本文由云栈社区编译自 AI might be killing traditional SIEMs, but data advantage is as strong as ever。
想了解 AI 代理如何挑战传统 SIEM 平台的核心商业模式,并推动数据与工作流融合的新浪潮吗?从数据引力的弱化到工作流引力的崛起,这场变革正在重新定义安全运营的未来。
三年后,数据引力失效了
三年多前,我提出了“数据引力”概念——当越来越多的数据集中在一个地方时,收集这些数据的公司将获得巨大优势。在 2023 年 1 月(ChatGPT 发布两个月后),这个想法很有意义,但现在它已经不再适用。AI 智能体彻底改变了我们对数据的看法,我们必须重新讨论这对曾经的 SIEM、SOAR 以及两者之间所有平台意味着什么。
数据引力概念回顾
先快速回顾一下数据引力(摘自 2023 年的博客文章):
“[数据引力] 最早由软件工程师 Dave McCrory 在 2010 年提出。他观察到,随着数据聚集,它会形成‘质量’,吸引服务和应用程序。数据量越大,引力越强,服务和应用程序被吸引的速度越快。
数据引力引发了网络安全领域的巨大变革:安全数据正在向 Snowflake、BigQuery、Microsoft Azure Data Warehouse、Amazon Redshift 等平台迁移。随着数据量增加,迁移变得困难且成本高昂。Snowflake、Google、Amazon 和 Microsoft 清楚自己的优势,并通过提供自己的安全服务和建立市场来充分利用这一点。”
来源:《权力的游戏:网络安全中的数据引力、行业整合、平台化、私募股权与伟大的网络淘金潮》
自 2023 年以来,一切都在变,又都没变
读这篇文章很有趣,因为很多事情变了,很多没变。
没变的部分:
- SIEM 依然存在,Splunk 仍是最大玩家。Cribl 等数据管道工具本应终结 Splunk,却延长了它的主导地位——企业开始使用更便宜的数据存储,而 Cribl 让人们说“保留 Splunk,将部分数据发送到别处”。
- SIEM 仍占据企业安全预算的主要部分。尽管有附加组件和变通方案,SIEM 并未变得更便宜,数据量却在持续激增。
- 企业仍在集中化数据。曾有人认为数据存储位置无关紧要,但联邦模型并未实现。
表面上看一切没变,但深入挖掘会发现事实远非如此。
最大的转变由 AI 智能体引发。我并非谈论初创公司如何重新定义传统 SIEM(这固然是未来可能影响市场的因素),而是更根本的变化:AI 智能体并不关心数据存储在哪里。
AI 智能体挑战 SIEM 的商业模式
历史上,SIEM 平台按数据摄入量收费——你发送的数据越多,他们赚得越多。到 2026 年,有一件事变得非常清楚:AI 智能体并不关心数据存储在哪里。如果智能体能跨数十个数据源查询信息,通过友好的人类界面提供答案,企业为何还要将所有日志集中存储?这正是让大型 SIEM 公司和高管们彻夜难眠的问题。
我不是说要一年内 AI 智能体摧毁 SIEM,但你越思考,问题越有趣。核心是:AI 智能体是否已经足够强大,能直接查询数据所在位置? 答案是响亮的“是”。
因此,AI 智能体正在挑战 SIEM 背后的商业模式,削弱了 SIEM 厂商赖以获利的数据引力效应。
这是否意味着数据集中化的终结?绝对不是。数据价值太高,企业需要存储并集中化它。但越来越多企业会为不同类型数据创建几个独立的“孤岛”。实操中,越来越少企业会将高容量低价值的数据(如 GKE 日志、VPC 流日志)发送到 Splunk,因为智能体可以直接访问 GCP 或 AWS 解决告警。这种用例越多,传统 SIEM 就越被削弱。
数据引力减弱,工作流引力增强
数据引力在减弱,但工作流引力在增强。我之前解释过,工作流引力指某个系统成为执行工作的核心平台,并利用这一地位吸引更多工作流。它创造了一个飞轮效应:
“所有工作被集中在一个地方,事件、变更、审批、例外、任务、证据等成为单一工作流系统的记录。系统使用越多,积累的上下文越丰富。一旦积累了业务和技术上下文以及变更历史,就能实现自动化分类、路由、优先级排序、审批和修复。自动化程度越高,外部内容越可能被整合进来。”
来源:ServiceNow 正押注“工作流引力”以击败 Palo Alto、CrowdStrike、Cisco、Zscaler 和 Microsoft 的平台
虽然文章主要关于 ServiceNow,但这里很相关。SIEM 平台意识到仅作为带有规则的数据存储库已不够。数据引力减弱,工作流引力增强,聪明的 SIEM 玩家开始引入上下文和自主行动能力,推动了“数据与工作流交织”的趋势。
最终可能出现三种玩家
市场混乱时,每个人都在下注。如果按当前路径发展,我认为会出现三种主要玩家:
- 以数据为中心的平台:仍需要集中化、存储和查询数据,纯数据平台不会消失。但我不认为会出现新的十亿美元公司只做安全数据的摄入、标准化和存储。
- 以工作流为中心的平台:有些公司会加倍投入工作流,变得非常擅长。工作流引力效应提供了绝佳创新机会。在前 AI 时代,通常是 SIEM 收购 SOAR,但未来可能反转。
- 结合数据和工作流的平台:这将是最大最繁忙的类别:
- 新 AI SOC 和 AI MDR 玩家从头构建数据+工作流层。
- 新 AI 原生 SIEM 玩家尝试构建智能 SIEM,将工作流引入数据平台。
- 以前专注工作流(SOAR)的平台通过引入数据演变为 AI SOC。
- 以前定位 SIEM 的平台开始构建扩展到其他数据源的工作流。
本质上,每个人都在抢夺别人的午餐。
总结思考
观察 SIEM 和 SOAR 市场的发展令人着迷。上一代 AI(机器学习)加速了数据引力,新一代 AI(AI 代理)正在摧毁它。一些 SIEM 玩家扩展到数据之外,将价值转向行动系统;另一些则试图进入 SIEM 市场。
仿佛一切都在变,又都没变。没有公司能一次性做好所有事情,所以我们可能仍在构建下一代、下下一代 SIEM 和 SOAR。希望这次能比之前工作得更好。
有一点值得注意:虽然数据引力减弱,但已积累大量数据的公司优势并未减弱。借助 AI,数据越多,模型训练越好,客户价值越大——这是另一个话题,留待日后讨论。
引用链接
[1] AI might be killing traditional SIEMs, but data advantage is as strong as ever: https://ventureinsecurity.net/p/ai-might-be-killing-traditional-siems
[2] 《权力的游戏:网络安全中的数据引力、行业整合、平台化、私募股权与伟大的网络淘金潮》: https://ventureinsecurity.net/p/game-of-thrones-in-cybersecurity
[3] 最近解释过: https://ventureinsecurity.net/p/servicenow-is-betting-on-workflow
[4] ServiceNow 正在押注“工作流引力”以击败 Palo Alto、CrowdStrike、Cisco、Zscaler 和 Microsoft 的平台: https://ventureinsecurity.net/p/servicenow-is-betting-on-workflow
[5] 试图进入 SIEM 市场: https://www.databricks.com/blog/databricks-announces-lakewatch-new-open-agentic-siem
[6] Venture in Security 赞助商: https://ventureinsecurity.net/p/sponsor
发表于 3 小时前
|
查看: 2|
回复: 0
