2017年度的Gartner SIEM魔力象限在比往常推迟了4个月之后终于发布了。在Gartner眼中,SIEM已经是一个成熟市场。但这个市场依然十分活跃:客户需求在变化,市场格局也在变化,技术革新也在不断重塑SIEM自身。让我们先看矩阵:
对比一下2016年度的矩阵:
可以说,这是自2014年以来,变化最大的一次(可以参见我下面的历年分析文章)。我将这些变化总结为5点:
1)领头羊之争日趋激烈,去年是IBM和Splunk各执牛耳,几年则是IBM QRadar略胜一筹,颇有当年Arcsight独领风骚的气势,却不知能否保持多久。一方面得益于IBM在QRadar产品线上的持续大力投入,ML和UEBA功能组件纷纷上线,appmarket也推出来了,加上他整个套件的组件十分齐全,覆盖了Gartner所有的SIEM评估点,还有近期收购来的安全编排产品Resilient加持,;另一方面也是因为Splunk今年稍有退步。主要还是因为太贵,授权方式不合理,此外毕竟安全只是Splunk的一个分支而非全部,并没有如QRadar那样投入巨大。
2)Arcsight节节败退(参见我的博文《颠沛流离的Arcsight,辉煌不再》),历史上第一次退出了第一象限。我对Arcsight是很有感情的,毕竟是我们团队最早将其引入中国。曾经独占鳌头的光景早已消失,而被并入MicroFocus更加剧了它的不确定性。其实Arcsight近几年一直在升级他的底层技术架构,也推出了支持Hadoop的大数据版,还发布了appmarket,但也许是历史包袱太重,要想重构,任重道远,可偏偏又遇上HPE这个主儿,稳定的持续的研发投入打上了一个大问号。据我所知,MicroFocus收了HPE的软件部门后,首要的工作就是cost down(否则并购干嘛呀),前HPE软件部中国区已经开始散场,加上MicroFocus还有另一款SIEM产品NetIQ(也在SIEM MQ中混迹多年),真不知道未来会怎样。面向未来,同时做两个SIEM显然浪费,恐怕更多是要给存量客户一个交代吧。
3)UEBA厂商强势入榜,代表厂商就是Securonix和Exabeam。Gartner已经反复讲过UEBA未来只有两条路,一条是大路,即与其它产品融合,成为一个Feature,而融合首选是SIEM;另一条路就是成为剩余的少数几家独立的UEBA产品供应商。于是,Securonix和Exabeam作为UEBA领域的领先者主动求变,挺进SIEM市场。他们的特点是新,基于新的NoSQL和大数据平台架构,充分利用ML(机器学习)技术,UI也是最新的流行样式,报价体系简洁,价格比大厂更具竞争力。当然,他们存在的问题也在于新,大数据架构的引入导致相关的维护难度提升。可以说,UEBA的入榜将加剧未来SIEM市场的格局动荡,相信未来会有更多的相关并购出现。
4)中国厂商第一次入榜。对于中国客户和从业者而言,这是一个亮点。作为SIEM产品的负责人,本人有幸全程参与了这个过程。从旁观者到亲历者,体验是大大的不同,经验也是一大把,有机会另文撰述。这里只想提一句:入围Gartner SIEM魔力象限是一项十分艰苦的工作,不仅要跨越语言的障碍,还要扭转国外同行对中国厂商只能做安全硬件设备的误解。同时,SIEM产品的魔力象限考核指标是Gartner所有安全产品评估中最难、最复杂的,评价的指标项超过200个(指标之间相互关联,十分缜密)。期间,我们和分析师反复沟通,进行了十几次电话会议,数次北京的见面沟通,在美国的现场沟通,产品演示,提交各种产品资料和原理设计文档,等等等等。分析师对产品的分析十分严谨,所有能写进报告的项目都必须提供能让他信服的proven(证据)。至于技术方面,我们的SIEM覆盖了Gartner考察的大部分指标,包括流分析,ML。有机会,各位可以阅读另一个报告——《Gartner Critical Capabilities for SIEM, 2017》——一探究竟。
5)FireEye进入SIEM市场。FireEye的玩法与众不同,走的是SECaaS的路子,借助其假设在AWS上的威胁分析平台(TAP),以SaaS模式提供SIEM。其实,这里还是有很多tricky的地方,因为SIEM as a Sevice跟MSS/MDR之间的界限并不是那么地清晰。而MSS市场是不在SIEM MQ考察范围之内的。Anyway,FireEye现在已经是一个大厂,想玩SIEM,有何不可?
分析完厂商,回到SIEM市场本身。
2016年,SIEM全球销量达到了21.7亿美元,在所有细分市场中,属于很高增速的市场,在亚太新兴地区和拉美的增速尤其高,总体上呈现一片繁荣景象。在全球范围内,威胁检测与管理都已经成为主要的市场驱动力,超越了合规与监测。越来越多的客户提出了集成威胁情报、行为建模和有效分析的需求。
在市场格局上,四大厂商占据了60%的市场份额。
Gartner还持续跟踪了一种新的迹象,就是有人在利用开源的大数据分析平台(譬如ELK,Apache Metron)搭建SIEM类系统。Gartner表示,他们调研了一些这类客户,发现他们当初是为了降低购买商业化SIEM的成本而投入到开源平台的怀抱,但真正深入下去发现,成本其实并不低,改造、开发的工作量很大,并不适合大部分客户。Gartner还是建议客户根据自身的安全管理成熟度选择适合自己的SIEM部署模式:自建、购买,或者采用外包服务(这个还有多种细分模式),还有共建。对于成熟度较低的,干脆建议先别上SIEM,转而先去上LM(日志管理)。
Gartner表示,尽管依然可见不少客户部署SIEM失败的案例,但大家依然热此不疲。足见背后的需求推动力大过了部署失败的风险。
伴随着SIEM MQ的发布,Garnter还发布了SIEM的关键能力评估报告(简称CC,Critial Capabilities)。
在CC报告中,Garnter对此次入围的19个厂商从三个维度(基础安全监测、高级威胁检测和取证与事件响应)进行的打分和横向对比分析。Gartner预测,到2020年,75%的SIEM将采用大数据技术作为其内核,同时广泛借助ML去提升威胁检测的能力。
Garnter建议客户:
1)将包括安全、IT和网络运维、审计与合规、法务、HR等部门的利益攸关者们的调研信息做为输入,对SIEM的需求和场景用例做好文档化;
2)制定一份多年的SIEM部署路线图,确保所有需要上马的功能和伸缩性需求在SIEM技术选型的时候得到评估;
3)选择SIEM技术的时候,必须跟客户当前的或者是期望的成熟度相匹配,要适配自身的资源、专家团队、现有和将要使用的其他工具,SIEM解决方案必须能够与现有的安全监测与响应工具进行整合。
在CC中,Gartner将SIEM的关键能力分为了以下几个方面(每个方面还有很多细节划分,这里省略):
1)实时监测;
2)事件(Incident)响应与管理;
3)高级威胁防御;
4)业务情境与安全情报;
5)用户监测 ;
6)数据与应用监测;
7)高级分析;
8)部署和支持的便捷性;
由于这次实际参与了评比,我们发现他们对这些能力进行了十分细致的划分,总共设计出了200多个指标项,来考察每个产品,基本上我们能想到的功能点他都涵盖了。所以我在《再谈SIEM和安全管理平台项目的失败因素(1)》中说,“Gartner 对 SIEM 研究时间之长、范围之广、程度之深”,令人赞叹。Gartner知识库中跟 SIEM/安管平台/SOC 有关的文章/报告/博客数量之多,我至今也没有看完过。
【参考】
Gartner:2016年SIEM(安全信息与事件管理)市场分析
Gartner:2015年SIEM(安全信息与事件管理)市场分析
Gartner:2014年SIEM(安全信息与事件管理)市场分析
Gartner:2012年SIEM(安全信息与事件管理)市场分析报告
评Gartner2010年安全信息和事件管理(SIEM)分析报告
Gartner公司对2009年安全信息和事件管理(SIEM)的分析报告