endlich muss man keine Kompromisse mehr zwischen Sicherheit und Kosten machen. Die offene Security-Plattform ermöglicht SIEM-Projekte auch für mittelständische Unternehmen und verbessert die Detection und Response. Um diese Vorteile an unsere Kunden weiterzugeben, werden wir Google Chronicle in unseren MDR-Service integrieren. Dort spielt es mit dem Cortex xSOAR von Palo Alto zusammen, einer der führenden SOAR-Lösungen auf dem Markt. Die indevis-Spezialisten binden Logquellen an, erstellen Use Cases, überwachen die Warnmeldungen und helfen im Falle eines Cyberangriffs bei der Bewältigung. Außerdem bieten wir Google Chronicle auch als Reseller an und unterstützen unsere Kunden mit Professional Services. Durch das Zusammenspiel von Google Chronicle und den Managed Security Services von indevis können Unternehmen ihre Bedrohungserkennung auf das nächste Level heben.