Open XDR , Güvenlik Bilgileri ve Olay Yönetimi (SIEM), Güvenlik Operasyonları
Cisco’nun Planladığı 28 Milyar Dolarlık Splunk Satın Alımı, XDR ve SIEM’in Yan yana Çalışabileceğini Gösteriyor
Michael Novinson (MichaelNovinson) •
21 Eylül 2023
Sonuçta SIEM’in yaşam desteğine bağlı olmadığı ortaya çıktı.
Ayrıca bakınız: Tedarik Zinciri Riskinin Değerlendirilmesi ve Azaltılması
Cisco, kuruluşların güvenlik operasyon merkezi temellerini yakın zamanda hurdaya çıkarmayacağına inanmak için 28 milyar neden sunuyor. Diğer güvenlik teknolojisi türlerine sahip rakipler, yıllardır SIEM’in ölüm ilanını yazmaya çalışıyor. Aralık 2022’de Palo Alto Networks CEO’su Nikesh Arora, “SIEM kategorisinin ortadan kaldırılması ve değiştirilmesi gerektiğine çok güçlü bir şekilde inanıyorum” dedi (bkz: Palo Alto CEO’su: ‘SIEM’in Ortadan Kaldırılıp Değiştirilmesi Gerekiyor’).
Secureworks’ten Ryan Alban, Ağustos 2022’de Information Security Media Group’a, XDR’nin yüksek hacimli verilerdeki tehditleri tespit etmek için gelişmiş teknikler kullandığını, SIEM’in ise sinyali tespit edecek güç veya analitikten yoksun olduğunu söyledi. SentinelOne’dan Nicholas Warner, SIEM’lerin uyarılar konusunda harekete geçmeme ve veri katmanı için üçüncü taraflara güvenme konusunda sıkıntı yaşadığını ve bu durumun satıcıların teknoloji yol haritasını riske attığını söyledi.
Tüm şüphelere rağmen SIEM kalıcı olacak gibi görünüyor. Cisco’nun, SIEM’in babalarından birini satın almak için 28 milyar dolar ayırmaya istekli olması, işletmelerin mevcut SIEM dağıtımlarını söküp yerine XDR’yi koymayı planlamadıklarını gösteriyor. Gartner’dan Mitchell Schneider bunun nedeninin SIEM’in analizler, kontrol panelleri ve raporlar konusunda daha fazla esneklik sunarken XDR için anahtar teslim dağıtım seçeneklerinin daha az esneklik sağlaması olduğunu söyledi (bkz: Cisco, 28 Milyar Dolarlık Splunk Satın Alımıyla XDR ve SIEM’i Bir Araya Getirecek).
Schneider Perşembe günü ISMG’ye “SIEM’in hala güvenlik operasyonları merkezinin merkezi olarak satın alındığını görüyoruz” dedi. “Genellikle XDR’nin SIEM’i güçlendirmek için satın alındığını görüyoruz. Bunun tam tersini görmüyoruz. XDR’nin SIEM’in yerini aldığını görmüyoruz. Onu daha çok bir artırıcı veya katkıda bulunan ve mevcut SIEM veya SOAR yeteneklerini tamamlayan bir şey olarak görüyoruz. “
‘SIEM ve XDR Bir Süre Daha Yanyana Olacak’
Splunk’ın 2004 yılındaki kuruluşu, onu SIEM satıcılarının ilk dalgasının bir parçası haline getirdi ve Schneider’e göre şirket, kendisini kısa süre içinde 2003 yılında kurulan LogRhythm’in yanı sıra Ekim 2011’de IBM tarafından satın alınan QRadar’a karşı rekabet ederken buldu. Daha sonra 2010’ların başında, çok sıcak girişimler Exabeam ve Securonix’in liderliğinde bağımsız bir kullanıcı ve varlık davranışı analitiği pazarının ortaya çıktığını söyledi.
Schneider, 2010’lu yıllar ilerledikçe UEBA ve SIEM pazarlarının birbirine yakınlaşmaya başladığını söyledi. UEBA, günlük yönetimi gibi SIEM temellerini sunarken, SIEM de kendi UEBA özelliklerini geliştirdi. Daha sonra 2019’da Microsoft, bulutta yerel Azure Sentinel teklifiyle SIEM pazarına girdi. Microsoft, SIEM alıcılarıyla çalışma deneyimi olmamasına rağmen geçen yıl uygulama yeteneğinde pazarı ezdi (bkz: Microsoft, IBM ve Splunk SIEM Gartner Magic Quadrant’a Hakim Oluyor).
Schneider, “SIEM ve XDR bir süre daha yan yana olacak ve farklı türden alıcılar ve müşteriler için kullanılacaklar” dedi. “Kaynaklara sahip olan ve operasyonlarını nasıl yürütecekleri konusunda biraz daha fazla esnekliğe ihtiyaç duyan olgun müşteriler, bir SIEM. Bırakın kaynakları, güvenlik teknolojisine bile çok fazla yatırımı olmayan kuruluşlar XDR’yi daha çekici bulabilir.”
Cisco’nun Splunk’u satın alması 2024 yazında sona erdiğinde, ortak şirket hem Splunk’un Gartner’ın dokuz yıldır alanda lider olarak adlandırdığı SIEM’i hem de daha geçen ay müşterilerin kullanımına sunulan Cisco XDR’yi sunacak. Schneider, Cisco’nun SIEM alıcılarıyla çok az teması olduğundan Cisco’nun teknik ve satış tarafında Splunk’un personelini, kaynaklarını ve uzmanlığını kullanmasını bekliyor (bkz: Cisco’nun Yeni XDR Aracı Güçlü Telemetri Korelasyonunu Vurguluyor).
‘Çakışan Çözümler ve Sınırlı Entegrasyon’ Çevresindeki Riskler
Anahtar sorulardan biri, Cisco’nun Splunk işini kapanıştan sonra uzun bir süre ayrı tutmayı planlayıp planlamadığıdır; Schneider bunun bunun gibi büyük satın almalarda oldukça yaygın olduğunu söyledi. Mevcut Splunk müşterileri, Cisco’nun Splunk teknolojisinin lisanslama, paketleme ve tedarikini değiştirmeyi planlayıp planlamadığını veya güvenlik yetenekleri ve işlevleri için yol haritasını ayarlamayı planlayıp planlamadığını yakından izlemelidir.
Schneider, Cisco’nun SIEM, UEBA ve hatta SOAR yeteneklerini kesinlikle 28 milyar dolardan çok daha düşük bir fiyata satın alabileceğini söyledi. Ancak Schneider’e göre Splunk’ın güvenlik operasyonlarını ve BT gözlemlenebilirliğini tek bir platformda bir araya getirme yeteneği onu alandaki diğerlerinden farklı kılıyordu.
Cisco, müşteri kesintisini en aza indirirken, beklenen teknoloji sinerjilerini yakalamayı sağlamaya odaklanacak. Bu yıl ağ ve güvenlik araçlarında artık birbirlerinden farklı görünmemeleri ve hissettirmemeleri için ortak bir tasarım dilini uygulamaya koyan Cisco için satın almaları özetlemek zor oldu. Cisco tarafından satın alınacak gelecekteki ürünlerin tasarım sistemine dahil edilmesi bekleniyor (bkz: Jeetu Patel, Cisco Security’de Tutarlı Bir Tasarıma Sahip Olmayı Anlatıyor).
Schneider, “Gördüğüm kadarıyla, inorganik satın alma teknolojiyi sağlıyor ancak çoğu zaman örtüşen çözümlere ve ürün hatları içinde ve arasında sınırlı entegrasyona yol açabiliyor” dedi. “Bu, müşteride kafa karışıklığının yanı sıra çözümlerin optimum düzeyde yönetilmemesi ve işletilmesine neden olabilir. Ancak elbette bu, tüm satın almalar için geçerli değil.”