北京时间2024年5月16日,IBM和派拓网络(Palo Alto Networks,简称PANW)签署了一揽子合作协议,并宣布将QRadar SaaS资产出售给PANW,同时,IBM未来将主推PANW的SOC产品XSIAM,并且IBM咨询部门将依托XSIAM开展MSS业务,而PANW则凭借收购来的QRadar SaaS资产一次性获得大量客户,强势进入SIEM/SOC市场

合作条款

根据IBM网站的官方新闻,笔者整理了以下几点跟SIEM密切相关的信息:

  1. IBM将与PANW一道,促使QRadar云平台的客户免费迁移到PANW的下一代SOC平台——XSIAM上。言外之意, PANW其实购买的是QRadar的云上客户,并不打算继续升级云版QRadar。至于QRadar的本地化版本,IBM表示会继续维护,但也会说服这些用户向XSIAM迁移。言外之意,就是本地版QRadar被废也是早晚的事儿。

  2. IBM将PANW作为其在SOC领域合作的首选伙伴,以后主推PANW的SOC产品。

  3. IBM的咨询部门将使用XSIAM作为其对外提供MSS的平台。也就是说,以后IBM的MSSP业务也是基于XSIAM了,原来用到的QRadar下架也是必然的。

IBM投诚

可以发现,对IBM而言,彻底放弃了QRadar SIEM产品线,将客户打包卖给了PANW,其现有SIEM产品将快速走向终结。同时,IBM目前也不打算收购或者研发新一代的SIEM/SOC产品,而是主推PANW的SOC类产品(成为PANW的代理商/集成商?)。笔者不禁感叹,与通常的出售不同,买家要的根本不是这套软件本身,而只是它上面的客户

IBM在2011年买入了Q1 Labs,获得了QRadar SIEM,以取代此前自己的SIEM产品(这其实是第N次替换),并成立了专门的IBM Security部,对Q1 Labs团队委以重任。此后,IBM QRadar多年位居SIEM领导者前列,直到最近几年开始掉队,但依然稳居Gartner SIEM魔力象限的领导者阵营,并持续通过收购获得了补强了EDR(ReaQta,2021年)、ASM(Randori公司,2022年)等组件。

笔者不禁好奇,难道IBM现在的SIEM/SOC业务就那么不济吗?为什么它不采用以前屡试不爽的手段,买一个SIEM公司,重振其SIEM业务?难道它不知道SIEM/SOC业务对IBM的重要性吗?最近两年陆续收购的EDR、ASM业务未来怎么办,一起废掉?笔者估计,可能是IBM对其QRadar的架构失望透顶了,因为其架构已无法代表未来发展趋势,且难以重构。尤其是QRadar在向云上转移的过程比较坎坷,虽然最终上云,但显然没有达到预期,架构问题可能还是关键。除了上云,QRadar这些年来主要的变化还是集中在追加功能上,变得越来越庞大复杂,也进一步加重了现有架构的负担。

PANW起势

对PANW而言,将一次性获得大量的IBM SIEM客户,一举跻身SIEM市场前列,也说明PANW对其XSIAM产品信心十足。相信接下来会大举拓展SIEM市场。

作为SIEM/SOC领域的新兴力量,PANW对其SOC产品XSIAM投入不小。在RSAC2021上,PANW的创始人兼CTO Nir Zuk做了一个题为《自动驾驶的SOC之旅》的主题报告,首次对外展示了PANW的自主SOC理念【尽管笔者并不认同“自主”这个词,但自动化的作用毋庸置疑】。2022年初,XSIAM的第一代产品发布。2023年底,XSIAM2.0发布。2024年5月,又发布了运用GenAI技术的Precision AI解决方案。在XSIAM推出的2年时间内,它迅速获得了采用,在最近一个季度的预订量超过9000万美元,势头很猛。

但有意思的是,在2024年5月Gartner刚发布的SIEM MQ报告中,还特意提到了PANW,说其XSIAM产品不符合Gartner此次评估标准而未能入榜。Gartner认为XSIAM更适合那些希望购买PANW全家桶的客户。言外之意,就是认为XSIAM的开放性和生态并不好。不知道这次PANW强势购买IBM SIEM客户的行为,Gartner会作何感想。其实,据笔者对XSIAM的长期跟踪调研,认为还是一款很棒的SIEM+产品,更接近我国的安管平台产品。

关于LogRhythm与Exabeam合并

就在IBM公布该并购之前几个小时,另外两大SIEM厂商LogRhythm和Exabeam宣布合并。这同样是一家老牌(老气)的SIEM厂商自我救赎的例子。LogRhythm拥有排名靠前的SIEM市场份额,但架构老化,在Gartner SIEM MQ的矩阵位置逐年下滑。而Exabeam作为当年的新兴SIEM厂商,凭借UEBA强势入局,如今也已经锋芒不在,需要一针强心剂。

有了Splunk、IBM QRadar、LogRhythm和Exabeam短时间内刮起的并购旋风,相信未来国际SIEM市场还有大变化。

启示

事实再次表明,SIEM/SOC市场的技术架构转型已经开始,并已经表现在市场并购上,而SIEM、XDR、SOAR、TDIR、EM等技术将进一步碰撞融合。

可以查阅我之前发布的文章,了解SIEM/SOC未来技术发展趋势。

【参考资料】

从RSAC2024看SOC发展趋势

再见!爱因斯坦计划,网安态势感知迎来转型

从Garnter2023年北美安全与风险管理峰会看SIEM和SOC的发展趋势

从RSAC2023看安全运营的技术发展趋势

从Gartner2022年魔力象限看SIEM未来发展

重新定义SOAR(2023年重编完整版)

SIEM的未来

声明:本文来自专注安管平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。