Was bringt Googles Cloud-SIEM für die IT-Security?

Unternehmen verlagern ihre IT-Infrastruktur und Workloads zunehmend in die Cloud. Auch im Security-Bereich geht der Trend zu SaaS-Lösungen, die Hardware-Kosten und Management-Aufwand reduzieren und sich schnell in Betrieb nehmen lassen. Angesichts der wachsenden Cloudifizierung ist es nur konsequent, dass mittlerweile alle großen Hyperscaler im Security-Umfeld aktiv sind – sowohl um eigene Angebote abzusichern als auch um Anteile in einem Wachstumsmarkt zu erobern. Amazon konzentriert sich bisher vor allem auf den Schutz von Webshops und Webapplikationen, während Microsoft insbesondere mit Security-Lösungen im Windows-, Office- und Microsoft-365-Umfeld stark ist.

Dass auch Google große Pläne auf dem Security-Markt hat, dürfte spätestens seit der 5,4 Milliarden Dollar schweren Akquisition von Mandiant klar sein. Damit hat sich der Internet-Gigant führende Threat Intelligence einverleibt, um sein Security-Angebot auszubauen. In der Vergangenheit hat Google vor allem in die Absicherung der eigenen Services investiert. Jetzt tritt der Hyperscaler mit einer Security Operations Suite ins Rampenlicht, die viel verändern kann.

Google Chronicle bietet ein Cloud-natives SIEM (Security Information and Event Management) und SOAR (Security Orchestration, Automation and Response). Die Plattform sammelt Logdaten angeschlossener Security-Systeme in einem Cloud Data Lake, normalisiert, indexiert, korreliert und analysiert sie. Dabei nutzt Google Chronicle integrierte Threat Intelligence zur Bedrohungserkennung und bietet die Möglichkeit, weitere Threat Intelligence Feeds einzubinden.

Außerdem kann die Plattform anhand von Playbooks –vordefinierten Workflows – automatisiert auf Vorfälle reagieren. Zahlreiche Use Cases für Standard-Situationen wie Phishing oder Ransomware-Angriffe sind bereits enthalten. Weitere lassen sich in einer einfachen Programmiersprache selbst erstellen.

Mit Chronicle bringt Google also seine Kernkompetenz – das Durchsuchen und Analysieren von riesigen Datenmengen – in die Security ein. Diese Fähigkeit wird auch für den Security-Bereich immer wichtiger. Denn Cyberangriffe werden immer komplexer und erstrecken sich häufig über viele verschiedene Ebenen und einen längeren Zeitraum hinweg. Oft bleiben Eindringlinge zunächst unbemerkt, weil sie sich unauffällig verhalten und versuchen, Security-Maßnahmen auszuhebeln. Erst Monate später wird dann die Ransomware aktiv und es kommt zur Verschlüsselung. Um solche Angriffe zu erkennen, muss man die Informationen vieler verschiedener Security-Systeme im Zusammenhang betrachten und auswerten. Dabei fallen täglich Massen an Daten an. Google Chronicle kann Petabytes speichern und in Sekundenschnelle durchsuchen. So sparen SOC-Teams viel Zeit und können schneller reagieren.

Auch rekursive Suchen in die Vergangenheit sind mit Google Chronicle möglich. Die rückblickende Analyse von Logfiles ist zum Beispiel wichtig für die IT-Forensik oder um Zero-Day-Angriffe zu erkennen. Solche Attacken sind besonders gefährlich, da sie bisher unbekannte Schwachstellen ausnutzen. Cyberkriminelle können dann unbemerkt eindringen und Malware platzieren, bevor überhaupt ein Patch verfügbar ist.

Rekursive Analysen waren bisher nur eingeschränkt möglich, weil es üblicherweise sehr teuer ist, Logdaten längere Zeit zu speichern. Denn je größer der Storage, desto höher die Kosten. Für zehn Terabyte fallen bei herkömmlichen SIEM-Anbietern schnell einmal mehr als 100.000 Euro an. Besonders aufwendig ist die Dimensionierung bei On-Premises-Systemen. Hier muss die entsprechende Hardware vorab genau geplant und bestellt werden. Aber auch bei Cloud-SIEM-Anbietern ist der Storage teuer. Das führt dazu, dass Unternehmen nie alle Logdaten speichern können, sondern eine Auswahl treffen müssen.

Im Gegensatz dazu ist in der Google-Chronicle-Lizenz automatisch jede Menge Cloud Storage inkludiert. Kunden können vergleichsweise günstig sprichwörtlich Petabytes an Daten ein Jahr lang in einem privaten Container aufbewahren. Alle diese Daten werden aggregiert, normalisiert und lassen sich in Sekundenschnelle durchsuchen. Dank der Cloud-nativen Architektur skaliert Google Chronicle flexibel und nahezu unbegrenzt, ohne dass Kunden ihre Konfiguration oder das Management anpassen müssen. Das eröffnet völlig neue Möglichkeiten. Unternehmen können Google Chronicle beispielsweise als zentralen Data Lake in ihre Security-Infrastruktur integrieren und Logdaten sämtlicher Quellen einbinden. So lassen sich umfassende Big-Data-Analysen durchführen.

Während die Anbindung von Logquellen bei SIEM-Projekten in der Regel großen Aufwand verursacht, erfolgt diese bei Google Chronicle schnell und einfach per API-Integration. Google will bewusst eine offene Plattform bieten, die mit vielen verschiedenen Security-Herstellern zusammenspielt. So bedarf es nur weniger Klicks, damit die Logdaten von Drittanbietern in die Plattform einfließen. Eine große Erleichterung ist zudem die automatisierte Normalisierung, die Daten aus verschiedenen Quellen in ein einheitliches Schema bringt. Informationen mit dem gleichen Inhalt stehen dann in der gleichen Datenbank-Spalte und können analysiert werden.

Google Chronicle bringt Firmen viele Vorteile. Doch wie auch bei anderen SIEM- und SOC-Systemen gilt: Für mittelständische Unternehmen, deren IT-Abteilungen chronisch unter dem IT-Fachkräftemangel leiden, ist es praktisch unmöglich, solche komplexen Systeme in Eigenregie in die vorhandene Security-Landschaft zu integrieren. Zudem ist es nicht mit der Anbindung von Logquellen getan. Anschließend gilt es, alles kontinuierlich zu betreiben, zu aktualisieren, Analysen zu fahren und gegebenenfalls Strategien gegen Cyberangriffe zu entwickeln und durchzuführen.

Wollen mittelständische Unternehmen also die Möglichkeiten von Chronicle nutzen, ist die Zusammenarbeit mit einem erfahrenen Managed Security Service Provider (MSSP) empfehlenswert. Dieser verfügt über ein professionelles SOC-Team und hat jahrelange Erfahrung im Umgang mit SIEM- und SOAR-Systemen. Innerhalb seines MDR-Service (Managed Detection & Response) kümmert er sich darum, dass alles korrekt angebunden ist, entwickelt gemäß aktuellen Herausforderungen kontinuierlich neue Playbooks und hat neue Entwicklungen in der Cybercrime-Branche stets im Blick. Im Falle eines Angriffs informiert er den Kunden umgehend, gibt Schritt-für-Schritt-Handlungsempfehlungen und unterstützt bei der Umsetzung der Gegenmaßnahmen. So können Unternehmen den Kampf gegen gefährliche Hackerangriffe auf einem ganz neuen Level fortführen und ihre Security erheblich verbessern.

Wolfgang Kurz, Geschäftsführer und Founder von Indevis.