O fornecedor de serviços de dados Snowflake aprofundou sua parceria estratégica com a fornecedora de cibersegurança e análise Anvilogic esta semana, com uma oferta conjunta que poderia abalar ainda mais o mercado de gestão de informações e eventos de segurança (SIEM).
Os dois provedores de serviços em nuvem estão mirando em clientes empresariais que já utilizam a oferta de software como serviço (SaaS) da Snowflake para armazenamento e análise de dados e desejam utilizar os dados armazenados e as informações de log para operações de segurança e detecção de ameaças. A Anvilogic trabalha ao lado de outros sistemas SIEM, capturando dados, como logs produzidos por serviços em nuvem e alertas produzidos por produtos de segurança em nuvem, normalmente não detectados por tais sistemas.
A solução conjunta levará a uma redução de custos — na ordem de 50% a 80%, afirmam as empresas — e eventualmente substituirá plataformas SIEM legadas, afirma Karthik Kannan, CEO da Anvilogic.
“É um pouco de troca de guarda, algo que tanto a Snowflake quanto a Anvilogic esperavam há muito tempo”, disse ele. “Estamos construindo em direção a este dia, para quando nosso tipo de abordagem … tomará destaque e começará a substituir algumas dessas antigas legacidades e substituí-las pela próxima década”.
O mercado de SIEM passou por mudanças tremendas nos últimos dois anos. Em agosto de 2022, a OpenText concordou em adquirir a Micro Focus — proprietária da bem conhecida plataforma ArcSight SIEM — por US$ 6 bilhões. Em setembro passado, a Cisco anunciou que entraria no setor de SIEM ao adquirir a Splunk por US$ 28 bilhões, uma transação que foi concluída em março. No início deste mês, a IBM saiu do mercado e vendeu sua divisão QRadar de produtos de cibersegurança SaaS — que incluem capacidades SIEM — para a Palo Alto Networks, com as duas empresas concordando em trabalhar juntas como parceiras. Nenhuma das empresas divulgou quanto a Snowflake está investindo na Anvilogic. (Em abril, a Anvilogic fechou uma rodada de investimento da Série C de US$ 45 milhões, elevando seu financiamento total para US$ 85 milhões).
“Acreditamos firmemente que a cibersegurança é um problema de dados”, disse John Bland, chefe de estratégia de cibersegurança da Snowflake. “Tivemos um aumento nas volumes de dados, e é difícil ter visibilidade em todos os dados de segurança que você precisa — todos os seus dados de segurança e fontes nas quais você precisa ter visibilidade — e depois também é difícil retê-los e mantê-los de forma pesquisável pelo tempo que você precisar”.
A parceria entre Anvilogic e Snowflake provavelmente fará sentido para empresas que já estão comprometidas com a plataforma de dados, pois a parceria com fornecedores de análise de cibersegurança fornecerá benefícios adicionais, que um provedor de SIEM autônomo talvez não forneça, diz Allie Mellen, analista principal de segurança e risco na Forrester Research.
“Isso é atraente para organizações que já estão aproveitando a plataforma de dados para operações de TI, produtos ou outros casos de uso, pois pode ajudar a apoiar os esforços de consolidação de dados e possibilitar melhores práticas de governança de dados”, diz ela. “No entanto, é desafiador para os profissionais aproveitarem, pois significa gerenciar vários fornecedores diferentes para diferentes elementos do que normalmente seria uma única plataforma de análise de segurança”.
Ambas Anvilogic e Snowflake argumentam que a era dos produtos SIEM monolíticos está chegando ao fim. Em vez disso, as empresas precisam gerenciar efetivamente seus dados e disponibilizá-los para casos de uso específicos, seja inteligência de negócios ou inteligência de ameaças. Com a parceria Anvilogic e sua capacidade de trabalhar ao lado de sistemas SIEM legados, a Snowflake pretende permitir que as empresas migrem gradualmente para uma arquitetura centrada em dados, afirma Bland da Snowflake.
“Cada cliente com quem falei está pronto para terminar seu relacionamento com seu SIEM legado, mas eles simplesmente não sabem como,” diz ele. “Eles construíram painéis e detecções nos últimos cinco anos, ou poderia ser que sintam que têm outras iniciativas concorrentes e não têm certeza se querem correr o risco de um completo ‘rasgar e substituir’ agora”.
As empresas também se beneficiam de trabalhar nativamente na nuvem, enquanto muitos sistemas SIEM tradicionais adicionaram operações em nuvem após começarem como appliances ou como aplicativos executados dentro de data centers.
Com grande parte das operações de negócios acontecendo na nuvem, as plataformas de cibersegurança não nativas estão em desvantagem, diz Saryu Nayyar, CEO da empresa de análise de cibersegurança concorrente Gurucul.
“Os SIEMs legados são legados por um motivo — há tecnologia muito melhor disponível hoje”, diz ela. “Acho que essa é a causa raiz por trás de muitas dessas fusões. Na tentativa de preencher as deficiências em suas plataformas SIEM, os fornecedores estão juntando capacidades que não foram projetadas para funcionar de forma unificada e provavelmente não funcionarão tão cedo”.
No entanto, enquanto o mercado tradicional de SIEM certamente passa por uma evolução desafiadora, os principais players continuam a se beneficiar do foco em integração estreita com terceiros e outras relações existentes, diz Mellen da Forrester.
“No final das contas, é uma questão de compensações”, diz ela. “Usar uma plataforma de dados como a Snowflake é uma oportunidade para algumas empresas consolidarem o armazenamento e o acesso aos dados comerciais. No entanto, isso traz desafios, como gerenciar a arquitetura de dados e aproveitar parceiros de terceiros para análises, automação e gerenciamento de pipeline de dados”.
