O fornecedor de serviços de dados Snowflake aprofundou sua parceria estratégica com a fornecedora de cibersegurança e análise Anvilogic nesta semana, com uma oferta conjunta que poderia abalar ainda mais o mercado de gerenciamento de informações e eventos de segurança (SIEM).

Os dois provedores de serviços em nuvem estão mirando em clientes empresariais que já usam a oferta de software como serviço (SaaS) da Snowflake para armazenamento e análise de dados e desejam usar os dados armazenados e informações de log para operações de segurança e detecção de ameaças. A Anvilogic trabalha ao lado de outros sistemas SIEM, capturando dados, como logs produzidos por serviços em nuvem e alertas produzidos por produtos de segurança em nuvem, geralmente não capturados por esses sistemas.

A solução conjunta resultará em redução de custos — da ordem de 50% a 80%, afirmam as empresas — e eventualmente substituirá as plataformas SIEM legadas, afirma Karthik Kannan, CEO da Anvilogic.

“É um pouco de uma mudança de guarda, algo que tanto a Snowflake quanto a Anvilogic esperavam há muito tempo”, diz ele. “Estamos construindo em direção a este dia, para quando nosso tipo de abordagem … terá destaque e começará a substituir alguns desses antigos legados para a próxima década”.

O mercado de SIEM passou por enormes mudanças nos últimos dois anos. Em agosto de 2022, a OpenText concordou em adquirir a Micro Focus — proprietária da conhecida plataforma SIEM ArcSight — por US$ 6 bilhões. Em setembro passado, a Cisco anunciou que entraria no setor de SIEM adquirindo a Splunk por US$ 28 bilhões, acordo que foi concluído em março. No início deste mês, a IBM saiu do mercado e vendeu sua divisão QRadar de produtos de cibersegurança como serviço — que incluem capacidades de SIEM — para a Palo Alto Networks, com as duas empresas concordando em trabalhar juntas como parceiras. Nenhuma das empresas divulgou quanto a Snowflake está investindo na Anvilogic. (Em abril, a Anvilogic concluiu uma rodada de investimentos da Série C no valor de US$ 45 milhões, elevando seu financiamento total para US$ 85 milhões.)

“Acreditamos firmemente que a cibersegurança é um problema de dados”, diz John Bland, chefe de estratégia de cibersegurança da Snowflake. “Tivemos volumes de dados explodindo, e é difícil obter visibilidade em todos os dados de que você precisa — todos os seus dados de segurança e fontes nos quais você precisa de visibilidade — e depois também é difícil retê-los e mantê-los de maneira pesquisável pelo tempo que você precisar”.

A parceria da Anvilogic e da Snowflake provavelmente fará sentido para empresas que já estão comprometidas com a plataforma de dados, pois a colaboração com provedores de análises de cibersegurança oferecerá benefícios adicionais que um provedor SIEM independente pode não oferecer, afirma Allie Mellen, analista principal de segurança e risco na Forrester Research.

“Isso é atraente para organizações que já estão alavancando a plataforma de dados para operações de TI, produto ou outros casos de uso, pois pode ajudar a apoiar os esforços de consolidação de dados e possibilitar melhores práticas de governança de dados”, diz ela. “No entanto, é um desafio para os profissionais aproveitar isso, pois significa gerenciar vários fornecedores diferentes para diferentes elementos do que tradicionalmente seria uma única plataforma de análise de segurança.”

Tanto a Anvilogic quanto a Snowflake argumentam que a era dos produtos SIEM monolíticos está chegando ao fim. Em vez disso, as empresas precisam gerenciar efetivamente seus dados e fornecê-los para casos de uso específicos, seja inteligência de negócios ou inteligência de ameaças. Com a parceria da Anvilogic e sua capacidade de trabalhar ao lado de sistemas SIEM legados, a Snowflake pretende permitir que as empresas migrem gradualmente para uma arquitetura centrada em dados, afirma Bland da Snowflake.

“Cada cliente com quem conversei está pronto para terminar com seu SIEM legado, mas eles simplesmente não sabem como”, diz ele. “Eles construíram painéis e detecções nos últimos cinco anos, ou poderia ser que sintam que têm outros iniciativas concorrentes e não têm certeza se querem correr o risco de uma substituição completa agora.”

As empresas também se beneficiam do fato de trabalharem nativamente na nuvem, enquanto muitos sistemas SIEM tradicionais adicionaram operações baseadas em nuvem após começarem como dispositivos ou como aplicativos executados dentro de data centers.

Com grande parte das operações comerciais acontecendo na nuvem, as plataformas de cibersegurança não nativas estão em desvantagem, diz Saryu Nayyar, CEO da empresa concorrente de análise de cibersegurança Gurucul.

“Os SIEMs legados são legados por um motivo — hoje há tecnologias muito melhores disponíveis”, diz ela. “Acredito que essa é a causa raiz por trás de muitas dessas fusões. Em um esforço para preencher as deficiências em suas plataformas SIEM, os fornecedores estão juntando capacidades que não foram projetadas para funcionar de maneira unificada e provavelmente não funcionarão tão cedo.”

No entanto, embora o mercado tradicional de SIEM certamente esteja passando por uma evolução desafiadora, os principais players continuam se beneficiando do foco na integração estreita com terceiros e outros relacionamentos existentes, diz Mellen da Forrester.

“No final, é uma questão de compensações”, diz ela. “Usar uma plataforma de dados como a Snowflake é uma oportunidade para algumas empresas consolidarem o armazenamento e o acesso aos dados comerciais. No entanto, isso traz desafios, como gerenciar a arquitetura de dados e aproveitar parceiros terceirizados para análises, automação e gestão de pipeline de dados.”