Gartner:2017年SIEM(安全信息与事件管理)市场分析

2017年度的Gartner SIEM魔力象限在比往常推迟了4个月之后终于发布了。在Gartner眼中,SIEM已经是一个成熟市场。但这个市场依然十分活跃:客户需求在变化,市场格局也在变化,技术革新也在不断重塑SIEM自身。让我们先看矩阵:

对比一下2016年度的矩阵:

可以说,这是自2014年以来,变化最大的一次(可以参见我下面的历年分析文章)。我将这些变化总结为5点:

1)领头羊之争日趋激烈,去年是IBM和Splunk各执牛耳,几年则是IBM QRadar略胜一筹,颇有当年Arcsight独领风骚的气势,却不知能否保持多久。一方面得益于IBM在QRadar产品线上的持续大力投入,ML和UEBA功能组件纷纷上线,appmarket也推出来了,加上他整个套件的组件十分齐全,覆盖了Gartner所有的SIEM评估点,还有近期收购来的安全编排产品Resilient加持,;另一方面也是因为Splunk今年稍有退步。主要还是因为太贵,授权方式不合理,此外毕竟安全只是Splunk的一个分支而非全部,并没有如QRadar那样投入巨大。

2)Arcsight节节败退(参见我的博文《颠沛流离的Arcsight,辉煌不再》),历史上第一次退出了第一象限。我对Arcsight是很有感情的,毕竟是我们团队最早将其引入中国。曾经独占鳌头的光景早已消失,而被并入MicroFocus更加剧了它的不确定性。其实Arcsight近几年一直在升级他的底层技术架构,也推出了支持Hadoop的大数据版,还发布了appmarket,但也许是历史包袱太重,要想重构,任重道远,可偏偏又遇上HPE这个主儿,稳定的持续的研发投入打上了一个大问号。据我所知,MicroFocus收了HPE的软件部门后,首要的工作就是cost down(否则并购干嘛呀),前HPE软件部中国区已经开始散场,加上MicroFocus还有另一款SIEM产品NetIQ(也在SIEM MQ中混迹多年),真不知道未来会怎样。面向未来,同时做两个SIEM显然浪费,恐怕更多是要给存量客户一个交代吧。

3)UEBA厂商强势入榜,代表厂商就是Securonix和Exabeam。Gartner已经反复讲过UEBA未来只有两条路,一条是大路,即与其它产品融合,成为一个Feature,而融合首选是SIEM;另一条路就是成为剩余的少数几家独立的UEBA产品供应商。于是,Securonix和Exabeam作为UEBA领域的领先者主动求变,挺进SIEM市场。他们的特点是新,基于新的NoSQL和大数据平台架构,充分利用ML(机器学习)技术,UI也是最新的流行样式,报价体系简洁,价格比大厂更具竞争力。当然,他们存在的问题也在于新,大数据架构的引入导致相关的维护难度提升。可以说,UEBA的入榜将加剧未来SIEM市场的格局动荡,相信未来会有更多的相关并购出现。

4)中国厂商第一次入榜。对于中国客户和从业者而言,这是一个亮点。作为SIEM产品的负责人,本人有幸全程参与了这个过程。从旁观者到亲历者,体验是大大的不同,经验也是一大把,有机会另文撰述。这里只想提一句:入围Gartner SIEM魔力象限是一项十分艰苦的工作,不仅要跨越语言的障碍,还要扭转国外同行对中国厂商只能做安全硬件设备的误解。同时,SIEM产品的魔力象限考核指标是Gartner所有安全产品评估中最难、最复杂的,评价的指标项超过200个(指标之间相互关联,十分缜密)。期间,我们和分析师反复沟通,进行了十几次电话会议,数次北京的见面沟通,在美国的现场沟通,产品演示,提交各种产品资料和原理设计文档,等等等等。分析师对产品的分析十分严谨,所有能写进报告的项目都必须提供能让他信服的proven(证据)。至于技术方面,我们的SIEM覆盖了Gartner考察的大部分指标,包括流分析,ML。有机会,各位可以阅读另一个报告——《Gartner Critical Capabilities for SIEM, 2017》——一探究竟。

5)FireEye进入SIEM市场。FireEye的玩法与众不同,走的是SECaaS的路子,借助其假设在AWS上的威胁分析平台(TAP),以SaaS模式提供SIEM。其实,这里还是有很多tricky的地方,因为SIEM as a Sevice跟MSS/MDR之间的界限并不是那么地清晰。而MSS市场是不在SIEM MQ考察范围之内的。Anyway,FireEye现在已经是一个大厂,想玩SIEM,有何不可?

分析完厂商,回到SIEM市场本身。

2016年,SIEM全球销量达到了21.7亿美元,在所有细分市场中,属于很高增速的市场,在亚太新兴地区和拉美的增速尤其高,总体上呈现一片繁荣景象。在全球范围内,威胁检测与管理都已经成为主要的市场驱动力,超越了合规与监测。越来越多的客户提出了集成威胁情报、行为建模和有效分析的需求。

在市场格局上,四大厂商占据了60%的市场份额。

Gartner还持续跟踪了一种新的迹象,就是有人在利用开源的大数据分析平台(譬如ELK,Apache Metron)搭建SIEM类系统。Gartner表示,他们调研了一些这类客户,发现他们当初是为了降低购买商业化SIEM的成本而投入到开源平台的怀抱,但真正深入下去发现,成本其实并不低,改造、开发的工作量很大,并不适合大部分客户。Gartner还是建议客户根据自身的安全管理成熟度选择适合自己的SIEM部署模式:自建、购买,或者采用外包服务(这个还有多种细分模式),还有共建。对于成熟度较低的,干脆建议先别上SIEM,转而先去上LM(日志管理)。

Gartner表示,尽管依然可见不少客户部署SIEM失败的案例,但大家依然热此不疲。足见背后的需求推动力大过了部署失败的风险。

伴随着SIEM MQ的发布,Garnter还发布了SIEM的关键能力评估报告(简称CC,Critial Capabilities)。

在CC报告中,Garnter对此次入围的19个厂商从三个维度(基础安全监测、高级威胁检测和取证与事件响应)进行的打分和横向对比分析。Gartner预测,到2020年,75%的SIEM将采用大数据技术作为其内核,同时广泛借助ML去提升威胁检测的能力

Garnter建议客户:

1)将包括安全、IT和网络运维、审计与合规、法务、HR等部门的利益攸关者们的调研信息做为输入,对SIEM的需求和场景用例做好文档化;

2)制定一份多年的SIEM部署路线图,确保所有需要上马的功能和伸缩性需求在SIEM技术选型的时候得到评估;

3)选择SIEM技术的时候,必须跟客户当前的或者是期望的成熟度相匹配,要适配自身的资源、专家团队、现有和将要使用的其他工具,SIEM解决方案必须能够与现有的安全监测与响应工具进行整合。

在CC中,Gartner将SIEM的关键能力分为了以下几个方面(每个方面还有很多细节划分,这里省略):

1)实时监测;

2)事件(Incident)响应与管理;

3)高级威胁防御;

4)业务情境与安全情报;

5)用户监测 ;

6)数据与应用监测;

7)高级分析;

8)部署和支持的便捷性;

由于这次实际参与了评比,我们发现他们对这些能力进行了十分细致的划分,总共设计出了200多个指标项,来考察每个产品,基本上我们能想到的功能点他都涵盖了。所以我在《再谈SIEM和安全管理平台项目的失败因素(1)》中说,“Gartner 对 SIEM 研究时间之长、范围之广、程度之深”,令人赞叹。Gartner知识库中跟 SIEM/安管平台/SOC 有关的文章/报告/博客数量之多,我至今也没有看完过。

【参考】

Gartner:2016年SIEM(安全信息与事件管理)市场分析

Gartner:2015年SIEM(安全信息与事件管理)市场分析

Gartner:2014年SIEM(安全信息与事件管理)市场分析

Gartner:2013年SIEM市场分析(MQ)

Gartner:2012年SIEM(安全信息与事件管理)市场分析报告

Gartner发布2011年SIEM市场分析报告(幻方图)

评Gartner2010年安全信息和事件管理(SIEM)分析报告

Gartner公司对2009年安全信息和事件管理(SIEM)的分析报告

时间: 2024-11-05 12:09:43

Gartner:2017年SIEM(安全信息与事件管理)市场分析的相关文章

Gartner:2016年SIEM(安全信息与事件管理)市场分析

2016年8月10日,Gartner发布了2016年度的SIEM市场分析报告(MQ幻方图). Gartner认为,攻击检测与响应成为了驱动SIEM市场蓬勃发展的主导驱动力.同时,合规管理依然是另一个SIEM的重要驱动力.Gartner预计到2017年,至少60%的SIEM厂商集成安全分析和UEBA(用户与实体行为分析)功能到他们的产品中. 首先,我们一起来看看MQ矩阵: 对比一下2015年度的MQ矩阵: 可以看出: 1)SIEM三强又发生了变化.去年是McAfee(Intel Security)

Gartner:2015年SIEM(安全信息与事件管理)市场分析

2015年7月20日,Gartner发布了2015年度的SIEM市场分析报告(MQ). 对比2014年: 可以看出来,Splunk异军突起,已经超越了McAfee(Intel安全),综合评分也略微强于HP Arcsight.至此,SIEM的新三强产生,分别是IBM.Splunk和HP,McAfee屈居第四,而Logrhythm也是步步紧逼. 此外,Tiboco/LogLogic和Tenable退出了SIEM排名,Gartner的说法是他们不再将其产品定位为SIEM产品,尽管他们还是提供了一些跟S

6大开源SIEM工具,安全信息和事件管理的“利器”

为了保护IT环境免受网络攻击并遵守严格的合规标准,安全信息和事件管理(SIEM)系统正在成为越来越多企业实施的安全范例的基石. 有专门的平台提供一体化SIEM解决方案,如LogRhythm,QRadar和ArcSight.这些解决方案当然价格昂贵,特别是在长期和大型企业中,因此越来越多的企业正在寻找开源SIEM平台. 但是,是否有一个包含所有基本SIEM元素的开源平台? 简单回答是“没有”.没有所有功能于一身的完美的开源SIEM系统.现有的解决方案要么缺乏核心SIEM功能,如事件关联和报告,要么

Gartner: 2017年11大信息安全技术(解读版)

在2017年6月份举办的第23届Gartner安全与风险管理峰会上,Gartner的Fellow--Neil McDonald发布了2017年度的11个最新最酷的信息安全技术,比往年的10大技术多了一项. 以往都是通过互联网了解Gartner的各种信息和报告.这次,本人有幸亲临现场,参加峰会,自然有更多的感悟.参加峰会期间,获得的信息量实在太大,直到现在,虽然已经过去了2个多月,依然没有消化完. 回到主题,以往我都是聚焦于每年选出来的10大信息安全技术本身,但对这些技术是如何被Gartner选出

事件管理

任何时候,实际测试结果和期望结果有出入时就发生了一个事件.事件声明周期和测试人员为了事件报告所需收集的信息. 包含6个部分: 1.概述. 2.何时可以发现一个缺陷. 3.缺陷生命周期. 4.缺陷域. 5.度量元和事件管理. 6.沟通事件. 时间管理是一个基本技能. 缺陷,错误,失效,事件,事件日志,根本原因分析. 缺陷生命周期 1.识别. 2.调查. 3.改正. 4.总结. 事件管理,布布扣,bubuko.com

cocos2d-js v3事件管理器

总概: 1.时间监听器(cc.EventListener)封装用户的事件处理逻辑. 2.事件管理器(cc.eventManager)管理用户注册的事件监听器. 3.事件对象(cc.Event)包含事件相关信息的对象. 事件监听器包含以下几种类型: 1.触摸事件监听器(cc.EventListenerTouch) 2.键盘事件监听器(cc.EventListenerKeyboard) 3.加速计事件监听器(cc.EventListenerAcceleration) 4.鼠标事件监听器(cc.Eve

事件管理器

项目开发过程中经常会用到代理事件,为方便管理,避免代码混乱,需要一个总的事件管理器: using UnityEngine; using System.Collections; using System.Collections.Generic; using System; public class EventManager<T> { private static Dictionary<EventType,List<Action<T>>> eventDic =

vue30-单一事件管理组件通信: vuex

------------------------------------------------------ 可以单一事件管理组件通信: vuex var Event=new Vue(); Event.$emit(事件名称, 数据) Event.$on(事件名称,function(data){ //data }.bind(this)); <!DOCTYPE html> <html lang="en"> <head> <meta charset=

MIT 2012分布式课程基础源码解析-事件管理封装

这部分的内容主要包括Epoll/select的封装,在封装好相应函数后,再使用一个类来管理相应事件,实现的文件为pollmgr.{h, cc}. 事件函数封装 可看到pollmgr.h文件下定一个了一个虚基类aio_mgr 1 class aio_mgr { 2 public: 3 virtual void watch_fd(int fd, poll_flag flag) = 0; 4 virtual bool unwatch_fd(int fd, poll_flag flag) = 0; 5