O provedor de serviços de dados Snowflake ampliou sua parceria estratégica com o provedor de análises de cibersegurança Anvilogic esta semana com uma oferta conjunta que poderia agitar ainda mais o mercado de gerenciamento de informações e eventos de segurança (SIEM).
Os dois provedores de serviços em nuvem estão mirando em clientes empresariais que já utilizam a oferta de software como serviço (SaaS) da Snowflake para armazenamento e análise de dados e desejam utilizar os dados armazenados e as informações de log para operações de segurança e detecção de ameaças. O Anvilogic trabalha ao lado de outros sistemas SIEM, capturando dados, como logs produzidos por serviços em nuvem e alertas produzidos por produtos de segurança em nuvem, geralmente ignorados por tais sistemas.
A solução conjunta resultará em redução de custos — da ordem de 50% a 80%, afirmam as empresas — e eventualmente substituirá plataformas SIEM legadas, diz Karthik Kannan, CEO do Anvilogic.
“É um pouco de mudança de guarda, algo que tanto o Snowflake quanto o Anvilogic estão esperando há muito tempo”, diz ele. “Estamos nos preparando para este dia, para quando nosso tipo de abordagem… tomará o centro do palco e começará a remover algumas dessas antigas heranças e substituí-las pela próxima década.”
O mercado SIEM passou por mudanças tremendas nos últimos dois anos. Em agosto de 2022, a OpenText concordou em comprar a Micro Focus — proprietária da conhecida plataforma SIEM ArcSight — por US$ 6 bilhões. Em setembro passado, a Cisco anunciou que entraria no setor de SIEM ao comprar a Splunk por US$ 28 bilhões, um acordo que foi concluído em março. No início deste mês, a IBM saiu do mercado e vendeu sua divisão QRadar de produtos de cibersegurança como serviço — que incluem capacidades SIEM — para a Palo Alto Networks, com as duas empresas concordando em trabalhar juntas como parceiras. Nenhuma empresa divulgou quanto a Snowflake está investindo no Anvilogic. (Em abril, o Anvilogic concluiu uma rodada de investimento da Série C de US$ 45 milhões, elevando seu financiamento total para US$ 85 milhões.)
‘A Cibersegurança é um Problema de Dados’
A parceria focada em dados entre Snowflake e Anvilogic faz sentido, já que as empresas se encontram inundadas de dados. A empresa média atualmente utiliza apenas cerca da metade das informações disponíveis por meio de logs, mas espera rastrear até 80% nos próximos anos, de acordo com uma pesquisa realizada pela consultoria McKinsey.
“Acreditamos firmemente que a cibersegurança é um problema de dados”, diz John Bland, chefe de estratégia de cibersegurança da Snowflake. “Tivemos um aumento massivo nos volumes de dados, e é difícil obter visibilidade em todos os dados necessários — todos os seus dados de segurança e fontes nos quais você precisa de visibilidade — e também é difícil reter e mantê-los de forma pesquisável pelo tempo que for necessário.”
A combinação Anvilogic e Snowflake provavelmente fará sentido para empresas que já estão comprometidas com a plataforma de dados, já que a parceria com provedores de análises de cibersegurança oferecerá benefícios adicionais, que um fornecedor de SIEM independente pode não oferecer, diz Allie Mellen, analista principal de segurança e risco da Forrester Research.
“Isso é atraente para organizações que já estão aproveitando a plataforma de dados para operações de TI, produto ou outros casos de uso, pois pode ajudar a apoiar os esforços de consolidação de dados e permitir melhores práticas de governança de dados”, diz ela. “No entanto, é desafiador para os profissionais utilizá-lo, pois significa gerenciar vários fornecedores diferentes para diferentes elementos do que tradicionalmente seria uma única plataforma de análise de segurança.”
O Fim dos SIEMs Monolíticos?
Tanto a Anvilogic quanto a Snowflake argumentam que a era dos produtos SIEM monolíticos está chegando ao fim. Em vez disso, as empresas precisam gerenciar efetivamente seus dados e fornecê-los para casos de uso específicos, seja inteligência de negócios ou inteligência de ameaças. Com a parceria Anvilogic e sua capacidade de trabalhar ao lado de sistemas SIEM legados, a Snowflake visa permitir que as empresas migrem gradualmente para uma arquitetura centrada em dados, diz Bland da Snowflake.
“Cada cliente com quem conversei está pronto para romper com seu SIEM legado, mas eles simplesmente não sabem como”, diz ele. “Eles construíram painéis e detecções nos últimos cinco anos, ou poderia ser que sintam que têm outras iniciativas concorrentes e não estão certos se querem correr o risco de uma substituição completa agora.”
As empresas também se beneficiam por trabalhar nativamente na nuvem, enquanto muitos sistemas SIEM tradicionais adicionaram operações baseadas em nuvem após começarem como dispositivos ou aplicativos executados dentro de centros de dados.
Com grande parte das operações empresariais acontecendo na nuvem, as plataformas de cibersegurança não nativas estão em desvantagem, diz Saryu Nayyar, CEO da empresa rival de análises de cibersegurança Gurucul.
“Os SIEMs legados são legados por um motivo — há tecnologia muito melhor disponível hoje”, diz ela. “Acredito que essa é a causa raiz por trás de muitas dessas fusões. Na tentativa de preencher as deficiências em suas plataformas SIEM, os fornecedores estão juntando capacidades que não foram projetadas para funcionar de maneira unificada e provavelmente não o farão tão cedo.”
No entanto, embora o mercado tradicional de SIEM esteja passando por uma evolução desafiadora, os principais players continuam a se beneficiar do foco na integração estreita com terceiros e outros relacionamentos existentes, diz Mellen da Forrester.
“No final, é uma questão de compensações”, diz ela. “Usar uma plataforma de dados como a Snowflake é uma oportunidade para algumas empresas consolidarem o armazenamento e o acesso aos dados de negócios. No entanto, isso também traz desafios, como gerenciar a arquitetura de dados e aproveitar parceiros terceirizados para análises, automação e gerenciamento de pipelines de dados.”
