思科2000亿收购Splunk 今年科技圈最大收购案为何发生在这个赛道？

作者：郝俊慧 来源：IT时报

　　9月21日晚，一则突发的收购案让国内一众安全厂商都为之一振。思科宣布以280亿美元的价格收购Splunk，折合约2047 亿元人民币，收购价接近思科总市值的13%，是思科史上最大的一笔收购。

　　“中国网络安全产业一年营业额不到千亿，中国几个头部安全厂商市值加起来可能也不到2000亿。”腾讯安全副总经理洪春华认为，对于相对碎片化的国内安全市场而言，这起2023年最大的技术交易是一剂强心针。

价值千金的日志

　　Splunk，何方神圣？

　　不少报道中，它被定义为网络安全公司，但在洪春华看来，Splunk首先是一家大数据厂商，其次才是一家安全厂商。

　　事实上，占Splunk六至七成营收的SIEM（安全信息与事件）产品，正是基于其底层大数据平台，将分散的安全设备、安全策略、安全日志进行统一管理的综合性安全运营中心（SOC)。

　　站在生产力层面上看，Splunk是一个发现和索引日志文件的工具，并协助企业从数据中提取信息，Splunk采用索引存储数据，消除了对独立数据库的需求，有效降低了成本。

　　之所以被定位于安全公司，是因为安全日志分析已经成为安全厂商必不可少的功能。

　　日志分析在安全场景上最典型的应用场景是：当威胁情报显示某个二进制文件被爆出有安全问题，而这个二进制文件已经被广泛应用了一年时间，企业需要快速知道自己平台上有多少涉及这个二进制文件的内容，需要对自己过去一年的日志进行回扫。这时候，日志平台性能不够的话，企业就无法及时查询到自身平台上的情况，甚至根本查询不了。

　　Splunk的独到之处恰恰在于强大的数据处理和分析能力，据其官网介绍，每天可以监控、收集和处理来自不同来源的数十TB的数据，包括结构和非结构数据，并在几秒钟内解决威胁，而不是以往的几分钟或几小时。

　　这种将威胁情报、基于风险的警报和行为分析有机结合，从而可以威胁溯源、威胁分析、运维监控的安全方式，近几年来成为全球数据厂商和云厂商主要关注的焦点，成立不久的日志分析公司往往很快成为“抢手货”，2021年刚成立的分析型数据库企业Clickhouse，估值已达20亿美元。

会有中国版Splunk吗？

　　无独有偶，就在收购发生前一天，9月20日，腾讯安全发布了一款云原生安全数据湖产品，凭借几项核心技术创新，腾讯安全将日志分析的性能达到了PB级别的数据秒级查询，同时成本仅仅只有同类开源软件方案的不到1/10。

　　虽是巧合，却也早有迹可循。早在2020年开始，腾讯安全便注意到，传统安全厂商仍然依赖于底层ES、Hadoop等几代之前的技术做安全分析，而随着数据成为生产要素，数据治理的能力变得至关重要。

　　经过两年多的技术研发，腾讯安全最新发布的云原生数据湖，专注海量日志数据分析，可以将网络流量、系统日志、应用日志、安全产品告警等海量数据低成本存入安全数据湖平台，实现了PB级别的数据秒级查询。

　　它会成为中国版Splunk吗？

　　作为一款腾讯旗下的安全产品，截至目前，云原生安全数据湖还并未独立对外展开服务。洪春华透露，在腾讯内部，数据湖作为被集成的底座，会被集成SOC（安全运营中心）和NDR、零信任、云原生安全等方面的产品，用以腾讯生态里的数据存储、分析及后续使用，一部分安全能力也会下沉到底层引擎里，与数据库融为一体，不过，“外部厂商感兴趣的也很多，因为很多客户在应用XDR（可扩展安全检测与响应）后，发现一旦数据量上去，便算不过来，成本也很高。产品发布后，最近几天来咨询的人很多。”

　　据洪春华介绍，对外提供独立的产品已在计划中，“目前正和一些合作伙伴聊合作，但我们希望走得更稳健一些。”

　　据了解，除腾讯之外，国内目前还未有其他厂商推出类似基于云原生架构的安全数据湖产品，但从全球趋势来看，无论国内有没有身价能与Splunk相媲美的安全公司，以云原生架构进行数据治理，已是大势所趋。

　　9月21日收盘时，Splunk 股价上涨 21%，而思科股价下跌 4%，这似乎侧面印证了对Splunk“云化”不确定性的担忧。

　　一位分析师在电话会议中指出，Splunk在向云迁移方面被认为是有些落后了，其大部分业务仍来自本地数据中心产品，并质疑思科为何不选择那些拥有更现代化架构的、规模更小一些的公司。

　　 相较而言，另一家云数据实时监控公司Datadog则更令市场放心，从一开始便基于云原生技术的它，在一切向云而行的当下，显然弹性空间更大。