O provedor de serviços de dados Snowflake aprofundou sua parceria estratégica com o provedor de cibersegurança Anvilogic nesta semana com uma oferta conjunta que poderia impactar ainda mais o mercado de gerenciamento de informações e eventos de segurança (SIEM).

Os dois provedores de serviços em nuvem estão mirando clientes comerciais que já utilizam a oferta de software como serviço (SaaS) da Snowflake para armazenamento e análise de dados e desejam utilizar os dados armazenados e as informações de logs para operações de segurança e detecção de ameaças. A Anvilogic trabalha ao lado de outros sistemas SIEM, capturando dados, como logs produzidos por serviços em nuvem e alertas produzidos por produtos de segurança em nuvem, geralmente não detectados por esses sistemas.

A solução conjunta levará a redução de custos – da ordem de 50% a 80%, dizem as empresas – e eventualmente substituirá as plataformas SIEM legadas, diz Karthik Kannan, CEO da Anvilogic.

“É um pouco uma mudança de guarda, algo que tanto a Snowflake quanto a Anvilogic esperavam há muito tempo,” diz ele. “Estamos caminhando para este dia, para quando nosso tipo de abordagem… irá tomar o centro das atenções e começar a substituir aquelas velhas legadas por uma nova década.”

O mercado SIEM passou por mudanças tremendas nos últimos dois anos. Em agosto de 2022, a OpenText concordou em comprar a Micro Focus – proprietária da conhecida plataforma SIEM ArcSight – por $6 bilhões. Em setembro passado, a Cisco anunciou que entraria no setor SIEM adquirindo a Splunk por $28 bilhões, acordo que foi concluído em março. No início deste mês, a IBM saiu do mercado e vendeu sua divisão QRadar de produtos de cibersegurança SaaS – que incluem capacidades SIEM – para a Palo Alto Networks, com as duas empresas concordando em trabalhar juntas como parceiras. Nenhuma empresa divulgou quanto a Snowflake está investindo na Anvilogic. (Em abril, a Anvilogic fechou uma rodada de investimento Series C de $45 milhões, levando seu financiamento total a $85 milhões.)

‘A Cibersegurança é um Problema de Dados’

A parceria focada em dados entre Snowflake e Anvilogic faz sentido à medida que as empresas se veem inundadas por dados. A empresa média atualmente utiliza apenas cerca de metade das informações disponíveis por meio de logs, mas espera rastrear até 80% nos próximos anos, de acordo com uma pesquisa realizada pela consultoria McKinsey.

“Acreditamos firmemente que a cibersegurança é um problema de dados,” diz John Bland, chefe de estratégia de cibersegurança da Snowflake. “Tivemos volumes de dados explodindo, e é difícil obter visibilidade em todos os dados necessários – todos os seus dados de segurança e fontes nas quais você precisa de visibilidade – e então também é difícil retê-los e mantê-los de forma acessível pelo tempo necessário.”

A união Anvilogic e Snowflake provavelmente fará sentido para as empresas que já estão comprometidas com a plataforma de dados, já que a parceria com provedores de análise de cibersegurança fornecerá benefícios adicionais, que um provedor SIEM independente pode não oferecer, diz Allie Mellen, analista principal de segurança e risco na Forrester Research.

“Isso é atraente para organizações que já estão aproveitando a plataforma de dados para operações de TI, produtos ou outros casos de uso, pois pode ajudar a apoiar esforços de consolidação de dados e possibilitar melhores práticas de governança de dados,” diz ela. “No entanto, é desafiador para os profissionais aproveitarem, pois significa gerenciar vários fornecedores diferentes para diferentes elementos do que tradicionalmente seria uma única plataforma de análise de segurança.”

Os SIEMs Monolíticos estão com os Dias Contados?

Tanto a Anvilogic quanto a Snowflake argumentam que a era dos produtos SIEM monolíticos está chegando ao fim. Em vez disso, as empresas precisam gerenciar efetivamente seus dados e fornecê-los para casos de uso específicos, seja inteligência de negócios ou inteligência de ameaças. Com a parceria Anvilogic e sua capacidade de trabalhar ao lado de sistemas SIEM legados, a Snowflake visa permitir que as empresas se movam gradualmente para uma arquitetura centrada em dados, diz Bland da Snowflake.

“Cada cliente com quem conversei está pronto para se separar de seu SIEM legado, mas eles simplesmente não sabem como,” diz ele. “Eles construíram painéis e detecções nos últimos cinco anos, ou poderia ser que sintam que têm outras iniciativas concorrentes e não têm certeza se querem correr o risco de substituir completamente agora.”

As empresas também se beneficiam por trabalharem nativamente na nuvem, enquanto muitos sistemas SIEM tradicionais adicionaram operações em nuvem depois de começarem como dispositivos ou aplicativos executados dentro de data centers.

Com grande parte das operações comerciais acontecendo na nuvem, as plataformas de cibersegurança não nativas estão em desvantagem, diz Saryu Nayyar, CEO da empresa concorrente de análise de cibersegurança Gurucul.

“Os SIEMs legados são legados por um motivo – há tecnologia muito melhor disponível hoje,” diz ela. “Acredito que essa é a causa raiz por trás de muitas dessas fusões. Em um esforço para suprir as deficiências em suas plataformas SIEM, os fornecedores estão mesclando capacidades que não foram projetadas para funcionar de maneira unificada e provavelmente não funcionarão tão cedo.”

No entanto, embora o mercado SIEM tradicional esteja passando por uma evolução desafiadora, os principais players continuam se beneficiando de um foco em integração estreita com terceiros e outros relacionamentos existentes, diz Mellen da Forrester.

“No final, é uma questão de compensações,” diz ela. “Usar uma plataforma de dados como a Snowflake é uma oportunidade para algumas empresas consolidarem o armazenamento e o acesso a dados comerciais. No entanto, isso traz desafios, como gerenciar a arquitetura de dados e aproveitar parceiros de terceiros para análises, automação e gerenciamento de pipelines de dados.”