2017年9月1日下班后,邮箱里出现了一封来自MicroFocus的邮件,里面宣布HPE软件部门的分拆和与MicroFocus的合并正式完成。我赶紧打开Arcisght的网页,果然,URL被重定向到了MicroFocus。看到此幕,令我唏嘘不已。
想起来,我其实对Arcsight还是比较有感情的。
我2001年在联想开始了SOC从业之旅。也就是在那个时候,我接触到了Gartner,并从此追踪它们的研究直到现在。
这是我当时所看到的第一份Garnter的报告(还有中文版哦。那时Gartner就已经进入中国了,在上海北京有办事处)。不得不说,现在还在跟Kelly Kavanagh打交道(他现在是SIEM MQ的主笔)。
在2003年的时候,我们团队开始着手调研全球的SIEM/SOC市场,以期进行引进合作(这里有一篇我2003年初写的调研报告——安全集中管理系统早期调研)。当时,我们还看到了Gartner第一篇有关安全管理平台的报告。那时候还没有SIEM这个术语,与之相近的市场细分包含了企业事件管理。下面这个MQ中的大部分厂商我们当时都有调研过。
那时候,安氏跟e-Security合作,引进他们的Sentinel;启明星辰则在后来跟NetForensics合作;绿盟自己做了个ESP。当时我们跟netForensics,IBM Tivoli都进行了谈判和产品评估,但都不是很理想,最后选定了Arcsight。当时,Arcsight才成立没几年,刚刚推出产品。但是Arcsight表现了巨大的诚意。在跟我们谈判期间,成立了亚太区,派香港人Robert担纲,并很快来到北京和我们具体商谈合作事宜。另一方面,我们团队进行了仔细的技术评估,也认可了Arcsight的技术。于是,我们后来经常说,是我们(联想)团队将Arcsight引入了中国。
2004年的时候,Gartner正式开始对安管平台进行MQ分析,如下图。
【注:上图是我去年才看到的,在当年可没有见过:-)】尽管我N年后才看到这个图,不过在2003年的时候,我们已经基本将这些公司分析了一遍。那时候,Arcsight还不算特别突出。当年最厉害的三个厂商是e-Security,netForensics,Intellitectics。
时至今日,这三个厂商都已经面目全非。e-Security后来被Novell收购,后来Novell以及NetIQ又被Attachmate收购,Attachmate又被MicroFocus收购。真累。所以多说一嘴,现在的MicroFocus其实有两套SIEM/安管平台/品牌了,包括Arcsight和NetIQ(NetIQ原始的SIEM在跟e-Security/Novell的Sentinel的PK中已经被干掉,但是胜出的Sentinel挂上了NetIQ品牌,够乱的)。现在登录MicroFucus的网站,依然可以看到Sentinel!真不知道他们以后打算怎么搞!
再说netForensics,已经改换门庭,叫“黑云”BlackStratus公司了。该公司一度想要纳斯达克上市,但尚未成功。现在BlackStratus主要做SaaS和给MSSP提供SIEM服务平台。
至于Intellitectics,在2010年被Trustwave收购了,成为了他们的MSS平台【参见我的博客《 Gartner:2013-2014年全球MSS市场分析》】。
回到跟Arcsight的合作。事实证明,我们的选择是正确的。Arcsight发展势头很猛,自从跟我们合作后,很快打开了中国市场,包括当时的IBM都主卖Arcsight而不是自己的Tivoli(尽管也在不断收购SIEM厂商)。我们团队在离开联想继续着跟Arcsight的合作,帮助其开拓中国市场,实施了头几个中国的典型客户。
在Garnter的MQ排名方面,Arcsight也是一路飙升。
2005年Gartner第一次发表了SIEM的MQ,Arcsight地位已经很高了。
此后,所有的SIEM MQ,Arcsight都位居第一象限,也是唯一一个做到这点的厂商。2008年初,Arcsight在Nasdaq上市成功。从2009年开始,Arcsight正式成为了SIEM市场第一(包括销量和综合实力),并在2011年的MQ达到了顶峰。也就是那时候开始,Arcsight成为了SIEM市场的统治者。
就像大部分其他的故事发展情节一样,上市后的Arcsight开始了一系列戏剧性的变化。首先,就是被巨头们盯上了。彼时的SIEM市场炙手可热,人们谈论Arcsight就像后来人们讨论Splunk之于数据分析,FireEye之于沙箱一样,成为了安全领域的一个“银弹”。IBM和HP,还有一堆老大们为了占领这个市场,纷纷展开并购。最后,HP捷足先登,在2010年收购了Arcsight。搞得IBM没有办法,只好在2011年收购了Q1Labs。
事实证明,HP收购Arcsight是一个失败的案例。这个结局也许从一开始就能显示出来。对比一下,就能发现,Hp收购Arcsight并未给Arcsight太大的自主权,而且从并购之初就出现了大量的人员兑现走人。再加上HP自身过于庞大,兼顾PC和软件业务,渐渐自顾不暇。而IBM收购Q1Labs则表示了极大的诚意,整个成立了一个安全部,让Q1Labs的掌管,并将之前IBM的各类安全产品交给Q1labs团队打理,并购后没有出现大的人员离职潮。
从HP并购Arcsight开始,离职就是主旋律,我之前的博客《风雨飘摇中的HP会分拆Arcsight业务吗?》有大量提及。2012年5月,前Arcsight的CEO,并购后掌管HP大安全业务的Tom Reilly离开了HP,成为了一个标志性事件。Arcsight成了SIEM的“黄埔军校”,人员散落各处。
其实,早在2010年并购后,Arcsight亚太团队就已经开始兑现走人了,Robert带着人去到了当时正在冉冉升起的新星——Splunk。那时候,不断有Arcsight的人去Splunk,包括后来的Arcsight研发主管宋海燕【以前Tom Reilly和宋海燕都曾到访中国跟我们交流过】。这些人赌的,就是Splunk的上市(2012年上市)。
伴随着创业者的离开,HP自身的臃肿,还有Arcsight逐渐固步自封。也就是从2011年开始,各种隐患开始显现:价格昂贵,部署极其复杂,使用成本居高不下,包括主要还是老一代的SIEM技术架构,死绑Oracle数据库,事件处理性能上不去,C/S架构,B/S很弱,加上效果不显著,客户不满逐渐增加。而这时候对手们却开始发力,运用新的技术架构奋力赶超。
从2012年开始,Arcsight一枝独秀的场景不再,SIEM市场开始进入三足鼎立的时代(HP的Arcsight,IBM的Qradar,McAfee的NitroSecurity)。
在我对2013年度的SIEM MQ评论中,我写到:“HP ArcSight主要是在2011年到2012年间重建了他的ESM后台数据库,将之前饱受争议的Oralce更换为了轻量级的数据库CORR,推出了ESM6.0c,性能改进了不少。但即便如此,其系统部署和实施的复杂性依然高过其他竞争对手。同时,在一些代表未来的SIEM新技术应用方面,Arcsight也落后其他两大巨头。”
随着Splunk吸收了大量Arcsight的创业人员,到2012年上市和异军突起,渐渐加入了SIEM MQ的战团。到了2014年,SIEM市场成为了四国大战时代(HP,IBM,Intel(McAfee)和Splunk)。再到2016年,SIEM三强已经换成了IBM,Splunk和LogRhythm了。
2012年,Arcsight还能勉强支撑,从2014年开始,Arcsight就已经明显开始退步了。每次Gartner对Arcsight的评价都是太重型、架构太老、部署和使用太复杂、太贵、客户不满很多。技术评分(Critical Capabilities)方面都是表现平平。
相信,随着Arcsight归入MicroFocus旗下,一方面技术连连退步,另一方面品牌和市场损失必然不小,Gartner在2017年的MQ中恐怕不会对Arcsight有啥好话【注:写此文时2017年MQ还没有发布】。
可以说,我是看着Arcsight成长起来的,还曾经一度参与其中,现在看着Arcsight改换门庭,不知道未来的Arcsight将如何继续走下去。
现在,MicroFocus的主要管理者都是HPE过去的,不知道是否会有些帮助。但想着Arcsight跟NetIQ Sentinel兑在一块儿,感觉很是怪异。接下来,我最关注的就是MicroFocus如何处理Arcsight跟NetIQ这两个品牌,及其里面的大量软件组合。
这种并购最麻烦的就是产品的用户了。Arcsight客户流失不可避免,并且早已发生。
还有一个令我哭笑不得的是,Arcsight在中国的情况更加复杂,因为还有HP出售H3C多数股权给紫光这档子事儿。新华三成立后,承接了HPE(慧与,不是惠普)很多原来的业务。NetIQ在中国是有总代的,但MicroFocus在中国似乎没有总代。我听说HPE搞Arcsight的人被分拆到了新华三?在中国市场,从HPE分拆出去那帮人去哪里了呢?微焦中国?总之,乱的很。不知道新微焦(MicroFocus)将如何收拾中国的这一大摊子事儿。
【参考】
从HP收购ArcSight看SIEM/MSS市场现状与格局【9月17日更新】
Gartner:2016年SIEM(安全信息与事件管理)市场分析
Gartner:2015年SIEM(安全信息与事件管理)市场分析
Gartner:2014年SIEM(安全信息与事件管理)市场分析
Gartner:2012年SIEM(安全信息与事件管理)市场分析报告
评Gartner2010年安全信息和事件管理(SIEM)分析报告
Gartner公司对2009年安全信息和事件管理(SIEM)的分析报告