安全牛 - 从SIEM老大并购自动化编排公司Phantom想到的

3月1日,Splunk意图以3.5亿美元收购Phantom网络公司的消息放出。就像几年前IBM并购 Resilient Systems 一样,Splunk决定向其安全信息与事件管理(SIEM)平台中加入专用的安全运营自动化与编配工具集。

Splunk并购Phantom的四大原因

Splunk为什么会做出这个并购决定呢?因为它想做下面4件事:

锚定其自适应响应计划

过去几年,Splunk支持名为适应性响应的框架,该框架提供安全分析与安全控制间的闭环过程自动化。分析工具可以被设置为在检测到问题时触发某种形式的响应,比如执行漏洞扫描、创建新的防火墙规则、隔离向命令与控制服务器发出消息的网络节点等。
虽然Splunk仍将向其他平台(Demisto、Resolve Systems、Siemplify、ServiceNow、Swimlane等)开放自适应响应,Phantom将成为其实际上的过程自动化/编配粘合剂。希望Splunk会开始众包自适应响应方法,就像它之前在dashboard方面的成功案例一样。
利用市场动能
安全运营自动化和编配已经开始加速发展。企业战略集团(ESG)的研究表明,19%的企业组织(比如超1000员工数的企业)已经在广泛引入安全运营自动化和编配技术,39%正有限度的开展此项工作,26%参与了增加安全运营自动化与编配技术的项目,13%计划在未来实现安全运营自动化与编配技术。Splunk在过去就支持该市场增长,如今该公司可推动并利用此趋势了。

帮助客户增加生产力

企业拥抱安全运营自动化与编配的原因很简单,因为他们的安全团队已经应付不来日渐增多的安全警报、调查和修复任务了。
在全球信息安全人才短缺情况十分严峻,51%的企业坦陈头疼网络安全人手不足问题的形势下,安全运营自动化与编配技术就显得特别重要了。
Splunk想用Phantom令其客户更具生产力,解放他们的时间,让他们利用核心Splunk来收集、处理和分析更多数据

继续打造企业级SOAPA

Splunk一直在围绕其核心SIEM添加功能,比如行为分析、监管合规、欺诈检测和内部人威胁检测。
在本次并购之前,Splunk与其合作伙伴就有着坚实有效SOAPA产品。随着Phantom的加入,Splunk的SOAPA功能就更加强大,覆盖面也更广了。这就让Splunk可以进行跨越数年的大型安全运营系统集成项目。主流系统集成商有望加入这个潮流。

未来

  • Splunk和Phantom如果与服务提供商合作,帮助企业打造和设计SOC,搞定常规事件响应计划(IR)。这可能是数亿美元级别的商业机会。
  • Phantom是安全自动化与编配领域的老玩家,具备扎实的理论基础,但受其规模和资源所限,它传播此知识的能力并不突出。Splunk应该能促进其市场营销、培训和教育,令安全自动化与编配概念更深入人心。
  • 时机就是一切。Splunk和Phantom应利用好未来几年里GDPR的部署、改进与市场对GDPR的恐慌情绪。
  • 该并购能进一步阐明市场,敲山震虎,让安全领域的其他厂商,比如 Check Point、思科、Forcepoint、飞塔、迈克菲、Palo Alto Networks和赛门铁克等,抓紧设置自己的安全运营自动化/编配提供商。