Databricks推出Lakewatch安全分析平台，挑战传统SIEM工具

数据仓库提供商Databricks近日预览了名为Lakewatch的全新开放式智能体安全信息和事件管理（SIEM）软件，这标志着该公司首次从数据仓储领域正式进军安全分析市场。

Databricks将Lakewatch定位为传统安全工具的低成本替代方案，认为将安全分析整合到其数据平台中可以降低总体支出。

Databricks Lakewatch总经理Andrew Krioukov向InfoWorld表示："现有解决方案的数据摄取成本迫使团队丢弃高达75%的数据，因此虽然攻击者可以使用AI在任何地方发起攻击，但防御者只能看到自己数据的一小部分。我们推出Lakewatch的目标就是缩小这一差距，因为我们的湖仓架构在处理海量数据方面具有独特的成本优势。"

Krioukov补充说："与其他SIEM平台不同，我们不根据数据摄取或存储量收费，而是根据安全团队使用的计算资源收费。这使组织能够在保持数年热数据可查询性的同时，实现高达80%的总拥有成本（TCO）降低。"

成本优势引发行业关注

分析师对Krioukov的观点表示部分认同。HyperFRAME Research的AI技术栈负责人Stephanie Walter表示："SIEM的成本问题确实存在。许多组织经常被迫丢弃数据，因为摄取定价使完整数据保留的成本过于高昂。"

HFS Research的副实践负责人Akshat Tyagi也认为，在某些情况下，特别是当企业希望保留大量数据时，Lakewatch确实可以降低成本。

然而，分析师警告称，节省可能并不那么直接，成本可能会转移到计算和数据处理方面，而不是完全消失。Moor Strategy and Insights首席分析师Robert Kramer表示："成本不会消失，只会转移。如果不控制使用量，计算成本可能会迅速累积。它可以更高效，但不会自动变得更便宜。"

技术架构创新带来结构性变革

除了成本因素，分析师认为Lakewatch为企业安全运营，特别是安全分析领域带来了渐进式的结构性变革。

Walter解释说，该平台整合了多个组件：Unity Catalog负责治理和访问控制，Lakeflow Connect用于摄取和流式传输安全数据，开放网络安全模式框架（OCSF）用于标准化不同的日志格式，有效地将湖仓转变为安全运营的集中记录系统。

Walter补充说，湖仓中所有合并数据提供的额外上下文信息，也很可能成为帮助企业通过智能体大规模自动化安全运营的催化剂。

市场接受度面临挑战

尽管如此，Databricks要将这些优势转化为CIO和CISO的近期认可可能具有挑战性。

Kramer表示："这更可能是补充现有SIEM而不是替代它们。早期采用将来自已经投入使用Databricks的大型企业，特别是那些寻求灵活性或成本控制的企业。虽然符合现有投资方向，但对于运营安全团队来说仍然是新领域。通过验证的用例建立信任将是关键。"

战略布局彰显长远规划

即便如此，Databricks通过收购Antimatter和SiftD.ai两家网络安全初创公司，显示了其认真的战略意图。分析师认为这些收购表明了其更广泛的安全路线图。

HyperFRAME Research的Walter表示："这看起来像是长期安全产品组合的基础，而不是一次性的SIEM功能。收购专注于安全的公司不仅仅是为了增加功能，更是为了引入可信度。安全买家信任具有领域深度的供应商，而不仅仅是基础设施规模。"

Q&A

Q1：Lakewatch与传统SIEM工具相比有什么优势？

A：Lakewatch的主要优势在于成本结构不同。传统SIEM按数据摄取量收费，导致企业丢弃75%的数据，而Lakewatch按计算资源使用量收费，可以实现高达80%的总拥有成本降低，同时保持数年的热数据可查询性。

Q2：Databricks进入安全分析市场的战略意图是什么？

A：Databricks通过收购Antimatter和SiftD.ai两家网络安全公司，显示其构建长期安全产品组合的意图。该公司希望利用其湖仓架构优势，将安全分析整合到数据平台中，为企业提供集中化的安全运营记录系统。

Q3：Lakewatch会完全取代现有的SIEM解决方案吗？

A：分析师认为不太可能完全取代。Lakewatch更可能是补充现有SIEM工具，早期采用者主要是已经使用Databricks的大型企业。对于运营安全团队来说这仍是新领域，需要通过验证用例来建立信任。