注:本文不是译文

在Gartner 2020年度的SIEM魔力象限出来之前,我们先看看Forrester最新的安全分析平台(Security Analytics Platform)的厂商评估报告(Forrester Wave),发表于2020年12月1日。Forrester的SAP细分市场大致对应于Gartner宇宙的SIEM细分市场

上一次Forrester发布SAP的厂商评估报告还是在2018年,时隔两年多,变化还是比较大的,因为最近几年正值SIEM/SOC/SAP领域翻天覆地的时代。

Forrester在此前的另一份报告《Now Tech: Security Analytics Platforms, Q3 2020》中给出了最新的SAP定义:

SAP构建在大数据基础设施之上,融合来自网络、身份、端点、应用和其它安全相关数据源的日志,产生高保真的行为告警,并促成快速的安全事件分析、调查与响应。

回顾一下Forrester首次定义SAP的时候,是在《Counteract Cyberattacks With Security Analytics》报告中:

SAP是一个构建在大数据架构之上的平台,它融合了来自包括SIM,(特定)安全解决方案,网络流数据,外部威胁情报和各种终端及应用的日志数据、关联数据和报表数据。SAP使用这些信息和机器学习技术为(用户)提供实时监测,促使(用户)更快速地事件检测、分析与响应。

对比一下,定义大致保持一致,并且现在的定义更加简洁。

注意,SAP不等于SA,SA(安全分析)是一种技术,不是一个细分产品市场!

Forrester认为当前SAP的三个核心用途是

  • 通过更好的网络可见性识别位置威胁

  • 借助自动化告警分诊和响应推荐来支撑SOC分析师的工作

  • 实现整个环境的编排化响应

显然,Forrester对SAP的定义外延比经典的SIEM更大,称作下一代的SIEM,更贴近我们现今对安管平台(或者SOC平台)的认知。当然,现在Gartner在分析SIEM市场的时候也早已不在局限于经典SIEM范围了,大家对市场的认识都在趋同。ESG的SOAPA也差不多是一个意思。

在Forrester看来,SOAR是SAP的核心能力,甚至以此来区分不同类型的SAP。此外,Forrester直接使用Gartner宇宙的SOAR术语,以替代原来的SAO。

小结一下,用我们通俗可以理解的话来描述,SAP = 大数据 + SIEM + SOAR + XDR + UEBA。

回到报告,2020年的Forrester Wave象限图如下:

对比一下2018年的Wave象限图:

可以看到,这个变化还是比较大的。

首先,AlienVault已经被AT&T收购,McAfee、Fortinet、Huntsman也没有上榜,而FireEye上榜了。

其次,微软凭借Azure Sentinel上榜,且位置突出,表明Forrester对Cloud SIEM(该术语来自Gartner)市场的重视。而Gartner目前还没有将Cloud SIEM纳入SIEM MQ考察范围。

最后,也是最重要的,维持入榜的厂商位置都发生了较大变化。IBM和Splunk两强领跑,LogRhythm退居二线,Securonix和Exabeam凭借UEBA(Forrester称之为SUBA)技术异军突起。

进一步来看,IBM和Splunk十分贴合Forrester对SAP的看法(也不好说是谁影响了谁),都是SIEM+SOAR的战略,都有云端SAP产品和服务,市场表现也很好。

LogRhythm虽也有SOAR和SaaS版,都这些能力表现都差强人意。不过这个报告没来及讲到的是,就在2021年1月13日,LogRhythm宣布收购云分析平台厂商MistNet,预计将重组其围绕看家的SIEM之上的XDR和Cloud SIEM技术/产品/市场战略。

Micro Focus的Arcsight在经历了数年的大滑坡后,也稍稍回血,先是2019年收购了Interset获得了UEBA技术,然后在2020年7月收购了ATAR Labs获得了SOAR技术,总算是面子上追了回来,但整合的如何尚未可知。而且Forrester认为Arcsight拥抱云相较于其它几个大厂而言太晚了点。

顺带提一下,Micro Focus旗下的Arcsight退步是有目共睹,但Forrester还算手下留情,给它放到的第二档,而Gartner则狠心将其放到了2019年度MQ的第四档。

Forrester对SAP的主要观点

Forrester认为,SAP的未来在云端,因为用户的工作负载在向云端迁移,而且云端具有存储极易扩容、轻松上规模、稳定可靠等特点,另外云端SAP的软件开发与发布更高效。从实际市场来看,Forrester发现主流的SAP厂商都开始提供Cloud SIEM。

  • 微软的Azure Sentinel可谓云原生SAP,走到了GCP Chronicle前面。

  • IBM凭借QRadar和Resilient上榜,同时Forrester也提到了IBM的CloudPak for Security Platform,作为其向云转战的标志。

  • Spunk凭借ES和Phantom上榜,同时其面向云的Misson Control受到关注。

  • Securonix也推出了基于SaaS的多租户版SAP。

Forrester给选择SAP的客户提了4点建议,也就是SAP应具备的4个关键能力

1)客户定制化能力,特指分析内容,分析场景和分析模型的自定义;

2)分析与自动化响应一体化,不仅能够发现问题,还能帮助解决问题;

3)把MITRE的ATT&CK框架作为安全运行的一部分,贯穿检测、调查和猎捕的各个环节;

4)具备XDR的愿景,能够将EDR很好的整合到安全分析中来。

Forrester在评估SAP厂商技术能力的时候,考量的维度包括:部署模式和数据架构、可见性、关联分析能力、威胁检测能力、ATT&CK映射、定制化检测能力、安全编排能力、合规性、平台使用体验、分析能力、风险评分与优先级划分能力。

小结

建议大家结合笔者2019年的Gartner SIEM MQ分析文章来看这个报告,尤其是厂商分析部分。

正如笔者在上个文章《Ponemon:再谈SOC出效果要花多少钱》中指出的那样,SAP/SOC/SIEM迎来了一个大发展的时代,必须求变才能顺应这个潮流。

【参考】

Gartner:2019年SIEM(安全信息与事件管理)市场分析

Gartner:2018年SIEM(安全信息与事件管理)市场分析

Gartner:2017年SIEM(安全信息与事件管理)市场分析

Forrester:2018年度安全分析平台厂商评估

(https://blog.51cto.com/yepeng/2296531)

Forrester:2017年度安全分析平台厂商评估

(https://blog.51cto.com/yepeng/1905181)

声明:本文来自专注安管平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。