หลายคนคงเคยได้ยินและรู้จัก SIEM มาแล้ว จากการเกิดขึ้นมาของ พรบ.คอมพิวเตอร์ ซึ่งจำเป็นต้องให้ผู้ใช้งาน หรือองค์การต่าง ๆ เก็บข้อมูลของผู้ใช้งานที่ต้องออกสู่โลกอินเตอร์เน็ต โดย SIEM มันเป็นมากกว่าการเก็บ Log เฉย ๆ แต่มันเป็นตัวที่จะนำ Data/Big Data มาทำการวิเคราะห์ ที่มาของ SIEM จึงย่อมาจาก Security information and event management (SIEM) คือระบบ เครื่องมือ และเทคโนโลยีที่ช่วยให้เจ้าของธุรกิจสามารถมองเห็นการรักษาความปลอดภัยข้อมูลขององค์กรได้อย่างสมบูรณ์ นำเสนอมุมมองด้านความปลอดภัยแบบองค์รวมที่เหนือกว่าโซลูชันแบบเดิมที่ผ่านมา
ที่มาภาพ: https://www.wallarm.com/what/siem-whats-security-information-and-event-management-technology-part-1
Log Server แบบเดิมที่ผ่านมาเป็นเพียงแค่เก็บ Raw Log ไว้ และมีหน้า Dashboard ไว้ดูความเป็นไปเท่านั้น แต่ SIEM มันไปไกลกว่านี้ ธุรกิจที่รับผิดชอบด้านความปลอดภัยทั้งขนาดเล็กและขนาดใหญ่มีทั้งอุปกรณ์ และโปรแกรมมากมายที่ให้การป้องกันและการรายงานด้านความปลอดภัย สิ่งเหล่านี้สร้างข้อมูลจำนวนมหาศาล – มีข้อมูลมากกว่าที่มนุษย์หรือตัวเก็บ Log Server จะประมวลผลได้ ดังนั้น SIEM เป็นระบบที่รวบรวม วิเคราะห์ และนำเสนอข้อมูลความปลอดภัยที่ทันสมัย เพื่อให้ผู้เชี่ยวชาญด้านความปลอดภัยและเจ้าของธุรกิจสามารถตอบสนองต่อภัยคุกคามได้ดีขึ้น สามารถค้นหาต้นตอของปัญหา (Root Cause) ได้เร็วมากยิ่งขึ้น หรือปรับเปลี่ยนนโยบายความปลอดภัยตามความต้องการ ผลลัพธ์ที่ได้คือ ลดเวลาในการบริหารจัดการ และช่วยให้เราเห็นข้อมูลทั้งหมดที่วิ่งอยู่จากการวิเคราะห์ของ SIEM ในแบบ Realtime
เมื่อไปดูใน Magic Quadrant สำหรับ SIEM ในตลาดปัจจุบัน จะเห็นได้ว่ามีผู้เล่น (Player) ที่เป็นผู้นำ หรือ Leader ในตลาดอยู่ทั้งหมด 6 แบรนด์ประกอบไปด้วย Exabeam, IBM, Securonix, Splunk, Rapid7 และ LogRhythm ตามภาพที่อยู่ด้านล่างนี้ ซึ่งจะสังเกตเห็นได้ว่าตลาด SIEM ไม่มี Cisco บริษัทที่ทำตลาดอุปกรณ์ด้านความปลอดภัยมาอย่างช้านานอยู่ใน Magic Quadrant เลย แม้กระทั่ง Niche Players
Cisco Systems บริษัทเทคโนโลยียักษ์ใหญ่ด้านเครือข่ายของโลก โดยการนำของ Chuck Robbins ได้มีทิศทางให้บริษัทเป็นหนึ่งในบริษัทซอร์ฟแวร์ที่ใหญ่ที่สุดในโลก ที่ผ่านมาได้เล็งเห็นถึงความสำคัญของระบบรักษาความปลอดภัย และในช่วงไม่กี่ปีที่ผ่านมาก็ได้ทำการซื้อบริษัทต่าง ๆ เพื่อสนับสนุนซอฟต์แวร์ ความปลอดภัย และสแต็คคลาวด์
ในปี 2013 Cisco ได้เข้าซื้อ Sourcefire มูลค่า 2.7 พันล้านดอลลาร์ ปัจจุบันได้กลายเป็น Cisco FirePOWER อุปกรณ์ที่มาแทนที่ PIX และ ASA Firewall ของ Cisco ในอดีตที่ผ่านมา นอกจากนี้ ในปี 2017 ใช้เงิน 3.7 พันล้านดอลลาร์เพื่อซื้อ AppDynamics ซึ่งมีความสามารถในการวิเคราะห์ข้อมูล ที่ผู้เชี่ยวชาญหลายคนอธิบายว่าคล้ายกับ Splunk ในปี 2018 Cisco ซื้อ Duo Security ซึ่งเป็นระบบการตรวจสอบสิทธิ์แบบ 2FA (Two Factor Authentication) ข้อตกลงนี้มีมูลค่าเกือบ 2.4 พันล้านดอลลาร์ เวลาต่อมาไม่นาน ซิสโก้ประกาศซื้อกิจการ PortShift ในปี 2020 เพื่อเพิ่มขีดความสามารถด้านความปลอดภัยใน Kubernetes และซิสโก้ได้สนับสนุนการขยายพอร์ตโฟลิโอ AppDynamics ด้วยการเข้าซื้อกิจการของ ThousandEyes ผู้ให้บริการเครือข่ายอัจฉริยะ ซึ่งเป็นมูลค่า 1 พันล้านดอลลาร์ ในปี 2020 โดยสามารถวิเคราะห์ ช่วยให้องค์กรต่าง ๆ มีมุมมองแบบ end-to-end ในการส่งมอบแอปพลิเคชันและบริการทางอินเทอร์เน็ตแบบดิจิทัล Cisco และ ThousanEyes ช่วยให้ระบุจุดบกพร่องและปรับปรุงประสิทธิภาพของเครือข่ายและแอปพลิเคชันทั่วทั้งเครือข่ายองค์กรและคลาวด์ได้เป็นอย่างดี
ในปี 2022 วันที่ 11 กุมภาพันธ์ที่ผ่านมา ได้มีข่าวลือว่า Cisco กำลังเดินหน้าซื้อยักษ์ SIEM อย่าง Splunk มูลค่ากว่า 20 พันล้านดอลลาร์ ซึ่งถ้า Deal นี้สำเร็จ ถือว่าเป็นเงินก้อนที่มากที่สุดในประวัติศาสตร์ตั้งแต่ Cisco ได้ทำการซื้อบริษัทเข้ามาเลยทีเดียว
ที่มาภาพ: https://www.helpnetsecurity.com/2019/10/23/splunk-security-operations-suite/
โดย Splunk เองจะเข้ามาเติมช่องว่างของส่วนประกอบที่ขาดหายไป ในระบบรักษาความปลอดภัยหรือ Fabric ของ Cisco และจะทำให้ Cisco สามารถเอาชนะคู่แข่งด้านความปลอดภัยได้หรือไม่ อนาคตที่จะมาถึงจะเป็นเครื่องมือในการพิสูจน์อีกครั้งนึงครับ