2016年8月10日,Gartner发布了2016年度的SIEM市场分析报告(MQ幻方图)。
Gartner认为,攻击检测与响应成为了驱动SIEM市场蓬勃发展的主导驱动力。同时,合规管理依然是另一个SIEM的重要驱动力。Gartner预计到2017年,至少60%的SIEM厂商集成安全分析和UEBA(用户与实体行为分析)功能到他们的产品中。
首先,我们一起来看看MQ矩阵:
对比一下2015年度的MQ矩阵:
可以看出:
1)SIEM三强又发生了变化。去年是McAfee(Intel Security)掉队,这次轮到HPE掉队了。HPE的Arcsight首次退出三强之列,并且大幅下滑,现在变成了IBM QRadar, Splunk和LogRhythem新三强。可以说,这是Arcsight首次退出三强,值得仔细研究。Gartner依然认为Arcsight太贵,部署和实施成本太高、用起来太复杂。此外,虽然Gartner报告中没有提及,但事实上他们的人才流失比较多,产品架构迟迟未能升级换代。Gartner说Arcsight正在重构其核心技术平台架构,但愿不晚。在另外一份《SIEM关键能力》的分析报告中,Arcsight在各个用例中的评分表现都不算突出,要不是因为HPE积累的品牌和口碑(老本),估计都快要掉出第一象限了。
2)Splunk继续进步,Garnter对其推崇有加。Splunk推出了一个新的套件,称作安全情报平台(SIP),包括了原来的Splunk Enterprise(底层平台)和Splunk Enterprise Security(SIEM功能模块),同时还整合了其在2015年中收购的Caspida,推出了Splunk UBA。其产品可以部署在公有云或者私有云中,也提供SaaS服务模式。总之,各种功能和技术都是Gartner喜欢的。我也查看了Gartner网站上收集的客户反馈,对Splunk的赞扬较多。当然,Splunk也并未无懈可击。一方面是其使用成本较高,对使用者的要求较高,需要熟悉SPL查询语言。而系统内置的策略较少,很多时候都需有经验的分析师进行策略定制。另外,就是计价模式,他是按照日志存储量来计费的,往往价格奇高。而这两点对于中国客户而言更是雪上加霜,直接阻碍了其在中国的市场表现。事实上,在Gartner的全球安全市场份额报告中,Splunk在中国的销量不再国外厂商的三甲之列。
从全球SIEM市场方面来看,整体表现强劲,总量从2014年的16.7亿美元跃升到2015年的17.3亿美元。根据报告《 Forecast Analysis: Information Security, Worldwide, 1Q16 Update》,SIEM在各个细分市场中的增长率是位居上游的,预计2016年将达到18.6亿美元。而Gartner的成熟度曲线将SIEM列入成熟市场。跟国内SOC市场的分布类似,国际SIEM市场也是少数大厂占据大部分市场份额,头四个厂商占据了60%的市场份额,并且除了LogRhythm,其他大厂都是综合性安全厂商。我在想,谁会收购LogRhythm呢?由于市场竞争激烈,在业务模式上,很多厂商都在开展SaaS服务(SIEM-as-a-Service),或者与MSS对接。甚至有些未列入MQ的纯SaaS的SIEM厂商(譬如Sumo Logic)。
在产品功能方面,Gartner发现,SIEM厂商纷纷加入威胁情报、异常检测、行为监测、UBA功能,还有调查工作流和案例管理(Case Mgmt)功能。还有几个领先的SIEM厂商在将其产品与大数据平台进行整合。
Garnter认为所谓的大规模SIEM部署的指标是:接入900个以上日志源,持续EPS在15000以上,存储不小于10TB。
Gartner也留意到了一些开源的项目,诸如ELK,OpenSOC,Apach Metron,以及对现有市场的影响(很小)。
【参考】
Gartner:2015年SIEM(安全信息与事件管理)市场分析
Gartner:2014年SIEM(安全信息与事件管理)市场分析
Gartner:2012年SIEM(安全信息与事件管理)市场分析报告
评Gartner2010年安全信息和事件管理(SIEM)分析报告
Gartner公司对2009年安全信息和事件管理(SIEM)的分析报告