作者：郝俊慧 來源：IT時報

　　9月21日晚，一則突發(fā)的收購案讓國內(nèi)一眾安全廠商都為之一振。思科宣布以280億美元的價格收購Splunk，折合約2047 億元人民幣，收購價接近思科總市值的13%，是思科史上最大的一筆收購。

　　“中國網(wǎng)絡安全產(chǎn)業(yè)一年營業(yè)額不到千億，中國幾個頭部安全廠商市值加起來可能也不到2000億?！彬v訊安全副總經(jīng)理洪春華認為，對于相對碎片化的國內(nèi)安全市場而言，這起2023年最大的技術交易是一劑強心針。

價值千金的日志

　　Splunk，何方神圣？

　　不少報道中，它被定義為網(wǎng)絡安全公司，但在洪春華看來，Splunk首先是一家大數(shù)據(jù)廠商，其次才是一家安全廠商。

　　事實上，占Splunk六至七成營收的SIEM（安全信息與事件）產(chǎn)品，正是基于其底層大數(shù)據(jù)平臺，將分散的安全設備、安全策略、安全日志進行統(tǒng)一管理的綜合性安全運營中心（SOC)。

　　站在生產(chǎn)力層面上看，Splunk是一個發(fā)現(xiàn)和索引日志文件的工具，并協(xié)助企業(yè)從數(shù)據(jù)中提取信息，Splunk采用索引存儲數(shù)據(jù)，消除了對獨立數(shù)據(jù)庫的需求，有效降低了成本。

　　之所以被定位于安全公司，是因為安全日志分析已經(jīng)成為安全廠商必不可少的功能。

　　日志分析在安全場景上最典型的應用場景是：當威脅情報顯示某個二進制文件被爆出有安全問題，而這個二進制文件已經(jīng)被廣泛應用了一年時間，企業(yè)需要快速知道自己平臺上有多少涉及這個二進制文件的內(nèi)容，需要對自己過去一年的日志進行回掃。這時候，日志平臺性能不夠的話，企業(yè)就無法及時查詢到自身平臺上的情況，甚至根本查詢不了。

　　Splunk的獨到之處恰恰在于強大的數(shù)據(jù)處理和分析能力，據(jù)其官網(wǎng)介紹，每天可以監(jiān)控、收集和處理來自不同來源的數(shù)十TB的數(shù)據(jù)，包括結構和非結構數(shù)據(jù)，并在幾秒鐘內(nèi)解決威脅，而不是以往的幾分鐘或幾小時。

　　這種將威脅情報、基于風險的警報和行為分析有機結合，從而可以威脅溯源、威脅分析、運維監(jiān)控的安全方式，近幾年來成為全球數(shù)據(jù)廠商和云廠商主要關注的焦點，成立不久的日志分析公司往往很快成為“搶手貨”，2021年剛成立的分析型數(shù)據(jù)庫企業(yè)Clickhouse，估值已達20億美元。

會有中國版Splunk嗎？

　　無獨有偶，就在收購發(fā)生前一天，9月20日，騰訊安全發(fā)布了一款云原生安全數(shù)據(jù)湖產(chǎn)品，憑借幾項核心技術創(chuàng)新，騰訊安全將日志分析的性能達到了PB級別的數(shù)據(jù)秒級查詢，同時成本僅僅只有同類開源軟件方案的不到1/10。

　　雖是巧合，卻也早有跡可循。早在2020年開始，騰訊安全便注意到，傳統(tǒng)安全廠商仍然依賴于底層ES、Hadoop等幾代之前的技術做安全分析，而隨著數(shù)據(jù)成為生產(chǎn)要素，數(shù)據(jù)治理的能力變得至關重要。

　　經(jīng)過兩年多的技術研發(fā)，騰訊安全最新發(fā)布的云原生數(shù)據(jù)湖，專注海量日志數(shù)據(jù)分析，可以將網(wǎng)絡流量、系統(tǒng)日志、應用日志、安全產(chǎn)品告警等海量數(shù)據(jù)低成本存入安全數(shù)據(jù)湖平臺，實現(xiàn)了PB級別的數(shù)據(jù)秒級查詢。

　　它會成為中國版Splunk嗎？

　　作為一款騰訊旗下的安全產(chǎn)品，截至目前，云原生安全數(shù)據(jù)湖還并未獨立對外展開服務。洪春華透露，在騰訊內(nèi)部，數(shù)據(jù)湖作為被集成的底座，會被集成SOC（安全運營中心）和NDR、零信任、云原生安全等方面的產(chǎn)品，用以騰訊生態(tài)里的數(shù)據(jù)存儲、分析及后續(xù)使用，一部分安全能力也會下沉到底層引擎里，與數(shù)據(jù)庫融為一體，不過，“外部廠商感興趣的也很多，因為很多客戶在應用XDR（可擴展安全檢測與響應）后，發(fā)現(xiàn)一旦數(shù)據(jù)量上去，便算不過來，成本也很高。產(chǎn)品發(fā)布后，最近幾天來咨詢的人很多?！?/p>

　　據(jù)洪春華介紹，對外提供獨立的產(chǎn)品已在計劃中，“目前正和一些合作伙伴聊合作，但我們希望走得更穩(wěn)健一些?！?/p>

　　據(jù)了解，除騰訊之外，國內(nèi)目前還未有其他廠商推出類似基于云原生架構的安全數(shù)據(jù)湖產(chǎn)品，但從全球趨勢來看，無論國內(nèi)有沒有身價能與Splunk相媲美的安全公司，以云原生架構進行數(shù)據(jù)治理，已是大勢所趨。

　　9月21日收盤時，Splunk 股價上漲 21%，而思科股價下跌 4%，這似乎側面印證了對Splunk“云化”不確定性的擔憂。

　　一位分析師在電話會議中指出，Splunk在向云遷移方面被認為是有些落后了，其大部分業(yè)務仍來自本地數(shù)據(jù)中心產(chǎn)品，并質(zhì)疑思科為何不選擇那些擁有更現(xiàn)代化架構的、規(guī)模更小一些的公司。

　　 相較而言，另一家云數(shù)據(jù)實時監(jiān)控公司Datadog則更令市場放心，從一開始便基于云原生技術的它，在一切向云而行的當下，顯然彈性空間更大。