エージェンティックSIEMはコストを取り込みからコンピュートに移行し、エンタープライズセキュリティデータのより安価な保持とより深い分析を約束します。
Databricksは、Lakewatchという新しいオープンエージェンティックSecurity Information and Event Management ソフトウェア(SIEM)をプレビューしました。これは、データウェアハウジングを超えてセキュリティアナリティクスへの最初の意図的なステップを示しています。
データウェアハウスプロバイダーは、Lakewatchを従来のセキュリティツールの低コスト代替案として売り込んでおり、セキュリティアナリティクスをそのデータプラットフォームに統合することで全体的な支出を削減できると主張しています。
「現在、既存ソリューション(競合するSIEM)の取り込みコストにより、チームは最大75%のデータを破棄せざるを得ません。攻撃者はAIを使用してどこからでも攻撃できますが、防御側は自社のデータのごく一部しか見えません。Lakewatchでのわれわれの目標はこのギャップを埋めることです…なぜなら、当社のレイクハウスアーキテクチャは大量のデータを安価に処理するために独特に構築されているからです」とDatabricksのLakewatch一般管理者Andrew KrioukovはInfoWorldに語りました。
「他のSIEMプラットフォームとは異なり、われわれは取り込みまたは保存されたデータの量に基づいて課金するのではなく、セキュリティチームが使用するコンピュートに基づいて課金します。これにより、組織は総所有コスト(TCO)を最大80%削減できると同時に、コンプライアンスと脅威ハンティング用に数年分のホット、クエリ可能なデータを維持できます」とKrioukovは付け加えました。
アナリストもKrioukovに同意していますが、部分的にのみです。
「SIEMのコスト問題は実在します。多くの組織は、取り込み価格により完全な保持が法外に高くなるため、データを破棄することを余儀なくされることがよくあります」とStephanie Walter(HyperFRAME ResearchのAIスタックリーダー)は述べました。
対照的に、Lakewatchはいくつかのケースでコストを削減できます。特に企業が大量のデータを保持したい場合、HFS ResearchのAssociate Practice LeaderであるAkshat Tyagiはこれに同意しました。Akshat Tyagi
しかし、アナリストは、節約がより単純でない可能性があり、コストがまったく消えるのではなく、コンピュートとデータ処理にシフトする可能性があると警告しました。
「コストは消えません。シフトします。使用法が管理されていない場合、コンピュートは急速に累積できます。より効率的である可能性がありますが、自動的に安くはありません」とMoor Strategy and InsightsのPrincipal AnalystであるRobert Kramerは述べました。
しかし、コストを超えて、アナリストはLakewatchが企業がセキュリティ運用、特にアナリティクスをどのように実施するかの段階的な構造的シフトをもたらしていると述べています。
プラットフォームは、ガバナンスとアクセス制御のためのUnity Catalog、セキュリティデータの取り込みとストリーミングのためのLakeflow Connect、および異種ログ形式を標準化するためのOpen Cybersecurity Schema Framework (OCSF)などのコンポーネントを一緒に組み合わせ、実質的にレイクハウスをセキュリティ運用の集中化されたシステムオブレコードに変えるとWalterは述べました。
レイクハウス内の結合されたすべてのデータから追加されたコンテキストは、エージェントを使用してセキュリティ運用を規模で自動化するのに役立つ加速剤として機能する可能性も高いとWalterは付け加えました。
そうは言っても、これらの利点をCIOおよびCISOからの近い将来の支持に変換することは、Databricksにとって困難であることが判明する可能性があります。
「これは、既存のSIEMを置き換えるよりも既存のSIEMを補完する可能性が高いです。早期採用は、Databricksにすでにコミットしている大規模企業、特に柔軟性またはコスト制御を求めている企業から来るでしょう。それは既存の投資と一致していますが、運用セキュリティチームにとって新しい領域のままです。実証済みのユースケースを通じて信頼を構築することが重要になるでしょう」とKramerは述べました。
それでも、Databricksは、2つのサイバーセキュリティスタートアップAntimatterとSiftD.aiの買収により、真摯な意図を示しており、アナリストはこれが今後のより広いセキュリティロードマップを指すと述べています。「これは、ワンオフなSIEM機能ではなく、長期的なセキュリティポートフォリオの基礎のようです。セキュリティ重視の企業を買収することは、機能を追加することについてではなく、信頼性をインポートすることについてです。セキュリティの購い手は、インフラストラクチャのスケールだけでなく、ドメイン深度を持つベンダーを信頼しています」とHyperFRAME ResearchのWalterは述べました。
この記事はもともとInfoWorldに掲載されました。
