2020年2月18日,Gartner终于发布了2019年度的SIEM市场魔力象限分析(MQ)报告,比原定2019年12月底的发布时间推迟了近3个月,拖到了2020年,以至于有人直接将这份报告称作2020年SIEM MQ报告(说起来也对)。顺便提一句,在2016年及以前,SIEM MQ一般都是在8月份发布,2017年原本也是如此,但由于各种原因推迟到了12月,此后2018年也是在12月发布。这次干脆跳票到了次年2月份,不知道再往后的调研及发布时间会如何安排。

今年的报告中,Gartner对SIEM的定义做了一点微调,删除了几个词。SIEM被定义为实时地分析安全事件数据,以满足用户对于攻击和泄露进行早期检测的需要。SIEM系统对安全数据进行收集、存储、调查,并支持缓解和报告,以实现事件应急响应、取证与合规。原文前半部分如下:

The security information and event management (SIEM) market is defined by customers’ need to analyze security event data in real time, which supports the early detection of attacks and breaches.

而在2018年的报告中,则是这么写的:

Gartner defines the security and information event management (SIEM) market by the customer’s needto analyze event data in real time for early detection of targeted attacks and data breaches.

去掉“定向”和“数据”两个词的用意在于扩大了攻击和泄露的范畴。

2019年度的SIEM MQ矩阵如下图所示:

对比一下2018年的矩阵:

基于Gartner最近这两年的MQ报告,结合相关厂商的其它信息,部分分析如下。

先从厂商视角来看:

SIEM三强变两强:LogRhythm终究还是没有挺住,在3年后退出了三强之列,SIEM的头部格局变成了IBM和Splunk两强之争。Gartner对LogRhythm的第一个警告就是其在向现代SIEM架构迁移过程中落后了。尽管它用了ES,也算基于大数据架构了,但还是混合型架构,还没有摆脱对Windows和MS SQL的依赖。显然,越往后发展,架构问题越发成为制约其产品能力的瓶颈。

UEBA两强华丽转身:Gartner没有对UEBA厂商做过MQ,估计以后也不会做了,因为它不是一个产品细分市场,而是一种技术。因此,Gartner会出UEBA的MG(市场指南)。在MG中会列举典型的UEBA厂商。凭感觉,Exabeam和Securonix算得上是靠前的UEBA厂商吧。而这两个厂商最大的亮点就是转型SIEM市场,并且转的很成功,从2017年上榜,到第三年就已经跻身领导者阵营。作为初创公司,他们也得到了资本的垂青。作为看惯了SIEM MQ厂商变迁的笔者,认为他们的归宿大概率是被某个大厂收入囊中。

多个厂商改换门庭:AlienVault已经被运营商AT&T收购,并专注于SaaS模式。尽管以前的设备/软件版本还继续售卖,但估计会逐步收缩。此外,RSA在这份报告中虽然还算在Dell旗下,但我们已经知道它最近被DELL卖给了私募基金。还有,LogRhythm业已被私募股权公司Thoma Bravo拿下。

上面提到的是上榜MQ的厂商被并购的情况,还没有提到他们收购别人的情况。而更多没有上榜的,并购其实更加频繁。

其它厂商点评

大厂McAfee终于也退出了领导者阵营。Gartner给McAfee的负面评价包括:UEBA能力较弱,没有群组分析功能,SOAR能力也较弱。

MicroFocus的Arcsight继续陨落,继2017年掉出领导者象限后,今年更是来到了第四象限。尽管2019年初收购了Interset终于有了自己的UEBA,但尚未完成整合;虽然架构也基本完成了向大数据的迁移,但还是太复杂,而且用户界面和体验还是太差;最后就是创新能力明显不足,譬如还没有SOAR。仔细看MQ矩阵,会发现Arcsight在坐标横轴位置居然位居所有厂商最末尾!Gartner有多么不待见Arcsight,起码在五维度横向评比中位居中游啊。

Rapid7继续上升,2019年来到了领导者象限。

特别关注:还有一些厂商,Gartner认为其在市场定义上并不匹配其SIEM定义,尽管有的产品也被这些厂商称作SIEM。这里就包括微软的Azure Sentinel和Chronicle的BlackStory。作为SaaS服务,这两家的产品笔者之前专门做过分析,这里暂不表述。另外还有Elastic、Sumo Logic和Devo等公司。他们都开始在安全领域发力,甚至出手并购安全公司,譬如Endgame、JASK等,都自称推出了SIEM产品。此外,还有一类公司,把自己包装成我称之为“下一代日志管理”的产品,也就是Gartner所谓的“基于机器学习的日志分析”,虽够不上Gartner的SIEM产品界定标准,但也正试图蚕食一部分SIEM市场,并在迅速与SIEM融合。

再从产品视角来看:

继UEBA之后,SOAR迅速成为SIEM的重要功能:上榜的大部分厂商都通过各种方式补齐了SOAR方面的能力。IBM、Splunk、Rapid7、Fortinet、FireEye是靠收购获得SOAR;RSA、Securonix是通过OEM;Exabeam、McAfee、LogRhythm、AlienVault则分别发布了各自轻量级的SOAR组件。

Gartner在2019年的厂商评估流程中,已经明确提出要厂商描述原生的UEBA功能,但并未要求描述SOAR功能。不过,Gartner要求厂商在给其做产品演示的时候,提及了SOAR相关功能的演示环节。

各大厂商纷纷扩充产品组合:Garnter近几年一直有个公式:SOC平台 = SIEM + UEBA + EDR + NTA + SOAR。不好说是用户需求和厂商的做法促使Gartner有了这种观点,还是Gartner的这种观点让厂商们(尤其是为了入选MQ)如此。总之,这个趋势越来越显著。

IBM的QRadar不必多言,其很早就在SIEM产品线下集合了VM、NDR、UEBA以及收购自Resilient的SOAR产品,自家也有TIP,遗憾的是缺少EDR产品。

LogRhythm的SIEM产品线也囊括了NDR、UEBA,以及轻量级的EDR和SOAR功能。

Securonix作为一家初创公司,在SIEM领域的步子迈的很大。跟Exabeam很不同,它2019年通过OEM快速扩充其产品线。从CyberSponse那里OEM了SOAR,从Corelight那里OEM了NTA探针。但这样做的风险也是很大的。不知道CyberSponse归属Fortinet后是否要寻找后备。

Rapid7的产品线也比较齐整,除了内嵌UEBA的SIEM,还包括漏洞管理、SOAR,2019年收购了一家名为NetFort的NTA小厂,获得了网络探针能力,此外自己还有一个轻量级的端点Agent。

AT&T旗下AlienVault的SIEM产品线也很注重自身产品组合的完整性,除了顶在最上面的USM平台外,还打包了自家的资产发现、漏洞扫描、IDS(相当于NTA)、EDR,以及威胁情报产品,还发布了SOAR功能,但缺少UEBA能力。

RSA由其前些年收购的NetWitness团队担纲SIEM产品线,并对其产品组合进行扩充,除了顶在上面的NWP,还推出了日志管理、EDR、NDR、UEBA和SOAR产品。其中,UEBA源自其收购的Fortscale,SOAR则OEM自Demisto,在Demisto被PAN收购后又改为OEM Threat Connect的SOAR。

FireEye的SIEM产品线也集成了自家的EDR、NDR和威胁情报产品。

Fortinet的SIEM产品线源自其2016年收购的AccelOps,如今也整合了轻量级EDR和威胁情报功能,以及收购自ZoneFox的UEBA产品。此外,Gartner报告还没有来得及讲的是就在2019年的12月份,Fortinet收购了CyberSponse,获得了成熟的SOAR产品。

说起来,这种产品组合拳的打法国内更擅长。但对于不同的厂商而言,这样做的利弊需要谨慎衡量,并非总是OK。这里的产品组合也包括方案组合,在落地的时候也会有不同的产品路线,或者自研,或者OEM,或者结盟,或者创建/融入开放生态。如果选择自研,还有不同的技术路线。还有一种方法,就是炒而不做。上面列举的那么多公司的产品,路线选择可谓是八仙过海、各显神通。

总之,对于大厂,总是有更多的玩法可以选择,且有时间去试错。而对于小厂或者初创公司,就要慎重考虑了,有限的资源恐怕难以覆盖如此宽广的市场需求。还有的时候,背后的资本力量也是促使厂商们如此行事的一个隐藏因素。

回到SIEM市场本身。

SIEM的基本使用场景并非变化,还是高级威胁检测、基础安全监控,以及调查与应急响应。威胁管理依然是SIEM的首要驱动因素,其次是监控与合规。

报告指SIEM市场趋于成熟,竞争激烈。全球市场规模从2017年的23.19亿美元增至2018年的25.97亿美元,市场份额主要集中在Splunk、Arcsight(不要奇怪)、IBM和LogRhythm手里。而据Gartner另外的资料表明,SIEM全球支出在2019年预计将达到34.7亿美元。可以说,SIEM市场规模较大,增速也远高于安全市场总体平均值。

正是因为大家都看到了这个好市场,也看到了客户不断增长的需求,看到了SIEM正处于技术革新的转型期,各色厂商纷纷入局。国外如此,国内亦是如此。

所以,我们可以看到云厂商开始涉足SIEM,将其封装为SECaaS的一个关键能力,国外有Azure,AWS,Google云,国内则见于阿里、腾讯。我们还看到各大安全厂商纷纷布局SIEM,有传统综合性安全厂商,也有新晋的上市公司,更有试图颠覆安全市场的新兴综合性安全大厂,他们皆将SIEM视为其产品战略的关键一环,被看作是安全软件平台之母。我们也看到不少创业公司投入这个领域,试图通过颠覆性技术和迎合特定客户的新需求切入这个市场。国外如此,国内亦然。

与这份SIEM MQ报告同期发布的还有SIEM CC(关键能力)报告。这份报告中,Gartner对入围的厂商从五个维度(跟2018年不同)进行了打分排名。更重要地,列举了Gartner在评估SIEM厂商时所关注的关键技术能力,跟2018年度也有不同,包括:

  • 架构/部署/伸缩性;

  • 云就绪情况(今年新增);

  • 运维与支持;

  • 数据管理能力;

  • 分析能力;

  • 应急响应管理;

  • 内容包及其管理,即知识工程(今年新增);

  • 取证与威胁猎捕(今年新增);

  • 用户体验与用户接口(今年新增)。

写在最后:

今年Gartner SIEM MQ评估之时,笔者已经创业,无缘再次亲身参与其中。不过笔者不断从多个侧面了解整个进程,算是对评选工作略知一二。

从技术维度看,评估标准与往年比并没有特别多的变化,一切都紧随Gartner所有报告中对SIEM的技术论述。

从市场维度看,此次评估标准中对于中国厂商而言最关键的一点是对SIEM营收有很强的国际化的要求。Gartner要求上榜厂商必须有15%及以上的公司总部所在国家之外的海外营收。也就是说,如果你的公司总部在中国,那么就要有15%以上的非中国(海外)收入。同时,Gartner要求上榜厂商必须在亚太、北美、欧洲中东非洲、拉美四个区域的至少两个区域中有销售与市场运作行为,并且分别拥有至少10个客户。这两条标准表明Gartner对于SIEM产品十分看重厂商的国际化能力。而这对于中国厂商而言是一个比较高的门槛。在2018年及以前虽然也有国际化方面的评估,但都没有这次的量化程度高。所以,我们看到多个国内厂商虽然参与评估,但最终未能上榜,仅获提名。但我们也看到了有中国公司入榜,让笔者颇为惊讶,刮目相看。

把话题进一步延伸开来,我们发现不仅是SIEM MQ,其它安全产品的MQ也都在加强对国际化的要求。一方面是因为参与的厂商越来越多,而上榜的公司则不能太多,另一方面体现了Gartner的国际范儿。因此,近几年来我们已经看到多个产品的MQ报告中有中国厂商由于国际化不达标而下榜。当然,国际化也是未来对中国领先安全厂商的一个必然要求,国际化对于中国公司是挑战更是机遇。再进一步说,ToB软件的国际化尤其难,我们尚需努力。

声明:本文来自专注安管平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。