2018年12月3日,Gartner正式对外发布了2018年SIEM市场魔力象限分析报告。新的市场竞争格局基本成型,SIEM产品越来越注重威胁检测和响应,尤其是新型的检测方法和响应方式。所谓新型检测方法特指UEBA,及其他高级安全分析方法(如NTA、EDR、欺骗、威胁捕猎等);所谓响应方式特指Gartner提出的SOAR(Security Orchestration, Automation and Response)。

报告显示,SIEM目前属于成熟市场,并且竞争十分激烈。全球SIEM市场从2016年的20亿美元上升到了2017年的21.8亿美元(注:这些数字相较于去年的预测有所下降,以最新的为准)。SIEM市场的首要驱动力时威胁管理,其次是安全监控与合规管理。相对欠成熟的亚太和拉美地区的SIEM增长率远远高于在北美和欧洲市场。

从销量上看,主要还是集中在Splunk、Arcsight、IBM、LogRhythm和McAfee身上。

2018年的SIEM MQ矩阵如下图所示:

image.png


对比一下2017年的矩阵:

image.png


可以发现:

1)领导者中三强地位相对稳固:经过三年的时间,SIEM市场三强IBM、Splunk、LogRhythm的第一集团优势已经形成,不管其它厂商进出领导者象限,他们三家的地位基本稳固。如果稍微调研一下这三家公司的SIEM产品,其实也会发展其产品战略有诸多相似之处,那便是在高级安全分析领域特别重视UEBA,在安全响应领域特别重视SOAR,同时特别重视云计算环境下的SIEM应用场景,纷纷推出面向云计算的SIEM,并提供支持MSSP和SaaS的版本。而IBM还在应用市场领域与Splunk展开激烈的争夺,Splunk的应用市场模式也已经被很多SIEM厂商所仿效,而这也是Splunk能够称霸三强的核心竞争力。而从自身产品的全面性角度来看,IBM的功能显然更全,除了高级安全分析和安全响应,还有专门的NTA、弱点管理、风险管理。在高级安全分析领域,除了有流行的UEBA,还整合了Watson的AI功能。Splunk的功能覆盖面虽然不全,但他的优势还是基于早前基于应用市场构建起来的开放生态。LogRhythm则紧跟Gartner对SIEM市场发展趋势的研判,自建了UEBA和SOAR功能,同时开发了EDR和NTA探针,从而增强了威胁检测能力。

2)UEBA成为SIEM的关键功能:如果说基于规则的关联分析是SIEM的核心功能,那么UEBA就是SIEM的关键功能。根据Gartner的预测,到2020年,80%的SIEM产品都将具备UEBA功能。届时,UEBA恐怕就成为SIEM的另一个核心功能了。也正因为如此,目前位居领导象限的所有SIEM厂商都具备了UEBA功能。而其它SIEM厂商也都纷纷引入UEBA功能,不论是自研还是OEM。而在这些厂商中,最引人注目的当属凭借UEBA起家的Exabeam和Securonix杀入了SIEM的领导者象限。从2017年两家厂商首次入围SIEM MQ到今年位列领导者象限,可见Gartner对其青睐有加。由于这两家厂商成立时间较短,因此他们的基础架构相对于其它家都要更为先进,且没有历史包袱。而老牌的厂商则要么面临老架构向新架构转型的痛苦,要么面临同时维护新老两套架构的麻烦。而除了UEBA功能及其仰仗的底层大数据架构,Exabeam和Securonix的其它功能的表现其实也就中规中矩,可见UEBA有多讨好。

3)昔日豪强发展各异:对于多年以前在领导者阵营中争夺桂冠的McAfee、DELL(RSA)和MicroFocus(Arcsight)而言,风光不再。McAfee算是三家中相对较好的,自从收购Nitro Security一举冲高后就从三甲的位置渐渐下滑,近三年都缩居在领导者象限的固定位置。Arcsight则在被HP收购后一路命运坎坷,从2016年跌出三甲,然后一路下滑,2017年退居挑战者象限,到了2018年则连挑战者的位置都仅仅是勉强保住,都快要掉入niche象限了。查看Arcsight在MQ中陨落的路径可以看到:在持续的团队动荡中,先是技术退步,然后带来市场下滑。平心而论,我认为Arcsight技术表现没有这么糟糕,更多还是受公司折腾伤害太深。在Gartner看来,Arcsight的技术短板主要是架构新老搭配,切换不彻底,而且不同组件架构各不相同;还有就是没有UEBA(目前是OEM Securonix的一个老旧版本)。再看看RSA,10年前凭借envision位居SIEM三甲,后来渐渐荒废,眼看不行又收购了NetWitness,从2012年开始就一直固定在挑战者象限。然后在2018年,突然跳到了领导者象限且位居McAfee之上。仔细对比这两年的MQ报告,初略可以找到这个跳变的原因:因为RSA收购了UEBA厂商Fortscale,同时在SOAR方向OEM了Demisto,教科书般的遵循了Gartner的“教导”,所以排名就飙升了。反观McAfee,要不是去年OEM了一个UEBA产品,估计Leader阵营难保!

4)其它:Rapid7的买买买战略使得其快速扩充技术能力,从2017年开始打榜SIEM  MQ,暂居远见者象限。一众Niche象限的厂商们则要么技术上不完全满足Gartner的研判标准,要么在市场上没有覆盖全球(尤其是北美市场)。Trustwave和FireEye因为其SIEM业务聚焦于MSS/MDR,因此被移出榜单(因为Gartner将MSS/MDR定义为另外一个市场,另有MQ)。NetIQ因为MicroFocus收购Arcsight后产品线重叠而下榜。LogPoint成为了第一家入围Gartner SIEM MQ的欧洲公司。


通过分析入围厂商,我们进一步可以发现:

1)Gartner十分看重UEBA功能。基本上UEBA功能强弱与SIEM厂商的技术地位成正比。UEBA可以说是目前高级安全分析领域中相对最为成熟的分析方法,也可以说是利用AI/ML和大数据做网络安全的最成功的产品化实践之一。Gartner今年4月份发布了最新版的UEBA市场市场指南(Market Guide),表示到2021年独立的UEBA市场将消失,转而作为一个功能特性融入到其他一系列产品中去,其中与SIEM的融合尤为显著。同时,SIEM厂商近些年一直在布局UEBA及其底层的基于ML的行为分析能力,作为对传统基于规则的关联分析的有利补充,并创建更多抓客户眼球的用户视角的威胁场景。SIEM厂商获得UEBA能力的方式多种多样,有不少都采用并购的方式,譬如Splunk的UBA功能来自于2015年对Caspida的收购,RSA则收购了Fortscale。还有的则采用OEM模式,譬如Arcsight、McAfee。

2)大数据架构已经成为主流。并不是说SIEM必须使用大数据架构,因为这是一个应用场景问题而非技术问题。但面对大量数据需要处理的场景时,基于大数据架构的SIEM则必不可少。得益于大数据技术及其生态体系的日益成熟,新型的SIEM厂商有机会利用成熟的大数据技术去构建其底层架构,从而为快速超越传统的厂商创造了有利条件(但不是充分条件)。而传统的SIEM厂商出于维护存量客户和已有投资等原因,无法快速将基于传统RDBMS的数据架构转换成大数据架构,还有的转的又太早(早些年,开源的、轻量级大数据技术尚未成熟)。进一步研究可以发现,像现在比较生猛的Exabeam和Securonix成立时间都比较晚,赶上了大数据技术发展的好时光,其架构都是完全融合大数据技术的。譬如Exabeam的底层数据架构基于ES(ELasticSearch)和Hadoop,消息系统采用Kafka,机器学习(ML)采用Spark,而Securonix也是基于Hadoop、Kafka、HBase、Solr。SIEM三强,虽说不是彻底的大数据架构,但也基本改造完成。Splunk和QRadar采用了自己的NoSQL数据架构,同时推出了支持Hadoop架构的产品版本,LogRhythm的底层数据架构也已经改造成了ES。


Gartner在报告中还专门提及了利用开源工具(譬如ELK、Apache Metron)自己搭建SIEM/SOC解决方案的情景。Gartner的研究表明,尽管这些软件本身是免费的,但使用这些软件还是比较昂贵的,包括成规模的部署的成本,以及事件源接入和分析所需的开发工作量都很大。使用开源工具而非商业化产品不见得能够减少花费。


与这份SIEM MQ报告同期发布的还有SIEM CC(关键能力)报告。这份报告中,Gartner对入围的厂商从三个维度进行了打分排名。更重要地,列举了Gartner在评估SIEM厂商时所关注的关键技术能力,包括:

  • 架构能力:包括产品形态的多样性(软件、硬件、云)、部署的可伸缩性和可扩展性,分布式部署能力、级联部署能力。

  • 部署、运维和支持能力:众所周知,SIEM的成功远非技术平台和工具所能达成,因此SIEM的部署、运维和支持的能力十分重要,包括如何快速高效部署和扩展,如何让用户在人员短缺的情况下高效运维,提供什么样的原厂支持,都很重要。

  • 日志与数据管理能力:包括对日志事件以及非日志数据(如资产、漏洞、情报、报文等)的采集、处理与存储管理的能力。

  • 实时监控能力:这对于威胁检测与事件调查至关重要。这里包括各种实时安全分析的能力,各种可视化呈现能力、仪表板,各种预置的规则、模型、分析策略等。

  • 分析能力:安全分析时SIEM的核心功能。包括规则关联等经典分析功能,以及包括行为分析在内的高级安全分析功能。多种分析方式不是互相排斥的,而是叠加使用的,实现所谓“纵深分析”。

  • 数据与应用监控能力:主要是指针对数据和应用的安全监控,核心是采集并综合分析来自专门的数据与应用安全检测设备的日志,譬如DAP、DAM、CASB、DLP、FIM、EDR等安全系统,还有ERP等各种业务系统。

  • 威胁与情境感知能力:主要是指对各种情境数据的采集与运用,包括威胁情报、弱点、资产信息等。

  • 用户感知与监控:这里就是UEBA功能,尤指UBA。还包括采集和分析IAM、PAM的日志。

  • 事件管理:主要是安全响应相关的能力,包括案件管理、响应工作流等,还可以包括编排与自动化的能力。

  • 威胁检测工具:主要是指与各种高级威胁检测工具的集成,譬如NTA、EDR、沙箱、FPC、FIM、取证工具、欺骗工具等。


深感荣幸地是,笔者作为亲历者,再次参与了这次SEIM MQ的入围工作。也是为了这次入围,笔者推迟了出来创业的时间。相较于去年的第一次参与,这次有了对比,感受也更多。这次评比相较于上次评比在一些评价点上进行了细化,从而使总的评价项又增加了不少。除了技术方面的评价项,还有很多公司战略、产品业务模式、产品市场营销、产品设计与规划方面的评价项。有些评价项是我平时并不怎么关注的,经由Gartner的提醒,倒让我对产品管理有了更多的考量。回头来看,对笔者而言,参与Gartner SIEM MQ入围已经无关产品荣誉,更多则是锻炼自己国际化视野下的产品规划与管理能力。


【参考】

Gartner:2017年SIEM(安全信息与事件管理)市场分析

Gartner:2016年SIEM(安全信息与事件管理)市场分析

Gartner:2015年SIEM(安全信息与事件管理)市场分析

Gartner:2014年SIEM(安全信息与事件管理)市场分析

Gartner:2013年SIEM市场分析(MQ)

Gartner:2012年SIEM(安全信息与事件管理)市场分析报告

Gartner发布2011年SIEM市场分析报告(幻方图)

评Gartner2010年安全信息和事件管理(SIEM)分析报告

Gartner公司对2009年安全信息和事件管理(SIEM)的分析报告