在2017年8月9日,国内知名的企业级信息安全市场的专业新媒体——安全牛——发布了“新一代SOC研究报告”之市场指南及技术指南。在指南正式发布之前,7月份的阿里安全峰会(以后改成“网络安全生态峰会”)上,安全牛背后的谷安天下负责人李华在论坛上就对这个报告进行了预发布。而就在9月13日的ISC大会上,再次进行了宣讲。的确,这份报告可以认为是近些年来国内出具的针对安管平台(SOC)的少有的独立分析报告。此前,国内公开可见的有关SOC的报告是IDC在2016年中发布的一份题为《中国安全管理平台(SOC)市场份额,2015:开放、协同、连接是关键发展方向》的报告。而IDC的报告主要是市场数据分析。但此次安全牛的报告重点是技术分析和市场格局分析,不涉及数据。
安全牛在阿里峰会上分享的胶片与在ISC大会上分享的胶片基本相同。
在安全牛的网站上,有这份报告的梗概。我就不再转述网站上的内容了,各位自行前往浏览。我这里想写点网站上没有提及的内容。
《指南》表示,“新一代安全运营中心(SOC)以情报和安全智能驱动,采用自适应安全架构来进行环境和态势感知,通过自动化或半自动化工具、流程和策略来对抗新一代威胁。预计未来很多企业都将开启各种模式的新一代SOC 建设,打造自身的内部安全运营能力,这也为安全厂商和服务商开启了一个巨大的市场。加上国家和行业监管层面都提出了态势感知方面的需求,也驱动了企业进行SOC 的建设”。
《指南》还指出,SOC 建设不仅仅是交付产品平台,更重要的是交付给客户安全运营的能力,厂商应结合安全服务商,提供更多的服务价值。
这份报告其实由两个指南组成的。一个市场指南,类似一般所见的市场分析报告,另一个技术指南,则从需求、架构、功能设计、用户价值等方面描述了新一代SOC的技术方方面面。这种模式估计也体现了谷安天下作为国内老牌的咨询公司的能力吧。
整个报告在理念部分给出了自己的观点,并较多的介绍了技术架构设计。技术实现方面简单勾勒了一下,落地和场景建设方面蜻蜓点水说了一下。还较多的参考Gartner的分析报告对新一代SOC除了SIEM之外的新引入的技术(譬如EDR、UEBA、NTA、SOA)和未来趋势作了一些阐释。这些理念跟我本人的理解大方向上也是一致的,不过具体表述不同,展开的内容有些差异。
由于这两份指南都是收费的,在此不便过多剧透。下面引用安全牛在阿里峰会和ISC大会的公开宣讲胶片稍微加以进一步说明。有兴趣的人可以去安全牛网站购买这套报告。
根据安全牛的分析,到2020 年,以数据和情报驱动的新一代SOC 中心的市场占有率将从现在的5% 提升到50%,而市场规模将从现在的约10亿元提升到50-100 亿元。对于这个数据,我个人感觉(仅仅是感觉),17年的数据可能差不多。但2020年的数据估计可能略显乐观。需要指出的是,不能将所有态势感知类项目都计入SOC市场,两者是有很大差别的。对于这个议题,我将会在专门的“新态势感知系列”文章中予以详细阐述。
上图是安全牛对于新一代SOC(也就智能SOC)的功能设置
上图是安全牛认为的新一代SOC应该具备的安全监测方面的关键能力
上图是安全牛设计的新一代SOC的技术架构示意图
上图是安全牛通过调研分析绘制的“安全牛矩阵图”
稍微解释一下这个矩阵图。它从三个维度进行展示。横坐标是规模,越靠左边,说明规模越大(跟很多矩阵图的方向相反,呵呵);纵轴是影响力,越往上说明影响力越大;在每个厂商的下面有五角星,数量多少表示了创新能力的高低。
根据报告描述,这个矩阵是安全牛“根据厂商调研的结果、客户的反馈、业界的口碑、公开技术宣讲、产品的白皮书、研发人员数量、服务人员数量、专利获取情况、去年销售额及当年预期销售额情况等内容”综合绘制出来的。
这里,我想说的是,不论其权威性和有效性,有心来做这样一份报告就实属不易。在国内环境下,这项工作十分困难。相比之下,国外的SANS、ESG、Ponemon等机构的同类调研做的多了去了,方法论也很成熟了,更不要说IDC和Gartner了。所以,这个报告本身我就要点赞,也希望安全牛以后调研分析的方法论更加完备,且公开。同时,也希望业界同仁厂商积极参与这类分析调研活动,并拿出有说服力的数据和证据来表明自己。
最后,作为一个在SOC领域从业16年度的老兵,对于SOC的感触实在太多,可以说的东西实在太多。这里,我只想简单展望一下未来。随着颠覆性的新技术力量的逐步普及,新安全理念和体系的逐步形成,安全平台类业务(尤其是SOC,安全分析,大数据安全分析,态势感知)将会有一个大的爆发。这个爆发可能不是所有细分领域中最大的,但相比之前的SOC市场会是一个很大的增长。在新形势下的平台业务玩家,将不仅有已经存在多年的大型安全厂商,新兴的互联网安全厂商,还有新兴的创业者,以及试图切入安全市场的大型厂商(包括IT集成商和国家队)。为啥?因为一方面这个领域热门,代表了安全建设金字塔的上端,位居单点的各种新的、老的安全设备之上。另一方面,则是新技术的引入使得很多人觉得有了弯道超车的机会。
不过我想在这里提醒一下各位玩家。安全的本质其实并未改变,跟十几年前并没有本质差别。新技术可能会加速创新,但在平台业务这个领域,安全领域的经验十分重要!开源的组件虽然容易获得,但要用好十分困难。而就算熟练掌控的大数据、AI等等技术,如何应用到安全领域又是一道坎。在平台业务这个领域,我们要看清它的变与不变,看清他的表面与核心。如果看不清,或者看错了,那么业务的布局、技术路线的选择就可能出现偏差,误入歧途,最终付出巨大的纠偏代价。
我还想说的是,我们的SOC团队可以说一直引领着中国SOC市场,及其技术发展趋势,无论是大数据、开放生态、威胁情报,还是态势感知。团队协作,而非某个个人,也是我十几年来一直引以为傲的。