关键词:
2017年度的Gartner SIEM魔力象限在比往常推迟了4个月之后终于发布了。在Gartner眼中,SIEM已经是一个成熟市场。但这个市场依然十分活跃:客户需求在变化,市场格局也在变化,技术革新也在不断重塑SIEM自身。让我们先看矩阵:
对比一下2016年度的矩阵:
可以说,这是自2014年以来,变化最大的一次(可以参见我下面的历年分析文章)。我将这些变化总结为5点:
1)领头羊之争日趋激烈,去年是IBM和Splunk各执牛耳,几年则是IBM QRadar略胜一筹,颇有当年Arcsight独领风骚的气势,却不知能否保持多久。一方面得益于IBM在QRadar产品线上的持续大力投入,ML和UEBA功能组件纷纷上线,appmarket也推出来了,加上他整个套件的组件十分齐全,覆盖了Gartner所有的SIEM评估点,还有近期收购来的安全编排产品Resilient加持,;另一方面也是因为Splunk今年稍有退步。主要还是因为太贵,授权方式不合理,此外毕竟安全只是Splunk的一个分支而非全部,并没有如QRadar那样投入巨大。
2)Arcsight节节败退(参见我的博文《颠沛流离的Arcsight,辉煌不再》),历史上第一次退出了第一象限。我对Arcsight是很有感情的,毕竟是我们团队最早将其引入中国。曾经独占鳌头的光景早已消失,而被并入MicroFocus更加剧了它的不确定性。其实Arcsight近几年一直在升级他的底层技术架构,也推出了支持Hadoop的大数据版,还发布了appmarket,但也许是历史包袱太重,要想重构,任重道远,可偏偏又遇上HPE这个主儿,稳定的持续的研发投入打上了一个大问号。据我所知,MicroFocus收了HPE的软件部门后,首要的工作就是cost down(否则并购干嘛呀),前HPE软件部中国区已经开始散场,加上MicroFocus还有另一款SIEM产品NetIQ(也在SIEM MQ中混迹多年),真不知道未来会怎样。面向未来,同时做两个SIEM显然浪费,恐怕更多是要给存量客户一个交代吧。
3)UEBA厂商强势入榜,代表厂商就是Securonix和Exabeam。Gartner已经反复讲过UEBA未来只有两条路,一条是大路,即与其它产品融合,成为一个Feature,而融合首选是SIEM;另一条路就是成为剩余的少数几家独立的UEBA产品供应商。于是,Securonix和Exabeam作为UEBA领域的领先者主动求变,挺进SIEM市场。他们的特点是新,基于新的NoSQL和大数据平台架构,充分利用ML(机器学习)技术,UI也是最新的流行样式,报价体系简洁,价格比大厂更具竞争力。当然,他们存在的问题也在于新,大数据架构的引入导致相关的维护难度提升。可以说,UEBA的入榜将加剧未来SIEM市场的格局动荡,相信未来会有更多的相关并购出现。
4)中国厂商第一次入榜。对于中国客户和从业者而言,这是一个亮点。作为SIEM产品的负责人,本人有幸全程参与了这个过程。从旁观者到亲历者,体验是大大的不同,经验也是一大把,有机会另文撰述。这里只想提一句:入围Gartner SIEM魔力象限是一项十分艰苦的工作,不仅要跨越语言的障碍,还要扭转国外同行对中国厂商只能做安全硬件设备的误解。同时,SIEM产品的魔力象限考核指标是Gartner所有安全产品评估中最难、最复杂的,评价的指标项超过200个(指标之间相互关联,十分缜密)。期间,我们和分析师反复沟通,进行了十几次电话会议,数次北京的见面沟通,在美国的现场沟通,产品演示,提交各种产品资料和原理设计文档,等等等等。分析师对产品的分析十分严谨,所有能写进报告的项目都必须提供能让他信服的proven(证据)。至于技术方面,我们的SIEM覆盖了Gartner考察的大部分指标,包括流分析,ML。有机会,各位可以阅读另一个报告——《Gartner Critical Capabilities for SIEM, 2017》——一探究竟。
5)FireEye进入SIEM市场。FireEye的玩法与众不同,走的是SECaaS的路子,借助其假设在AWS上的威胁分析平台(TAP),以SaaS模式提供SIEM。其实,这里还是有很多tricky的地方,因为SIEM as a Sevice跟MSS/MDR之间的界限并不是那么地清晰。而MSS市场是不在SIEM MQ考察范围之内的。Anyway,FireEye现在已经是一个大厂,想玩SIEM,有何不可?
分析完厂商,回到SIEM市场本身。
2016年,SIEM全球销量达到了21.7亿美元,在所有细分市场中,属于很高增速的市场,在亚太新兴地区和拉美的增速尤其高,总体上呈现一片繁荣景象。在全球范围内,威胁检测与管理都已经成为主要的市场驱动力,超越了合规与监测。越来越多的客户提出了集成威胁情报、行为建模和有效分析的需求。
在市场格局上,四大厂商占据了60%的市场份额。
Gartner还持续跟踪了一种新的迹象,就是有人在利用开源的大数据分析平台(譬如ELK,Apache Metron)搭建SIEM类系统。Gartner表示,他们调研了一些这类客户,发现他们当初是为了降低购买商业化SIEM的成本而投入到开源平台的怀抱,但真正深入下去发现,成本其实并不低,改造、开发的工作量很大,并不适合大部分客户。Gartner还是建议客户根据自身的安全管理成熟度选择适合自己的SIEM部署模式:自建、购买,或者采用外包服务(这个还有多种细分模式),还有共建。对于成熟度较低的,干脆建议先别上SIEM,转而先去上LM(日志管理)。
Gartner表示,尽管依然可见不少客户部署SIEM失败的案例,但大家依然热此不疲。足见背后的需求推动力大过了部署失败的风险。
伴随着SIEM MQ的发布,Garnter还发布了SIEM的关键能力评估报告(简称CC,Critial Capabilities)。
在CC报告中,Garnter对此次入围的19个厂商从三个维度(基础安全监测、高级威胁检测和取证与事件响应)进行的打分和横向对比分析。Gartner预测,到2020年,75%的SIEM将采用大数据技术作为其内核,同时广泛借助ML去提升威胁检测的能力。
Garnter建议客户:
1)将包括安全、IT和网络运维、审计与合规、法务、HR等部门的利益攸关者们的调研信息做为输入,对SIEM的需求和场景用例做好文档化;
2)制定一份多年的SIEM部署路线图,确保所有需要上马的功能和伸缩性需求在SIEM技术选型的时候得到评估;
3)选择SIEM技术的时候,必须跟客户当前的或者是期望的成熟度相匹配,要适配自身的资源、专家团队、现有和将要使用的其他工具,SIEM解决方案必须能够与现有的安全监测与响应工具进行整合。
在CC中,Gartner将SIEM的关键能力分为了以下几个方面(每个方面还有很多细节划分,这里省略):
1)实时监测;
2)事件(Incident)响应与管理;
3)高级威胁防御;
4)业务情境与安全情报;
5)用户监测 ;
6)数据与应用监测;
7)高级分析;
8)部署和支持的便捷性;
由于这次实际参与了评比,我们发现他们对这些能力进行了十分细致的划分,总共设计出了200多个指标项,来考察每个产品,基本上我们能想到的功能点他都涵盖了。所以我在《再谈SIEM和安全管理平台项目的失败因素(1)》中说,“Gartner 对 SIEM 研究时间之长、范围之广、程度之深”,令人赞叹。Gartner知识库中跟 SIEM/安管平台/SOC 有关的文章/报告/博客数量之多,我至今也没有看完过。
【参考】
Gartner:2016年SIEM(安全信息与事件管理)市场分析
Gartner:2015年SIEM(安全信息与事件管理)市场分析
Gartner:2014年SIEM(安全信息与事件管理)市场分析
Gartner:2012年SIEM(安全信息与事件管理)市场分析报告
评Gartner2010年安全信息和事件管理(SIEM)分析报告
Gartner公司对2009年安全信息和事件管理(SIEM)的分析报告
gartner:2017年11大信息安全技术(解读版)
在2017年6月份举办的第23届Gartner安全与风险管理峰会上,Gartner的Fellow——NeilMcDonald发布了2017年度的11个最新最酷的信息安全技术,比往年的10大技术多了一项。以往都是通过互联网了解Gartner的各种信息和报告。这次,本人有幸亲... 查看详情
manageengine(log360)连续三年获gartner认可
...8日-实时IT管理公司ManageEngine今天宣布,它已获得认可于Gartner2018安全信息和事件管理魔力象限(SIEM)。这是ManageEngine的SIEM解决方案Log360连续三年在本报告中被提名。有关完整报告的免费副本,请访问www.manageengine.com/log-management/g... 查看详情
gartner:检测与响应是2017年企业安全的最高优先级
美国时间2017年3月14日,Gartner发表了一篇题为《GartnerSaysDetectionandResponseisTopSecurityPriorityforOrganizationsin2017》的新闻稿。文章摘录了《MarketInsight:SecurityMarketTransformationDisruptedbytheEmergenceofSmart,Pervasivean 查看详情
gartner:网络信息安全投入依然不在中国政企客户优先投入之列
2017年2月,Gartner发布的《2017年CIO议程》调查报告显示,中国政企客户对安全的投入优先级低于国际平均水平,不在其优先投入之列。这份报告访谈了全球93个国家2598名CIO,其中75人来自中国。3月22日,Gartner发布新闻称“中国CIO... 查看详情
elastic在siem市场继续获得动力
...ikePaquetteElastic仅在市场上推出了两年就成功交付了领先的安全信息和事件管理(SIEM)产品。根据IDC2021年全球安全信息和事件管理市场份额:CardinalSIEM报告,Elastic是增长最快的SIEM之一(同比增长超过80%),并且... 查看详情
2017年内容安全十大事件盘点
2017年内容安全十大事件 2017年是内容大爆发年,以直播、短视频为代表的娱乐视听产品涌现,泛文娱产品交互形式更加丰富、UGC信息海量增长,但随之而来的是有害信息隐患对用户体验和企业利益带来的巨大挑战。 另一... 查看详情
siem在pcidss和安全等级保护合规性中的作用
...到威胁,因此许多人在过去几年中采取措施来遵守PCIDSS和安全等级保护规则。主要目标通常是强调实现持续合规。考虑到这一点,主动安全监控控制变得比以往任何时候都更加重要。日志管理是IT安全专家多年来所强调的,SIEM解... 查看详情
2017年内容安全十大事件盘点
...方面,2017年多项互联网内容治理政策相继出台,《网络安全法》正式实施,互联网内容安全在政策和法律监管上表现进一步收紧,对内容平台不良治理能力的要求更加严格。值此年末,网易云安全(易盾)盘点回顾下2017年内 查看详情
响应网络安全事件的三个必备工具
从Gartner披露的信息来看,2021年发生的安全事件平均违规成本达到了17年以来的峰值。值得注意的是,安全事件中10%是由勒索软件引起,预计这一占比将在2022年继续增加。为了更好应对网络安全威胁,安全与风险... 查看详情
日志服务与siem(如splunk)集成方案实战(代码片段)
...云上的所有法规、审计、与其他相关日志能够导入到您的安全运维中心(SOC)中。名词解释LOG(SLS)-阿里云日志服务,简写SLS表示(SimpleLogService)。SIEM-安全信息与事件管理系统(SecurityInformationandEventManagement),如Splunk,QRadar等... 查看详情
ossim安装注意事项
OSSIM安装注意事项1.如何选择OSSIM版本SIEM(安全信息和事件管理)是软件和服务的组合,是安全信息管理和安全事件管理的融合体。SIEM可以管理企业IT资源产生的安全信息(包括日志、告警等)进行统一的实时监控误操作行为进行监... 查看详情
普华永道:2017年全球信息安全状况调查分析
2016年11月,普华永道发布了2017年的全球信息安全状况调查报告,并附带了中国相关的调查结果。报告显示,在中国大陆和香港地区:1)约1/3的受访企业表示了其投资安全领域的人工智能和机器学习的意愿;2)2016年中国内地及... 查看详情
瑞数信息再次入选gartner《2022年中国ict技术成熟度曲线报告》云安全示例厂商
2022年7月,全球权威IT研究与顾问咨询公司Gartner发布《2022年中国ICT技术成熟度曲线报告》(HypeCycleforICTinChina,2022》,瑞数信息凭借近年来在云安全方向的突出表现,被列为云安全领域示例厂商(SampleVendor)... 查看详情
2020最酷的20个siem风险与威胁情报公司
...curiti.AI的核心业务是隐私合规自动化,但是对于整个网络安全业界、企业和资本来说,真正的热点和重点依然是基于风险管理和安全成熟度框架的安全运营能力提升,而威胁情报内生化、安全加固实战化和运维自动化则是推动企... 查看详情
2017年全国职业技能大赛“网络信息安全与评估”
第一阶段任务一:网络平台搭建 目录1 WAF设备配置过程...12 DCRS的配置过程...23 DCWAF的配置过程...34 &n 查看详情
gartner发布2022-2023年八大网络安全趋势预测,零信任是起点,法规覆盖更广
Gartner近日公布的网络安全重要趋势预测显示:高管绩效评估将越来越多地与网络风险管理能力挂钩;未来三年内,全球近三分之一的国家将通过立法对勒索软件应对措施进行规范;安全平台整合将保障企业机构即... 查看详情
2017年上半年重大黑客事件盘点
...击事件。正如我们所预料的,2017年我们将面对更严峻的安全挑战!下面让我们共同回顾下截至当前,网络上所发生的重大的安全事件。2017年上半年重大黑客事件盘点1.加拿大贝尔公司190万客户信息泄漏加拿大贝尔公司(BellCanada),... 查看详情
响应网络安全事件的三个必备工具
从Gartner披露的信息来看,2021年发生的安全事件平均违规成本达到了17年以来的峰值。值得注意的是,安全事件中10%是由勒索软件引起,预计这一占比将在2022年继续增加。为了更好应对网络安全威胁,安全与风险... 查看详情