Log-Historie: je länger, desto besser
Um Cyberangriffe auf das Unternehmensnetzwerk rückwirkend aufzuspüren, müssen in einem SIEM (Security Information and Event Management) nicht nur die aktuellen, sondern auch die historischen Sicherheitsdaten gespeichert sein. Wie wichtig das ist, hat beispielsweise die Log4Shell-Sicherheitslücke in der weitverbreiteten Java-Bibliothek gezeigt: Nach Bekanntgabe der Schwachstelle konnten Unternehmen mithilfe rekursiver Analysen schnell erkennen, ob die eigenen Systeme bereits angegriffen wurden. Firmen, die nicht über die entsprechenden historischen Daten verfügten, hatten hingegen viel Mühe und teilweise monatelangen Aufwand, um festzustellen, ob sie betroffen sind.
Datenflut: Herkömmliche SIEM sind oft kostenintensiv
Bei der Speicherung von Security-Daten besteht für Unternehmen die Herausforderung, dass sie über ausreichend Storage verfügen müssen. Bei vielen SIEM-Anbietern kann dies sehr teuer werden. Für zehn Terabyte zahlen Unternehmen oft schon Summen im sechsstelligen Bereich. Aus Kostensicht ist es ebenfalls meist nicht rentabel, Kapazitäten im eigenen Rechenzentrum bereitzustellen – zudem ist die vorausschauende Beschaffung und der Betrieb von ausreichender Hardware eine nicht zu unterschätzende Aufgabe.
Bislang müssen Verantwortliche daher sehr genau überlegen, welche Daten sie für IT-forensische Analysen wie speichern möchten und für wie lange. Ein oftmals riesengroßer Interessenskonflikt, der nur mit Kompromissen zu lösen ist. Somit ist es im Falle eines Cyberangriffs keine Ausnahme, dass Daten und wichtige Informationen erst aus einem ausgelagertem Cold Storage wieder aktiviert werden müssen oder komplett fehlen. Mit Google Chronicle gehören diese Überlegungen der Vergangenheit an, denn im Google Cloud Data Lake lässt sich der Speicherplatz nahezu unbegrenzt skalieren – und das zu überschaubaren und vorhersehbaren Preisen.
Die Stärken von Google inkludiert
Google Chronicle macht SIEM-Projekte einfach, preiswert und schnell umsetzbar – mit inkludiertem Cloud Storage zu kalkulierbaren und vernünftigen Kosten. Die gespeicherten Daten sind mindestens ein Jahr lang in einem privaten Container verfügbar. So können Unternehmen jederzeit schnelle, rekursive Analysen durchführen und müssen nicht mehr vorher bei jeden Datensatz abwägen, wie wichtig er ist, wie er gespeichert und wie lange er aufbewahrt werden soll. Stattdessen lässt sich die Plattform, die dank ihrer Cloud-nativen Architektur leicht skalierbar ist, je nach Bedarf mit Daten füttern. Damit steht umfassenden Big-Data-Analysen ohne Blindspots nichts mehr im Wege.
Kein Paradoxon bei zusätzlichem SIEM: Kostenreduktion und erhöhte Sicherheit
Eine SIEM-Ablösung ist oftmals ein kostspieliges Unterfangen. Sollte jedoch bereits ein SIEM im Einsatz sein, kann auch eine Erweiterung des bestehenden SIEM mit dem leistungsstarken Chronicle Data Lake helfen, schnell Kostenreduktionen und gleichzeitig bessere Sicherheitsergebnisse zu erzielen:
- Reduzierte Datenmengen, die in ein volumenpreisorientiertes SIEM fließen, führen dort zu Kosteneinsparungen durch geringere Lizenz-, Hardware- und Wartungskosten
- Kostenreduktion durch Datenaufbewahrung und Suche mit dem kostengünstigeren Google Chronicle SIEM
- Google Chronicle SIEM bietet eine drastisch höhere Suchleistung ohne entsprechende Kostensteigerung
- Verbesserte Sichtbarkeit der Sicherheit, dank Sammlung und Analyse von EDR- und anderer – auch hochvolumiger – Telemetriedaten
- Längere Datenaufbewahrung insbesondere für Netzwerk-, Endpoint- und Cloud-Datenquellen
- Verbesserter Abgleich von Bedrohungsinformationen, insbesondere für den rückwirkenden Abgleich von Informationen und Sicherheitstelemetrie
- Erweiterte und neue Use Case-Abdeckung für SOC, z.B. umfangreichere EDR-Datenanalyse oder Erkennung von Cloud-Bedrohungen
Disruptives Lizenzmodell und Reduktion der Gesamtbetriebskosten
Das Pricing von Google Chronicle basiert ganz simpel auf Datenvolumen, das in die SIEM-Lösung eingespeist wird. Mit festen und vorhersehbaren Preisen, die von Kapazität, Rechenleistung und Anzahl der Protokollquellen entkoppelt sind, eliminiert Chronicle die Kompromisse zwischen Kosten und Sicherheit. Kunden profitieren von einem attraktiven Lizenzmodell, bei dem eine Datenspeicherung von 12 Monaten inkludiert ist, um eine für die IT-Sicherheit eventuell relevante längere IoC-Korrelation und das Auffinden von historisch zurückliegenden Zusammenhängen zu gewährleisten. Die disruptive Preisgestaltung sowie das Fehlen von Infrastrukturbeschaffungs-, Bereitstellungs- oder Optimierungskosten führt bei Unternehmen zu einer deutlichen Reduktion der Gesamtbetriebskosten ihrer Security Operations-Infrastruktur.
