颠沛流离的Arcsight,辉煌不再

2017年9月1日下班后,邮箱里出现了一封来自MicroFocus的邮件,里面宣布HPE软件部门的分拆和与MicroFocus的合并正式完成。我赶紧打开Arcisght的网页,果然,URL被重定向到了MicroFocus。看到此幕,令我唏嘘不已。

想起来,我其实对Arcsight还是比较有感情的。

我2001年在联想开始了SOC从业之旅。也就是在那个时候,我接触到了Gartner,并从此追踪它们的研究直到现在。

这是我当时所看到的第一份Garnter的报告(还有中文版哦。那时Gartner就已经进入中国了,在上海北京有办事处)。不得不说,现在还在跟Kelly Kavanagh打交道(他现在是SIEM MQ的主笔)。

在2003年的时候,我们团队开始着手调研全球的SIEM/SOC市场,以期进行引进合作(这里有一篇我2003年初写的调研报告——安全集中管理系统早期调研)。当时,我们还看到了Gartner第一篇有关安全管理平台的报告。那时候还没有SIEM这个术语,与之相近的市场细分包含了企业事件管理。下面这个MQ中的大部分厂商我们当时都有调研过。

那时候,安氏跟e-Security合作,引进他们的Sentinel;启明星辰则在后来跟NetForensics合作;绿盟自己做了个ESP。当时我们跟netForensics,IBM Tivoli都进行了谈判和产品评估,但都不是很理想,最后选定了Arcsight。当时,Arcsight才成立没几年,刚刚推出产品。但是Arcsight表现了巨大的诚意。在跟我们谈判期间,成立了亚太区,派香港人Robert担纲,并很快来到北京和我们具体商谈合作事宜。另一方面,我们团队进行了仔细的技术评估,也认可了Arcsight的技术。于是,我们后来经常说,是我们(联想)团队将Arcsight引入了中国。

2004年的时候,Gartner正式开始对安管平台进行MQ分析,如下图。

【注:上图是我去年才看到的,在当年可没有见过:-)】尽管我N年后才看到这个图,不过在2003年的时候,我们已经基本将这些公司分析了一遍。那时候,Arcsight还不算特别突出。当年最厉害的三个厂商是e-Security,netForensics,Intellitectics。

时至今日,这三个厂商都已经面目全非。e-Security后来被Novell收购,后来Novell以及NetIQ又被Attachmate收购,Attachmate又被MicroFocus收购。真累。所以多说一嘴,现在的MicroFocus其实有两套SIEM/安管平台/品牌了,包括Arcsight和NetIQ(NetIQ原始的SIEM在跟e-Security/Novell的Sentinel的PK中已经被干掉,但是胜出的Sentinel挂上了NetIQ品牌,够乱的)。现在登录MicroFucus的网站,依然可以看到Sentinel!真不知道他们以后打算怎么搞!

再说netForensics,已经改换门庭,叫“黑云”BlackStratus公司了。该公司一度想要纳斯达克上市,但尚未成功。现在BlackStratus主要做SaaS和给MSSP提供SIEM服务平台。

至于Intellitectics,在2010年被Trustwave收购了,成为了他们的MSS平台【参见我的博客《       Gartner:2013-2014年全球MSS市场分析》】。

回到跟Arcsight的合作。事实证明,我们的选择是正确的。Arcsight发展势头很猛,自从跟我们合作后,很快打开了中国市场,包括当时的IBM都主卖Arcsight而不是自己的Tivoli(尽管也在不断收购SIEM厂商)。我们团队在离开联想继续着跟Arcsight的合作,帮助其开拓中国市场,实施了头几个中国的典型客户。

在Garnter的MQ排名方面,Arcsight也是一路飙升。

2005年Gartner第一次发表了SIEM的MQ,Arcsight地位已经很高了

此后,所有的SIEM MQ,Arcsight都位居第一象限,也是唯一一个做到这点的厂商2008年初,Arcsight在Nasdaq上市成功。从2009年开始,Arcsight正式成为了SIEM市场第一(包括销量和综合实力),并在2011年的MQ达到了顶峰。也就是那时候开始,Arcsight成为了SIEM市场的统治者。

就像大部分其他的故事发展情节一样,上市后的Arcsight开始了一系列戏剧性的变化。首先,就是被巨头们盯上了。彼时的SIEM市场炙手可热,人们谈论Arcsight就像后来人们讨论Splunk之于数据分析,FireEye之于沙箱一样,成为了安全领域的一个“银弹”。IBM和HP,还有一堆老大们为了占领这个市场,纷纷展开并购。最后,HP捷足先登,在2010年收购了Arcsight。搞得IBM没有办法,只好在2011年收购了Q1Labs。

事实证明,HP收购Arcsight是一个失败的案例。这个结局也许从一开始就能显示出来。对比一下,就能发现,Hp收购Arcsight并未给Arcsight太大的自主权,而且从并购之初就出现了大量的人员兑现走人。再加上HP自身过于庞大,兼顾PC和软件业务,渐渐自顾不暇。而IBM收购Q1Labs则表示了极大的诚意,整个成立了一个安全部,让Q1Labs的掌管,并将之前IBM的各类安全产品交给Q1labs团队打理,并购后没有出现大的人员离职潮。

从HP并购Arcsight开始,离职就是主旋律,我之前的博客《风雨飘摇中的HP会分拆Arcsight业务吗?》有大量提及。2012年5月,前Arcsight的CEO,并购后掌管HP大安全业务的Tom Reilly离开了HP,成为了一个标志性事件。Arcsight成了SIEM的“黄埔军校”,人员散落各处。

其实,早在2010年并购后,Arcsight亚太团队就已经开始兑现走人了,Robert带着人去到了当时正在冉冉升起的新星——Splunk。那时候,不断有Arcsight的人去Splunk,包括后来的Arcsight研发主管宋海燕【以前Tom Reilly和宋海燕都曾到访中国跟我们交流过】。这些人赌的,就是Splunk的上市(2012年上市)。

伴随着创业者的离开,HP自身的臃肿,还有Arcsight逐渐固步自封。也就是从2011年开始,各种隐患开始显现:价格昂贵,部署极其复杂,使用成本居高不下,包括主要还是老一代的SIEM技术架构,死绑Oracle数据库,事件处理性能上不去,C/S架构,B/S很弱,加上效果不显著,客户不满逐渐增加。而这时候对手们却开始发力,运用新的技术架构奋力赶超。

从2012年开始,Arcsight一枝独秀的场景不再,SIEM市场开始进入三足鼎立的时代(HP的Arcsight,IBM的Qradar,McAfee的NitroSecurity)

在我对2013年度的SIEM MQ评论中,我写到:“HP ArcSight主要是在2011年到2012年间重建了他的ESM后台数据库,将之前饱受争议的Oralce更换为了轻量级的数据库CORR,推出了ESM6.0c,性能改进了不少。但即便如此,其系统部署和实施的复杂性依然高过其他竞争对手。同时,在一些代表未来的SIEM新技术应用方面,Arcsight也落后其他两大巨头。”

随着Splunk吸收了大量Arcsight的创业人员,到2012年上市和异军突起,渐渐加入了SIEM MQ的战团。到了2014年,SIEM市场成为了四国大战时代(HP,IBM,Intel(McAfee)和Splunk)再到2016年,SIEM三强已经换成了IBM,Splunk和LogRhythm了

2012年,Arcsight还能勉强支撑,从2014年开始,Arcsight就已经明显开始退步了。每次Gartner对Arcsight的评价都是太重型、架构太老、部署和使用太复杂、太贵、客户不满很多。技术评分(Critical Capabilities)方面都是表现平平。

相信,随着Arcsight归入MicroFocus旗下,一方面技术连连退步,另一方面品牌和市场损失必然不小,Gartner在2017年的MQ中恐怕不会对Arcsight有啥好话【注:写此文时2017年MQ还没有发布】。

可以说,我是看着Arcsight成长起来的,还曾经一度参与其中,现在看着Arcsight改换门庭,不知道未来的Arcsight将如何继续走下去。

现在,MicroFocus的主要管理者都是HPE过去的,不知道是否会有些帮助。但想着Arcsight跟NetIQ  Sentinel兑在一块儿,感觉很是怪异。接下来,我最关注的就是MicroFocus如何处理Arcsight跟NetIQ这两个品牌,及其里面的大量软件组合。

这种并购最麻烦的就是产品的用户了。Arcsight客户流失不可避免,并且早已发生。

还有一个令我哭笑不得的是,Arcsight在中国的情况更加复杂,因为还有HP出售H3C多数股权给紫光这档子事儿。新华三成立后,承接了HPE(慧与,不是惠普)很多原来的业务。NetIQ在中国是有总代的,但MicroFocus在中国似乎没有总代。我听说HPE搞Arcsight的人被分拆到了新华三?在中国市场,从HPE分拆出去那帮人去哪里了呢?微焦中国?总之,乱的很。不知道新微焦(MicroFocus)将如何收拾中国的这一大摊子事儿。

【参考】

风雨飘摇中的HP会分拆Arcsight业务吗?

从HP收购ArcSight看SIEM/MSS市场现状与格局【9月17日更新】

Arcsight产品市场副总谈并入HP之后的发展策略

Gartner:2016年SIEM(安全信息与事件管理)市场分析

Gartner:2015年SIEM(安全信息与事件管理)市场分析

Gartner:2014年SIEM(安全信息与事件管理)市场分析

Gartner:2013年SIEM市场分析(MQ)

Gartner:2012年SIEM(安全信息与事件管理)市场分析报告

Gartner发布2011年SIEM市场分析报告(幻方图)

评Gartner2010年安全信息和事件管理(SIEM)分析报告

Gartner公司对2009年安全信息和事件管理(SIEM)的分析报告

时间: 2024-10-08 15:09:47

颠沛流离的Arcsight,辉煌不再的相关文章

显赫一时的盛大游戏为何高开低走,辉煌不再?

一提到盛大,人们最先想到的毫无疑问是盛大游戏.这个国内网游界的"开山鼻祖"自出现伊始就一直是行业领跑者,直到2009年才被腾讯超越.昔日还是占盛大集团营收近八成的主业,今天却已被全盘出售,从风光无限的游戏巨头到身陷IP续约官司.股权纠纷及商标问题泥潭的多事企业,盛大游戏这些年到底经历了什么? 当年大名鼎鼎的盛大游戏现在怎么样了? 今天可能有的人不知道盛大游戏,但一定听说过<热血传奇>这个游戏.在互联网方兴未艾之际,盛大游戏的赫赫大名无人不知.在当时,盛大游戏风头正盛,其在游

Oracle中国区大裁员:昔日辉煌不再,退出中国市场?

近日Oracle裁员的消息已经霸占了各大头条,中国区研发中心1600人直接裁掉了近六成,高达900人. Oracle裁员的目的非常明确.为了重组,任何部门都可能成为此次裁员的目标.据报道,不仅非核心部门被裁员,甚至一些云计算业务的员工也被裁员.虽然Oracle在数据库市场有着良好的声誉,但其发展前景却逐渐暗淡. 2018财年,甲骨文总收入398.31亿美元,比上一财年的377.28亿美元增长6%:净利润为38.25亿美元,较上一财年的93.95亿美元下降59%.虽然中国市场的收入尚未披露,但亚太

Gartner:2017年SIEM(安全信息与事件管理)市场分析

2017年度的Gartner SIEM魔力象限在比往常推迟了4个月之后终于发布了.在Gartner眼中,SIEM已经是一个成熟市场.但这个市场依然十分活跃:客户需求在变化,市场格局也在变化,技术革新也在不断重塑SIEM自身.让我们先看矩阵: 对比一下2016年度的矩阵: 可以说,这是自2014年以来,变化最大的一次(可以参见我下面的历年分析文章).我将这些变化总结为5点: 1)领头羊之争日趋激烈,去年是IBM和Splunk各执牛耳,几年则是IBM QRadar略胜一筹,颇有当年Arcsight独

遇见幸福的自己(总有一句话能触动你的心弦,希望能给你未来前进的路上增加些许动力)

幸福不在别处,一直在我们的身边,在我们的心中 一个智慧聪明的人,永远不会缺少一双幸福的慧眼. 驾驭自己的心态 别忘记要常常为自己建立积极的心态,只有这样才能享受生活. 心态好了,一切就好,而心态不好则会事事皆不顺. 生活就是酸甜苦辣皆而有之,只有放下抱怨,让自己拥有一个健康的心态,加上理性.宽容与平和,幸福就会变成一种生活的习惯 人生需要在等待中寻找结果,所以想要获得幸福的生活,就应该学会等待,在等待中寻找新的目标.幸福不在于到达目的地的那一刻,而在我们一步一步地向上移动接近目标的过程中. 正视

米4是小米神话的终结还是延续?

一部Iphone5s让"土豪金"大行其道,一时之间,金属冰冷高贵的质感被认为是提升逼格的有力伪装,曾经智能手机厂商在硬件升级和价格大战中"杀得你死我活",瞬间就"山穷水尽疑无路,柳暗花明又一村了",不约而同地将决胜招抛在了手机外壳材质上.于是乎,手机市场的"高富帅"纷纷向"土豪金"致敬,"屌丝们"则继续匍匐在那些工程塑料上. 此钢板非彼钢板. 金属材质的优点那是数不胜数,缺点只有两个:一

《互联网时代》第二集&#183;浪潮

引言 两千百年前,西西里岛东南端,叙拉古城外蜿蜒的沙滩上给我一个支点翘起地球的阿基米德,以这样的方式思考着他想描绘的世界.眼前的沙滩,天下所有沙漠中的沙粒能否用一个数字表达出来,他给了一个这样的描述,十的一百次方.后来的科学证明了阿基米德的超凡卓越.实际上,世界上的沙粒的确没有那么多,甚至宇宙中心以分子,粒子,原子存在事物的总和都没有这样的量.人们将这个人类不可企及的理想量命名为Googol.两千两百年后,两位斯坦福大学的年轻人,产生了一个堪比阿基米德的人生理想.Googol的同音词Googlo

航天科技:我国2018年有望实现首次海上商业发射m

交通条件的改变,让多少老城古镇曾经的繁荣辉煌不再,也让无数不名之地成为居家创业的热土.卢继军对本报记者表示,上世纪90年代初,俄罗斯人对中国人真的是兄弟般的感情.对此,省环境监测中心副主任张祥志解释说,具体的停课.限行等措施,要由各市根据自己的应急方案确定为此,美合振永公司要求鸿升中祥公司停止在网站上发布虚假信息,并赔偿经济损失等10万元.5月3日下午1时许,高州市深镇镇良坪村委会坑口村一座在建石拱桥发生重大坍塌事故,目前已造成11人死亡,16人受伤.全面深化改革没有例外,地处边疆.区情复杂决不

辛识平:历久弥坚的理想信念 反响 专家谈u

不过他们与目前排名第二的西悉尼流浪者只有4分差距,作为澳超老牌劲旅墨尔本胜利还有追赶大部队的希望.陈冰问了句"我是不是残废了",便陷入昏迷.法案不仅针对黑人,而且规定对一切少数民族与妇女的歧视为非法.这就是福州各大古寺乃至全国独一无二的特色"服务了",那就是免游客.信徒的斋饭钱."在当天的国防部例行记者会上,中日关系再次成为记者们关注的焦点.央视体育频道该场比赛的转播收视率创下了今年单场足球赛收视新高,在历史上排第3位.方案43点名效应?让顾客关注自己的品

美商务部初裁中印涤纶短纤维产品存在补贴行为zx

这部分黄金有些制成了金砖和金币,成为实物投资者的收藏.其中3只私募产品提前清盘,提前期限超过两年:博时2号濒危,亏损超过20%:并有两只产品大幅延期3年.此外,微软还改进了.N的W开发与代码编辑功能.财务公开是有章程的,有联赛委员会决定,不能说公开就公开.<每日经济新闻>记者注意到,自本周一以来,从主力席位净空单变化看,出现了激烈的"三国杀".投资者的观点认为,IPO重启意味将有大批量优质的成长概念股供应目前,兰州客运段已启动降雪天气应急预案,加强各次列车途中旅客乘降组织,