Google ist einer der Daten-Könige des Internets. Mit etwa 3,5 Milliarden Suchanfragen täglich dominiert die Suchmaschine den Markt. Zudem liegt Google mit seinen Cloud Services mit circa 9 Prozent Marktanteil auf Platz drei hinter Amazon und Microsoft. Da überrascht es nicht, dass der Konzern in den letzten Jahren das Thema IT-Security weit oben auf seiner Agenda hatte – schließlich sind Google-Dienste wie Google Maps, Google Chrome oder Gmail täglich einer enormen Anzahl an Hackerangriffen ausgesetzt. Durch die Akquisition des Cybersecurity-Spezialisten Mandiant hat sich Google kürzlich zusätzlich umfangreiche Security-Kompetenz gesichert.
Bezahlbares SIEM für den Mittelstand
Nun macht der Suchmaschinenexperte und Hyperscaler mit Google Chronicle seine Security-Technologie auch für Kunden zugänglich. Von der Cloud-nativen SIEM (Security Information and Event Management)- und SOAR (Security Orchestration, Automation and Response)-Plattform profitieren auch Mittelständler. Bisher scheiterten SIEM-Projekte häufig an der Komplexität und den damit einhergehenden Kosten. Denn in einem SIEM werden alle Logdaten aus dem Unternehmensnetzwerk gespeichert, um sie auf verdächtige Aktivitäten zu überprüfen. Dabei fallen schnell Datenmengen im Tera- bis Petabyte-Bereich an und es gilt: Je mehr Logdaten zur Verfügung stehen, desto besser lassen sich im Falle eines Cyberangriffs IT-forensische Analysen durchführen.
Die Speicherung dieser großen Datenmengen wird jedoch schnell aufwendig und teuer: On-Premises erfordert es die vorausschauende und meist kostenintensive Beschaffung von genügend Hardwarekapazitäten. Cloud-Umgebungen sind beim Speichervolumen zwar flexibler – im Terabyte-Bereich fallen bei cloudbasierten SIEM-Lösungen dabei jedoch schnell Kosten im fünf- bis sechsstelligen Bereich an. Hier setzt Google Chronicle an. Im Gegensatz zu anderen SIEM-Systemen ist direkt umfangreiche Cloud-Speicherkapazität inkludiert. Kunden können quasi unbegrenzte Logvolumen über ein Jahr oder länger zu fest kalkulierbaren und überschaubaren Preisen in Google Chronicle speichern. Diese Datenmengen lassen sich zudem in Millisekunden durchsuchen. Google Chronicle kann somit als zentraler Data Lake für die gesamte Security-Infrastruktur eines Unternehmens genutzt werden.
Im Data Lake werden Log-Daten automatisch normalisiert
Dank einfacher API-Integration und Log-Kollektoren lassen sich verschiedene Log-Quellen unterschiedlichster Hersteller unkompliziert an Google Chronicle anschließen. Damit die Log-Daten im Data Lake weiterverarbeitet und einfach durchsucht werden können, normalisiert die Plattform sie automatisch. Im Falle eines Angriffs hat ein Incident Response Team somit die Möglichkeit, sie in Sekundenschnelle zu durchsuchen. Zudem lassen sich neue Korrelationen und Auswertungen auf die Vergangenheit anwenden.
Auch Unternehmen, die bereits ein SIEM einsetzen, können Google Chronicle nutzen, indem sie etwa ihr Storage-Volumen in ihrem bestehenden System reduzieren und Daten stattdessen in den kostengünstigeren Data Lake von Google Chronicle umziehen. So können sie die bestehenden Konfigurationen beibehalten, verfügen aber noch über eine umfangreichere Datenbasis, mit der sie in kurzer Zeit bessere Sicherheitsergebnisse erzielen können.
Google Chronicle + Managed Security Services = professionelle Bedrohungserkennung
Allerdings ist Google Chronicle kein Ersatz für Endpoint- und Netzwerk-Security-Lösungen. Mit der Plattform stellt man in erster Linie sicher, dass möglichst viele Log-Daten normalisiert verfügbar sind und sich mit ausgefeilter Google-Suchtechnologie auf Angriffsmuster durchsuchen lassen. Anschließend gilt es, die Suchergebnisse auszuwerten. Das passiert zum Beispiel durch erfahrene Sicherheitsexperten in einem Security Operations Center (SOC). Dabei helfen auch SOAR-Systeme, mit der sich einige Security-Anforderung automatisieren lassen – doch meistens muss irgendwann ein Mensch eingreifen. Das heißt, auch mit Google Chronicle muss sich noch jemand um die Auswertung der Analysen kümmern. Hier kommt indevis ins Spiel.
Als IT-Security-Spezialist helfen wir Unternehmen bei der Detection and Response. Dazu haben wir Google Chronicle in unser MDR-Angebot aufgenommen. Als Managed Service Provider nutzen wir Google Chronical zusammen mit Palo Alto Networks XSOAR als Basis für unseren MDR-Service. Unsere Security-Experten schließen Log-Quellen unserer Kunden an, erstellen Use Cases und überwachen die Warnmeldungen. Dabei setzen wir auch auf Threat Intelligence, die bei der Beurteilung der Kritikalität ein wichtiger Indikator sind. Im Falle eines Cyberangriffs helfen unsere erfahrenen Experten bei der Abwehr. So müssen Unternehmen Security-Know-how nicht intern aufbauen. Vielmehr können sie die Bedrohungserkennung in die Hände von erfahrenen Experten legen und müssen sich somit nicht mehr zwischen Kosten und Sicherheit entscheiden.
Wer Google Chronicle selbst betreiben möchte, kann auf indevis Professional Services zurückgreifen. Wir helfen bei der Implementierung und dem Betrieb der Lösung.
