O provedor de serviços de dados Snowflake aprofundou sua parceria estratégica com o fornecedor de análises de cibersegurança Anvilogic esta semana com uma oferta conjunta que poderia ainda mais abalar o mercado de gerenciamento de informações e eventos de segurança (SIEM).

Os dois provedores de serviços na nuvem estão mirando em clientes empresariais que já utilizam a oferta de software como serviço (SaaS) da Snowflake para armazenamento de dados e análises e desejam usar os dados armazenados e informações de log para operações de segurança e detecção de ameaças. O Anvilogic trabalha em conjunto com outros sistemas SIEM, capturando dados, como logs produzidos por serviços em nuvem e alertas produzidos por produtos de segurança em nuvem, tipicamente não capturados por tais sistemas.

A solução conjunta levará a custos reduzidos — na ordem de 50% a 80%, afirmam as empresas — e eventualmente substituirá plataformas SIEM legadas, diz Karthik Kannan, CEO da Anvilogic.

“É uma mudança de guarda, algo que tanto a Snowflake quanto a Anvilogic estavam esperando há muito tempo,” ele diz. “Estamos construindo em direção a este dia, para quando nosso tipo de abordagem… irá tomar o centro do palco e começar a retirar essas velhas heranças e substituí-las para a próxima década.”

O mercado de SIEM passou por mudanças tremendas nos últimos dois anos. Em agosto de 2022, a OpenText concordou em adquirir a Micro Focus — dona da conhecida plataforma SIEM ArcSight — por US$ 6 bilhões. Em setembro passado, a Cisco anunciou que iria entrar no setor de SIEM ao adquirir a Splunk por US$ 28 bilhões, um negócio que foi concluído em março. No início deste mês, a IBM saiu do mercado e vendeu sua divisão QRadar de produtos de cibersegurança SaaS — que incluem capacidades SIEM — para a Palo Alto Networks, com as duas empresas concordando em trabalhar juntas como parceiras. Nenhuma das empresas divulgou quanto a Snowflake está investindo na Anvilogic. (Em abril, a Anvilogic fechou uma rodada de investimentos Series C de US$ 45 milhões, elevando seu financiamento total para US$ 85 milhões.)

A parceria focada em dados entre a Anvilogic e a Snowflake faz sentido à medida que as empresas se encontram envoltas em dados. A empresa média utiliza atualmente apenas cerca da metade das informações disponíveis por logs, mas espera rastrear até 80% nos próximos anos, de acordo com uma pesquisa realizada pela consultoria McKinsey.

“Acreditamos firmemente que a cibersegurança é um problema de dados,” diz John Bland, chefe de estratégia de cibersegurança da Snowflake. “Tivemos um aumento significativo nos volumes de dados, e é difícil obter visibilidade em todos os dados necessários — todos os seus dados de segurança e fontes das quais você precisa de visibilidade — e então também é difícil reter e mantê-los de forma pesquisável pelo tempo que você precisar.”

O emparelhamento Anvilogic e Snowflake provavelmente fará sentido para empresas que já estão comprometidas com a plataforma de dados, já que emparelhar com provedores de análises de cibersegurança fornecerá benefícios adicionais, que um provedor de SIEM isolado pode não oferecer, diz Allie Mellen, analista principal de segurança e risco da Forrester Research.

“Isto é atraente para organizações que já estão aproveitando a plataforma de dados para operações de TI, produto ou outros casos de uso, pois pode ajudar a apoiar esforços de consolidação de dados e permitir melhores práticas de governança de dados,” ela diz. “No entanto, é desafiador para os profissionais usá-lo, já que significa gerenciar vários fornecedores diferentes para diferentes elementos do que tradicionalmente seria uma única plataforma de análise de segurança.”

Tanto a Anvilogic quanto a Snowflake argumentam que a era dos produtos monolíticos SIEM está chegando ao fim. Em vez disso, as empresas precisam gerenciar seus dados de forma eficaz e fornecê-los para casos de uso específicos, seja inteligência de negócios ou inteligência de ameaças. Com a parceria Anvilogic e sua capacidade de trabalhar ao lado de sistemas SIEM legados, a Snowflake pretende permitir às empresas migrarem gradualmente para uma arquitetura centrada em dados, diz Bland da Snowflake.

“Cada cliente com quem falei está pronto para terminar com seu SIEM legado, mas eles simplesmente não sabem como,” ele diz. “Eles construíram painéis e detecções nos últimos cinco anos, ou poderia ser que sintam que têm outras iniciativas concorrentes e não estão certos se querem correr o risco de uma substituição total agora.”

As empresas também se beneficiam por trabalhar nativamente na nuvem, enquanto muitos sistemas SIEM tradicionais adicionaram operações baseadas na nuvem após começarem como appliances ou como aplicativos executados dentro de data centers.

Com grande parte das operações comerciais acontecendo na nuvem, as plataformas de cibersegurança não nativas estão em desvantagem, diz Saryu Nayyar, CEO da empresa concorrente de análises de cibersegurança Gurucul.

“Os SIEMs legados são legados por um motivo — hoje em dia há tecnologia muito melhor disponível,” ela diz. “Acredito que esta é a causa raiz por trás de muitas dessas fusões. Em um esforço para preencher as deficiências em suas plataformas SIEM, os fornecedores estão juntando capacidades que não foram projetadas para funcionar de forma unificada e provavelmente não irão funcionar em breve.”

Contudo, embora o tradicional mercado de SIEM esteja passando por uma evolução desafiadora, os principais players continuam se beneficiando de um foco em integração estreita com terceiros e outras relações existentes, diz Mellen da Forrester.

“No final das contas, é uma questão de compensações,” ela diz. “Usar uma plataforma de dados como a Snowflake é uma oportunidade para algumas empresas consolidarem o armazenamento e acesso de dados do negócio. No entanto, isso vem com desafios, como gerenciar a arquitetura de dados e aproveitar parceiros terceirizados para análises, automação e gerenciamento de pipeline de dados.”