Security Information and Event Management (SIEM)

Bei Google Security Operations handelt es sich um ein Cloud-natives SIEM (Security Information and Event Management) mit SOAR (Security Orchestration, Automation and Response). Herzstück des Systems ist sein Cloud Data Lake, in dem es Daten aus angeschlossenen Security-Systemen sammelt, normalisiert, analysiert und korreliert. Mit Hilfe der integrierten Threat Intelligence können Unternehmen Bedrohungen so frühzeitig erkennen oder Angriffshistorien nachverfolgen. Darüber hinaus kann das System mithilfe von Playbooks im SOAR von Security Operations teils automatisiert auf Vorfälle reagieren, indem es vorgefertigte Workflows abarbeitet. Standard-Szenarien wie Phishing oder Ransomware-Angriffe sind bereits enthalten und weitere Playbooks lassen sich kontinuierlich ergänzen. 

Mit Google Security Operations spielt Google damit seine Kernkompetenz – das blitzschnelle Durchsuchen riesiger Datenmengen – in der IT-Security aus und bietet Unternehmen einen hochgradig skalierbaren Ansatz für die Detection und Response von Cyber-Angriffen.

Um Cyberangriffe rückwirkend aufzuspüren, müssen in einem SIEM nicht nur die aktuellen, sondern auch die historischen Sicherheitsdaten gespeichert sein. Wie wichtig das ist, hat die Log4Shell-Sicherheitslücke in der weitverbreiteten Java-Bibliothek gezeigt: Mithilfe rekursiver Analysen konnten Unternehmen nach Bekanntgabe der Schwachstelle so schnell erkennen, ob die eigenen Systeme bereits angegriffen wurden. Firmen, die nicht über die entsprechenden historischen Daten verfügten, verbrachten hingegen teilweise Monate, um festzustellen, ob sie betroffen sind.

Die Herausforderung bei der Speicherung von Security-Daten: Unternehmen müssen über ausreichend Storage verfügen. Bei vielen SIEM-Anbietern ist dies eine teure Angelegenheit. Für zehn Terabyte zahlen Unternehmen oft schon Summen im sechsstelligen Bereich. Kapazitäten im eigenen Rechenzentrum bereitzustellen, ist aus Kostensicht meist ebenfalls nicht rentabel – zudem ist die vorausschauende Beschaffung und der Betrieb von genügend Hardware eine nicht zu unterschätzende Herausforderung. Bisher mussten Verantwortliche sich deshalb sehr genau überlegen, welche Daten sie speichern möchten und wie lange. Im Falle eines Cyberangriffs war es keine Ausnahme, dass Daten und wichtige Informationen fehlten oder erst einmal aus ausgelagertem Cold Storage wieder aktiviert werden mussten. Mit Google Chronicle gehören diese Überlegungen der Vergangenheit an, denn im Google Cloud Data Lake lässt sich der Speicherplatz beinahe unbegrenzt skalieren – und zwar zu überschaubaren und, dank entkoppelter Lizenzmodelle, vorhersehbaren Preisen.

Google Security Operations macht SIEM-Projekte einfach, preiswert und schnell umsetzbar. Kunden erhalten inkludierten Cloud Storage im Petabyte-Bereich zu kalkulierbaren und überschaubaren Kosten. Die gespeicherten Daten sind ein Jahr lang in einem privaten Container verfügbar. So können Unternehmen jederzeit schnelle, rekursive Analysen durchführen. Dank der Cloud-nativen Architektur ist Google Security Operations leicht skalierbar. Der Kunde muss daher nicht mehr jeden Datensatz auf seine Wichtigkeit prüfen. Stattdessen lässt sich die Plattform je nach Bedarf mit Daten füttern und umfassenden Big-Data-Analysen steht damit nichts im Wege. Zudem gelingt die Einbindung von Drittanbietern mit Google Security Operations schnell und einfach: Logquellen lassen sich unkompliziert per API andocken. Die Normalisierung der Daten aus den verschiedenen Quellen verläuft in der Regel automatisiert. Neben der integrierten Threat Intelligence zur Bedrohungserkennung können Unternehmen auch externe Threat Intelligence Feeds implementieren. 

Als SaaS-Lösung ist Google Security Operations schnell aufgesetzt, einfach zu verwalten und Unternehmen brauchen nicht in zusätzliche Hardware zu investieren. Sollte bereits ein SIEM im Einsatz sein, so kann Google Security Operations auch einfach als zusätzlicher leistungsstarker Data Lake zugeschaltet werden. Da Google Security Operations auch die Google Cloud Platform (GCP) absichert, wird die Security-Lösung nicht selbst auf der GCP-Infrastruktur betrieben, sondern in abgetrennten Bereichen in Google-Rechenzentren in der EU. Die Ausfallsicherheit ist dabei durch Georedundanz gewährleistet. 

Google Security Operations ist kein Ersatz für Endpoint-, Netzwerk- oder E-Mail-Security. Die Lösung fungiert stattdessen als Zwischenschicht, an die sich Systeme beliebiger Drittanbieter andocken lassen. Unternehmen bleiben also bei der Wahl ihrer Security-Infrastruktur flexibel. 

Google Security Operations bietet ein Cloud-natives SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation and Response). Die Plattform verfügt zudem über einen Cloud Data Lake, in dem die Logdaten angeschlossener Security-Systeme gesammelt, normalisiert, indexiert, korreliert und analysiert werden. Dabei nutzt Google Security Operations integrierte Threat Intelligence zur Bedrohungsanalyse und bietet die Option, weitere Threat Intelligence Feeds einzubinden. Zudem ist die Plattform in der Lage, mithilfe von Playbooks – vordefinierten Workflows – automatisiert auf Vorfälle zu reagieren. Zahlreiche Use Cases für Standard-Situationen wie Phishing oder Ransomware-Angriffe sind bereits vorinstalliert. Weitere lassen sich in einer intuitiven Programmiersprache selbst generieren.

Mithilfe von Google Security Operations können Unternehmen ihre IT-Security auf ein neues Level heben. Doch wie auch bei anderen SIEM- und SOAR-Systemen gilt: Für Mittelständler, deren IT-Abteilungen chronisch unter dem IT-Fachkräftemangel leiden, ist es äußerst schwierig, solche komplexen Systeme in Eigenregie in die vorhandene Security-Infrastruktur zu integrieren und kontinuierlich zu betreiben. Denn die Arbeit ist nicht mit der Anbindung von Logquellen abgeschlossen. Im Anschluss muss das System kontinuierlich überwacht und aktualisiert werden. Dazu gehören auch die Erstellung von Security-Analysen in Form von Korrelationsregeln und das Entwickeln von Strategien gegen Cyberangriffe.

indevis hilft Unternehmen dabei, das volle Potenzial von Google Security Operations zu entfalten. Zu diesem Zweck haben wir Google Security Operations in unseren indevis MDR Service integriert und mit der führenden SOAR-Lösung Cortex xSOAR von Palo Alto kombiniert. Die indevis-Spezialisten docken die Logquellen an, erstellen Use Cases, analysieren Alerts und unterstützen im Falle eines Cyberangriffs bei der Bewältigung. Zudem bietet indevis Google Security Operations auch als Reseller an und greift seinen Kunden mit Professional Services unter die Arme. Durch das Zusammenspiel von Google Security Operations und den Managed Security Services von indevis können Unternehmen somit ihre Detection und Response erheblich verbessern – und sich mit State-of-the-Art Technologie vor Cyberangriffen schützen.