2018年12月3日,Gartner正式對外釋出了2018年SIEM市場魔力象限分析報告。新的市場競争格局基本成型,SIEM産品越來越注重威脅檢測和響應,尤其是新型的檢測方法和響應方式。所謂新型檢測方法特指UEBA,及其他進階安全分析方法(如NTA、EDR、欺騙、威脅捕獵等);所謂響應方式特指Gartner提出的SOAR(Security Orchestration, Automation and Response)。
報告顯示,SIEM目前屬于成熟市場,并且競争十分激烈。全球SIEM市場從2016年的20億美元上升到了2017年的21.8億美元(注:這些數字相較于去年的預測有所下降,以最新的為準)。SIEM市場的首要驅動力時威脅管理,其次是安全監控與合規管理。相對欠成熟的亞太和拉美地區的SIEM增長率遠遠高于在北美和歐洲市場。
從銷量上看,主要還是集中在Splunk、Arcsight、IBM、LogRhythm和McAfee身上。
2018年的SIEM MQ矩陣如下圖所示:
可以發現:
1)上司者中三強地位相對穩固:經過三年的時間,SIEM市場三強IBM、Splunk、LogRhythm的第一集團優勢已經形成,不管其它廠商進出上司者象限,他們三家的地位基本穩固。如果稍微調研一下這三家公司的SIEM産品,其實也會發展其産品戰略有諸多相似之處,那便是在進階安全分析領域特别重視UEBA,在安全響應領域特别重視SOAR,同時特别重視雲計算環境下的SIEM應用場景,紛紛推出面向雲計算的SIEM,并提供支援MSSP和SaaS的版本。而IBM還在應用市場領域與Splunk展開激烈的争奪,Splunk的應用市場模式也已經被很多SIEM廠商所仿效,而這也是Splunk能夠稱霸三強的核心競争力。而從自身産品的全面性角度來看,IBM的功能顯然更全,除了進階安全分析和安全響應,還有專門的NTA、弱點管理、風險管理。在進階安全分析領域,除了有流行的UEBA,還整合了Watson的AI功能。Splunk的功能覆寫面雖然不全,但他的優勢還是基于早前基于應用市場建構起來的開放生态。LogRhythm則緊跟Gartner對SIEM市場發展趨勢的研判,自建了UEBA和SOAR功能,同時開發了EDR和NTA探針,進而增強了威脅檢測能力。
2)UEBA成為SIEM的關鍵功能:如果說基于規則的關聯分析是SIEM的核心功能,那麼UEBA就是SIEM的關鍵功能。根據Gartner的預測,到2020年,80%的SIEM産品都将具備UEBA功能。屆時,UEBA恐怕就成為SIEM的另一個核心功能了。也正因為如此,目前位居上司象限的所有SIEM廠商都具備了UEBA功能。而其它SIEM廠商也都紛紛引入UEBA功能,不論是自研還是OEM。而在這些廠商中,最引人注目的當屬憑借UEBA起家的Exabeam和Securonix殺入了SIEM的上司者象限。從2017年兩家廠商首次入圍SIEM MQ到今年位列上司者象限,可見Gartner對其青睐有加。由于這兩家廠商成立時間較短,是以他們的基礎架構相對于其它家都要更為先進,且沒有曆史包袱。而老牌的廠商則要麼面臨老架構向新架構轉型的痛苦,要麼面臨同時維護新老兩套架構的麻煩。而除了UEBA功能及其仰仗的底層大資料架構,Exabeam和Securonix的其它功能的表現其實也就中規中矩,可見UEBA有多讨好。
3)昔日豪強發展各異:對于多年以前在上司者陣營中争奪桂冠的McAfee、DELL(RSA)和MicroFocus(Arcsight)而言,風光不再。McAfee算是三家中相對較好的,自從收購Nitro Security一舉沖高後就從三甲的位置漸漸下滑,近三年都縮居在上司者象限的固定位置。Arcsight則在被HP收購後一路命運坎坷,從2016年跌出三甲,然後一路下滑,2017年退居挑戰者象限,到了2018年則連挑戰者的位置都僅僅是勉強保住,都快要掉入niche象限了。檢視Arcsight在MQ中隕落的路徑可以看到:在持續的團隊動蕩中,先是技術退步,然後帶來市場下滑。平心而論,我認為Arcsight技術表現沒有這麼糟糕,更多還是受公司折騰傷害太深。在Gartner看來,Arcsight的技術短闆主要是架構新老搭配,切換不徹底,而且不同元件架構各不相同;還有就是沒有UEBA(目前是OEM Securonix的一個老舊版本)。再看看RSA,10年前憑借envision位居SIEM三甲,後來漸漸荒廢,眼看不行又收購了NetWitness,從2012年開始就一直固定在挑戰者象限。然後在2018年,突然跳到了上司者象限且位居McAfee之上。仔細對比這兩年的MQ報告,初略可以找到這個跳變的原因:因為RSA收購了UEBA廠商Fortscale,同時在SOAR方向OEM了Demisto,教科書般的遵循了Gartner的“教導”,是以排名就飙升了。反觀McAfee,要不是去年OEM了一個UEBA産品,估計Leader陣營難保!
4)其它:Rapid7的買買買戰略使得其快速擴充技術能力,從2017年開始打榜SIEM MQ,暫居遠見者象限。一衆Niche象限的廠商們則要麼技術上不完全滿足Gartner的研判标準,要麼在市場上沒有覆寫全球(尤其是北美市場)。Trustwave和FireEye因為其SIEM業務聚焦于MSS/MDR,是以被移出榜單(因為Gartner将MSS/MDR定義為另外一個市場,另有MQ)。NetIQ因為MicroFocus收購Arcsight後産品線重疊而下榜。LogPoint成為了第一家入圍Gartner SIEM MQ的歐洲公司。
通過分析入圍廠商,我們進一步可以發現:
1)Gartner十分看重UEBA功能。基本上UEBA功能強弱與SIEM廠商的技術地位成正比。UEBA可以說是目前進階安全分析領域中相對最為成熟的分析方法,也可以說是利用AI/ML和大資料做網絡安全的最成功的産品化實踐之一。Gartner今年4月份釋出了最新版的UEBA市場市場指南(Market Guide),表示到2021年獨立的UEBA市場将消失,轉而作為一個功能特性融入到其他一系列産品中去,其中與SIEM的融合尤為顯著。同時,SIEM廠商近些年一直在布局UEBA及其底層的基于ML的行為分析能力,作為對傳統基于規則的關聯分析的有利補充,并建立更多抓客戶眼球的使用者視角的威脅場景。SIEM廠商獲得UEBA能力的方式多種多樣,有不少都采用并購的方式,譬如Splunk的UBA功能來自于2015年對Caspida的收購,RSA則收購了Fortscale。還有的則采用OEM模式,譬如Arcsight、McAfee。
2)大資料架構已經成為主流。并不是說SIEM必須使用大資料架構,因為這是一個應用場景問題而非技術問題。但面對大量資料需要處理的場景時,基于大資料架構的SIEM則必不可少。得益于大資料技術及其生态體系的日益成熟,新型的SIEM廠商有機會利用成熟的大資料技術去建構其底層架構,進而為快速超越傳統的廠商創造了有利條件(但不是充分條件)。而傳統的SIEM廠商出于維護存量客戶和已有投資等原因,無法快速将基于傳統RDBMS的資料架構轉換成大資料架構,還有的轉的又太早(早些年,開源的、輕量級大資料技術尚未成熟)。進一步研究可以發現,像現在比較生猛的Exabeam和Securonix成立時間都比較晚,趕上了大資料技術發展的好時光,其架構都是完全融合大資料技術的。譬如Exabeam的底層資料架構基于ES(ELasticSearch)和Hadoop,消息系統采用Kafka,機器學習(ML)采用Spark,而Securonix也是基于Hadoop、Kafka、HBase、Solr。SIEM三強,雖說不是徹底的大資料架構,但也基本改造完成。Splunk和QRadar采用了自己的NoSQL資料架構,同時推出了支援Hadoop架構的産品版本,LogRhythm的底層資料架構也已經改造成了ES。
Gartner在報告中還專門提及了利用開源工具(譬如ELK、Apache Metron)自己搭建SIEM/SOC解決方案的情景。Gartner的研究表明,盡管這些軟體本身是免費的,但使用這些軟體還是比較昂貴的,包括成規模的部署的成本,以及事件源接入和分析所需的開發工作量都很大。使用開源工具而非商業化産品不見得能夠減少花費。
與這份SIEM MQ報告同期釋出的還有SIEM CC(關鍵能力)報告。這份報告中,Gartner對入圍的廠商從三個次元進行了打分排名。更重要地,列舉了Gartner在評估SIEM廠商時所關注的關鍵技術能力,包括:
- 架構能力:包括産品形态的多樣性(軟體、硬體、雲)、部署的可伸縮性和可擴充性,分布式部署能力、級聯部署能力。
- 部署、運維和支援能力:衆所周知,SIEM的成功遠非技術平台和工具所能達成,是以SIEM的部署、運維和支援的能力十分重要,包括如何快速高效部署和擴充,如何讓使用者在人員短缺的情況下高效運維,提供什麼樣的原廠支援,都很重要。
- 日志與資料管理能力:包括對日志事件以及非日志資料(如資産、漏洞、情報、封包等)的采集、處理與存儲管理的能力。
- 實時監控能力:這對于威脅檢測與事件調查至關重要。這裡包括各種實時安全分析的能力,各種可視化呈現能力、儀表闆,各種預置的規則、模型、分析政策等。
- 分析能力:安全分析時SIEM的核心功能。包括規則關聯等經典分析功能,以及包括行為分析在内的進階安全分析功能。多種分析方式不是互相排斥的,而是疊加使用的,實作所謂“縱深分析”。
- 資料與應用監控能力:主要是指針對資料和應用的安全監控,核心是采集并綜合分析來自專門的資料與應用安全檢測裝置的日志,譬如DAP、DAM、CASB、DLP、FIM、EDR等安全系統,還有ERP等各種業務系統。
- 威脅與情境感覺能力:主要是指對各種情境資料的采集與運用,包括威脅情報、弱點、資産資訊等。
- 使用者感覺與監控:這裡就是UEBA功能,尤指UBA。還包括采集和分析IAM、PAM的日志。
- 事件管理:主要是安全響應相關的能力,包括案件管理、響應工作流等,還可以包括編排與自動化的能力。
- 威脅檢測工具:主要是指與各種進階威脅檢測工具的內建,譬如NTA、EDR、沙箱、FPC、FIM、驗證工具、欺騙工具等。
深感榮幸地是,筆者作為親曆者,再次參與了這次SEIM MQ的入圍工作。也是為了這次入圍,筆者推遲了出來創業的時間。相較于去年的第一次參與,這次有了對比,感受也更多。這次評比相較于上次評比在一些評價點上進行了細化,進而使總的評價項又增加了不少。除了技術方面的評價項,還有很多公司戰略、産品業務模式、産品市場營銷、産品設計與規劃方面的評價項。有些評價項是我平時并不怎麼關注的,經由Gartner的提醒,倒讓我對産品管理有了更多的考量。回頭來看,對筆者而言,參與Gartner SIEM MQ入圍已經無關産品榮譽,更多則是鍛煉自己國際化視野下的産品規劃與管理能力。
【參考】
Gartner:2017年SIEM(安全資訊與事件管理)市場分析
Gartner:2016年SIEM(安全資訊與事件管理)市場分析
Gartner:2015年SIEM(安全資訊與事件管理)市場分析
Gartner:2014年SIEM(安全資訊與事件管理)市場分析
Gartner:2013年SIEM市場分析(MQ)
Gartner:2012年SIEM(安全資訊與事件管理)市場分析報告
Gartner釋出2011年SIEM市場分析報告(幻方圖)