Wat Cribl kocht, en voor hoeveel

De deal verplaatst Cribl van leidingwerk naar detectie. Op 14 juli 2026 zei Cribl, waarvan het platform beveiligings- en observability-data routeert en hervormt, dat het CardinalOps zou overnemen, een AI-bedrijf voor detectie-engineering. Cribl noemde de prijs niet; berichten zetten die op ongeveer 100 miljoen dollar. CardinalOps werd begin 2020 opgericht door Michael Mumcuoglu en Yair Manor, veteranen van de Israelische Eenheid 8200 wier eerdere bedrijven door Palo Alto Networks en Microsoft werden gekocht, en Cribl opent een kantoor in Tel Aviv om het team te behouden.

Clint Sharp, medeoprichter en topman van Cribl, zei dat beveiligingsteams niet meer losgekoppelde tools nodig hebben, maar een betere manier om telemetrie in effectieve detecties te veranderen. Mumcuoglu zei dat aansluiten bij Cribl zijn team laat toe detectie rechtstreeks in de telemetrielaag te brengen. Javier Garcia Quintela, wereldwijd beveiligingschef van het Spaanse energieconcern Repsol, prees de combinatie omdat ze de detectie versterkt en tegelijk de kosten beheerst, wat het hele argument in een zin is.

Het kostenmodel van het SIEM is het echte doelwit

Wat wordt aangevallen is geen concurrentieproduct, het is een prijsgewoonte. Een klassiek SIEM vraagt u elk logbestand naar een centrale opslag te sturen, per gigabyte te betalen om het daar te houden, en nog eens te betalen om er detecties op te draaien. Toen de datavolumes groeiden met cloud- en AI-belastingen, werd die rekening een van de grootste en minst beheersbare posten in een beveiligingsbudget, en teams begonnen data weg te gooien die ze zouden moeten bewaren, alleen om de kosten te beteugelen.

Cribl zit al stroomopwaarts van die opslag en bepaalt welke telemetrie waarheen gaat. Door detectie-engineering toe te voegen, kan het aanbieden de detecties ter plaatse te draaien, op de pijplijn die de klant al beheert, in plaats van alles eerst door een SIEM per gigabyte te dwingen. Daarom kadert het bedrijf het resultaat als een open alternatief voor klassieke SIEM-architecturen en niet als nog een tool die ernaast is geschroefd.

Wat agentische detectie-engineering voor uw SOC betekent

Detectie-engineering is het glansloze werk dat bepaalt of een alarm ooit afgaat. Iemand moet de regels schrijven die een aanvaller vangen, ze afgestemd houden op echt aanvallersgedrag, de regels afvoeren die analisten met ruis overspoelen, en de gaten vinden waar niets kijkt. In de meeste beveiligingscentra gebeurt dit met de hand, traag, en het verrot in stilte terwijl aanvallers veranderen.

CardinalOps automatiseert die lus met AI-agenten: het meet uw detectiedekking tegen bekende aanvalstechnieken, markeert waar u blind bent, en stelt regels voor of repareert ze. Voor een eigenaar is de praktische belofte minder gemiste aanvallen en minder verspilde analistenuren, zonder een schaarse detectiespecialist aan te nemen. De praktische waarschuwing is dat een geautomatiseerde regelset toch menselijk eigenaarschap nodig heeft, want een detectie die u niet begrijpt is een detectie die u niet kunt verdedigen.

De afweging: een kleinere inleesrekening, een grotere enkele leverancier

Lagere kosten en meer concentratie zijn hier dezelfde beslissing. Detectie routeren via de pijplijn die u al beheert kan het volume echt verkleinen dat u een klassiek SIEM betaalt om in te lezen. Maar het geeft ook meer van uw beveiligingsstapel aan een leverancier: dezelfde leverancier vormt nu uw telemetrie, bepaalt wat u bewaart, en bezit steeds meer waarop u detecteert. Dat is hefboom, en hefboom duikt uiteindelijk op in een verlengingsofferte.

Niets hiervan maakt de deal slecht. Het maakt hem een keuze die een eigenaar bewust zou moeten maken in plaats van erin te glijden. De juiste vraag is niet of het aanbod van Cribl aantrekkelijk is, dat is het duidelijk, maar of u zich prettig voelt bij dezelfde firma die de leiding, de opslagbeslissing en de detectielogica houdt, en hoe uw uitstap eruitziet als dat pakket u niet meer dient.

Wat eigenaren nu moeten afwegen

U hoeft dit kwartaal niet te handelen, u moet lezen voordat u verlengt. Haal uw huidige SIEM-contract erbij en scheid twee getallen: wat u betaalt om data te centraliseren en te bewaren, en wat u betaalt voor de detecties die u werkelijk beschermen. Het Cribl-CardinalOps-model is een weddenschap dat die twee ontkoppeld kunnen worden en dat de meeste kopers te veel betalen voor het eerste om het tweede te krijgen.

Onder NIS2 en DORA is zwakke detectie nu evenzeer een nalevingsrisico als een beveiligingsrisico, want u moet ernstige incidenten tegen de klok opsporen en melden. Dat verhoogt de waarde van betere detectie-engineering en de kosten van het tolereren van blinde vlekken. Behandel deze overname als een aansporing om te vragen of uw SOC voor opslag of voor uitkomsten betaalt, voor uw volgende leveranciersgesprek, niet erna.