一、问题:传统SIEM成本高企,“看得见的数据”不足制约安全运营 长期以来,安全信息与事件管理(SIEM)是安全运营中心的重要底座,负责日志汇聚、关联分析、告警和溯源等工作。但实际使用中,许多组织陷入两难:一上攻击面不断扩大,日志与遥测数据快速增长;另一方面,传统按数据摄取量与存储量计费的模式持续推高成本,迫使安全团队缩小采集范围、缩短留存周期,甚至不得不丢弃大量数据。 业内人士指出,成本压力下造成的“数据不全”——容易带来检测盲区——影响事件调查与合规审计,安全运营效率也随之下降。 二、原因:数据体量增长与计费模式叠加,推动平台厂商寻求结构性替代 Lakewatch的推出,反映了两股趋势的叠加:其一,企业数字化进程加快,安全分析从“少量关键日志”走向“全量可观测数据”;其二,传统SIEM围绕“数据进入平台”收费,在数据越多越贵的现实下与安全需求发生冲突。 Databricks认为,高昂的摄取成本迫使团队丢弃大量数据,防御方因而只能看到有限的攻击线索。该公司提出以湖仓架构处理海量数据的成本优势,试图在数据留存与查询可用性之间找到更大的空间。 三、影响:成本结构与数据治理思路变化,或带来安全分析流程重塑 与传统SIEM不同,Lakewatch强调按安全团队实际使用的计算资源计费,而不是按摄取或存储计费。Databricks宣称,这种模式可支持更长周期的“热数据”可查询,并在总体拥有成本上更具优势。多家分析机构也指出,SIEM成本压力确实存在,不少组织因摄取定价而缩小数据保留范围,导致分析证据链不完整。 不过也有观点提醒,成本并不会消失,可能从“摄取与存储”转移到“计算与数据处理”。如果缺乏配额、作业治理和用量控制,计算开销仍可能快速累积,最终是否节省,取决于企业对查询、规则、模型与自动化作业的管理水平。 除成本外,Lakewatch引发关注的另一点是其架构路径:把数据治理、权限控制、数据接入与日志规范化纳入统一框架。有分析人士指出,该平台以Unity Catalog承担治理与访问控制,以Lakeflow Connect实现安全数据的摄取与流式传输,并引入开放网络安全模式框架(OCSF)对不同日志格式做标准化,从而将湖仓更变为安全运营的集中记录系统。 其潜在价值在于:安全数据不再孤立,可与业务、资产、身份等数据形成更完整的上下文,有助于提升告警研判质量、缩短排查路径,并为更大规模的自动化处置打基础。 四、对策:企业落地需审慎评估,从“成本测算”走向“能力体系”建设 业内普遍认为,评估此类新平台不应只看“降本”,而应从三上建立更可执行的评估框架: 第一,开展全生命周期成本测算。除平台费用外,应把计算、存储分层、数据处理流水线、人员运维与合规审计等纳入整体成本,并设定查询频次、规则数量、回溯周期等关键参数,形成可对比的测算口径。 第二,强化用量治理与安全治理协同。在按算力计费的模式下,作业调度、查询优化、权限边界、数据血缘与审计追踪会直接影响成本与风险控制,需要数据平台团队与安全团队共同制定配额、告警阈值和变更流程。 第三,以可验证用例建立信任。安全运营高度依赖稳定性与可解释性,建议从日志留存、威胁狩猎、合规审计、跨域关联分析等明确场景切入,逐步扩大覆盖面,同时与现有安全体系完成接口与流程适配。 五、前景:短期更可能“补位”而非“替代”,长期竞争取决于生态与可信度 多位分析人士判断,Lakewatch短期内更可能补充现有SIEM,而非立刻替代。早期采用者可能主要来自已深度使用Databricks的大型企业,尤其是对灵活性、数据留存与成本可控性要求更高的组织。对多数安全运营团队而言,基于数据平台的安全分析仍属新路径,能否在关键场景中形成稳定、可审计、可扩展的能力闭环,是获得CIO与CISO认可的关键。 同时,Databricks此前通过收购Antimatter与SiftD.ai等网络安全初创企业,发出持续投入安全领域的信号。业内观点认为,这些收购不仅用于补齐能力模块,也在引入安全领域经验与市场可信度。未来,平台能否围绕数据标准、检测内容、处置编排与合作伙伴集成形成生态,将决定其在安全分析市场中的竞争深度。
在安全数据规模持续膨胀、攻防对抗走向持续化与自动化的背景下,企业更需要的是“看得全、算得准、用得起”的安全运营体系。Lakewatch所代表的路径,反映出行业正从单点工具转向数据底座与运营体系的融合。但无论采用何种新平台,决定成败的仍是数据治理、用量控制与可验证的实战效果。未来一段时间,谁能在控制成本的同时提升检测与响应质量,谁就更可能在新一轮安全分析竞争中占据先机。