2018年12月3日�,�,Gartner正式对外宣布了2018年SIEM市场魔力象限剖析报告�。�。新的市场竞争名堂基本成型�,�,SIEM产品越来越注重威胁检测和响应�,�,尤其是新型的检测要领和响应方法�。�。所谓新型检测要领特指UEBA�,�,及其他高级清静剖析要领(如NTA、EDR、诱骗、威胁捕猎等);�;�;�;所谓响应方法特指Gartner提出的SOAR(Security Orchestration, Automation and
Response)�。�。
报告显示�,�,SIEM现在属于成熟市场�,�,并且竞争十分强烈�。�。全球SIEM市场从2016年的20亿美元上升到了2017年的21.8亿美元(注:这些数字相较于去年的展望有所下降�,�,以最新的为准)�。�。SIEM市场的主要驱动力时威胁治理�,�,其次是清静监控与合规治理�。�。相对欠成熟的亚太和拉美地区的SIEM增添率远远高于在北美和欧洲市场�。�。
从销量上看�,�,主要照旧集中在Splunk、Arcsight、IBM、LogRhythm和McAfee身上�。�。
2018年的SIEM MQ矩阵如下图所示:
比照一下2017年的矩阵:
可以发明:
1)向导者中三强职位相对稳固:经由三年的时间�,�,SIEM市场三强IBM、Splunk、LogRhythm的第一集团优势已经形成�,�,不管其它厂商收支向导者象限�,�,他们三家的职位基本稳固�。�。若是稍微调研一下这三家公司的SIEM产品�,�,着实也会生长其产品战略有诸多相似之处�,�,那即是在高级清静剖析领域特殊重视UEBA�,�,在清静响应领域特殊重视SOAR�,�,同时特殊重视云盘算情形下的SIEM应用场景�,�,纷纷推出面向云盘算的SIEM�,�,并提供支持MSSP和SaaS的版本�。�。而IBM还在应用市场领域与Splunk睁开强烈的争取�,�,Splunk的应用市场模式也已经被许多SIEM厂商所仿效�,�,而这也是Splunk能够称霸三强的焦点竞争力�。�。而从自身产品的周全性角度来看�,�,IBM的功效显然更全�,�,除了高级清静剖析和清静响应�,�,尚有专门的NTA、弱点治理、危害治理�。�。在高级清静剖析领域�,�,除了有盛行的UEBA�,�,还整合了Watson的AI功效�。�。Splunk的功效笼罩面虽然不全�,�,但他的优势照旧基于早前基于应用市场构建起来的开放生态�。�。LogRhythm则紧跟Gartner对SIEM市场生长趋势的研判�,�,自建了UEBA和SOAR功效�,�,同时开发了EDR和NTA探针�,�,从而增强了威胁检测能力�。�。
2)UEBA成为SIEM的要害功效:若是说基于规则的关联剖析是SIEM的焦点功效�,�,那么UEBA就是SIEM的要害功效�。�。凭证Gartner的展望�,�,到2020年�,�,80%的SIEM产品都将具备UEBA功效�。�。届时�,�,UEBA生怕就成为SIEM的另一个焦点功效了�。�。也正由于云云�,�,现在位居向导象限的所有SIEM厂商都具备了UEBA功效�。�。而其它SIEM厂商也都纷纷引入UEBA功效�,�,岂论是自研照旧OEM�。�。而在这些厂商中�,�,最引人注目确当属依附UEBA起身的Exabeam和Securonix杀入了SIEM的向导者象限�。�。从2017年两家厂商首次入围SIEM MQ到今年位列向导者象限�,�,可见Gartner对其青睐有加�。�。由于这两家厂商建设时间较短�,�,因此他们的基础架构相关于其它家都要更为先进�,�,且没有历史肩负�。�。而老牌的厂商则要么面临老架构向新架构转型的痛苦�,�,要么面临同时维护新老两套架构的贫困�。�。而除了UEBA功效及其仰仗的底层大数据架构�,�,Exabeam和Securonix的其它功效的体现着实也就中规中矩�,�,可见UEBA有多讨好�。�。
3)昔日豪强生长各异:关于多年以前在向导者阵营中争取桂冠的McAfee、DELL(RSA)和MicroFocus(Arcsight)而言�,�,景物不再�。�。McAfee算是三家中相对较好的�,�,自从收购Nitro Security一举冲高后就从三甲的位置徐徐下滑�,�,近三年都缩居在向导者象限的牢靠位置�。�。Arcsight则在被HP收购后一起运气崎岖�,�,从2016年跌出三甲�,�,然后一起下滑�,�,2017年退居挑战者象限�,�,到了2018年则连挑战者的位置都仅仅是委屈保住�,�,都快要掉入niche象限了�。�。审查Arcsight在MQ中陨落的路径可以看到:在一连的团队动荡中�,�,先是手艺退步�,�,然后带来市场下滑�。�。平心而论�,�,我以为Arcsight手艺体现没有这么糟糕�,�,更多照旧受公司折腾危险太深�。�。在Gartner看来�,�,Arcsight的手艺短板主要是架构新老搭配�,�,切换不彻底�,�,并且差别组件架构各不相同;�;�;�;尚有就是没有UEBA(现在是OEM Securonix的一个老旧版本)�。�。再看看RSA�,�,10年前依附envision位居SIEM三甲�,�,厥后徐徐疏弃�,�,眼看不可又收购了NetWitness�,�,从2012年最先就一直牢靠在挑战者象限�。�。然后在2018年�,�,突然跳到了向导者象限且位居McAfee之上�。�。仔细比照这两年的MQ报告�,�,初略可以找到这个跳变的缘故原由:由于RSA收购了UEBA厂商Fortscale�,�,同时在SOAR偏向OEM了Demisto�,�,教科书般的遵照了Gartner的“教育”�,�,以是排名就飙升了�。�。反观McAfee�,�,要不是去年OEM了一个UEBA产品�,�,预计Leader阵营难保!
4)其它:Rapid7的买买买战略使得其快速扩充手艺能力�,�,从2017年最先打榜SIEM MQ�,�,暂居远见者象限�。�。一众Niche象限的厂商们则要么手艺上不完全知足Gartner的研判标准�,�,要么在市场上没有笼罩全球(尤其是北美市�。�。�。�。Trustwave和FireEye由于其SIEM营业聚焦于MSS/MDR�,�,因此被移出榜单(由于Gartner将MSS/MDR界说为另外一个市场�,�,尚有MQ)�。�。NetIQ由于MicroFocus收购Arcsight后产品线重叠而下榜�。�。LogPoint成为了第一家入围Gartner SIEM MQ的欧洲公司�。�。
通太过析入围厂商�,�,我们进一步可以发明:
1)Gartner十分看重UEBA功效�。�。�;�;�;旧蟄EBA功效强弱与SIEM厂商的手艺职位成正比�。�。UEBA可以说是现在高级清静剖析领域中相对最为成熟的剖析要领�,�,也可以说是使用AI/ML和大数据做网络清静的最乐成的产品化实践之一�。�。Gartner今年4月份宣布了最新版的UEBA市场市场指南(Market Guide)�,�,体现到2021年自力的UEBA市场将消逝�,�,转而作为一个功效特征融入到其他一系列产品中去�,�,其中与SIEM的融合尤为显著�。�。同时�,�,SIEM厂商近些年一直在结构UEBA及其底层的基于ML的行为剖析能力�,�,作为对古板基于规则的关联剖析的有利增补�,�,并建设更多抓客户眼球的用户视角的威胁场景�。�。SIEM厂商获得UEBA能力的方法多种多样�,�,有不少都接纳并购的方法�,�,譬如Splunk的UBA功效来自于2015年对Caspida的收购�,�,RSA则收购了Fortscale�。�。�;�;�I杏械脑蚪幽蒓EM模式�,�,譬如Arcsight、McAfee�。�。
2)大数据架构已经成为主流�。�。并不是说SIEM必需使用大数据架构�,�,由于这是一个应用场景问题而非手艺问题�。�。但面临大宗数据需要处置惩罚的场景时�,�,基于大数据架构的SIEM则必不可少�。�。得益于大数据手艺及其生态系统的日益成熟�,�,新型的SIEM厂商有时机使用成熟的大数据手艺去构建其底层架构�,�,从而为快速逾越古板的厂商创立了有利条件(但不是充分条件)�。�。而古板的SIEM厂商出于维护存量客户和已有投资等缘故原由�,�,无法快速将基于古板RDBMS的数据架构转换成大数据架构�,�,尚有的转的又太早(早些年�,�,开源的、轻量级大数据手艺尚未成熟)�。�。进一步研究可以发明�,�,像现在较量生猛的Exabeam和Securonix建设时间都较量晚�,�,遇上了大数据手艺生长的好时光�,�,其架构都是完全融合大数据手艺的�。�。譬如Exabeam的底层数据架构基于ES(ELasticSearch)和Hadoop�,�,新闻系统接纳Kafka�,�,机械学习(ML)接纳Spark�,�,而Securonix也是基于Hadoop、Kafka、HBase、Solr�。�。SIEM三强�,�,虽说不是彻底的大数据架构�,�,但也基本刷新完成�。�。Splunk和QRadar接纳了自己的NoSQL数据架构�,�,同时推出了支持Hadoop架构的产品版本�,�,LogRhythm的底层数据架构也已经刷新成了ES�。�。
Gartner在报告中还专门提及了使用开源工具(譬如ELK、Apache
Metron)自己搭建SIEM/SOC解决计划的情景�。�。Gartner的研究批注�,�,只管这些软件自己是免费的�,�,但使用这些软件照旧较量腾贵的�,�,包括陋习模的安排的本钱�,�,以及事务源接入和剖析所需的开发事情量都很大�。�。使用开源工具而非商业化产品不见得能够镌汰破费�。�。
与这份SIEM MQ报告同期宣布的尚有SIEM CC(要害能力)报告�。�。这份报告中�,�,Gartner对入围的厂商从三个维度举行了打分排名�。�。更主要地�,�,枚举了Gartner在评估SIEM厂商时所关注的要害手艺能力�,�,包括:
-
架构能力:包括产品形态的多样性(软件、硬件、云)、安排的可伸缩性和可扩展性�,�,漫衍式安排能力、级联安排能力�。�。
-
安排、运维和支持能力:众所周知�,�,SIEM的乐成远非手艺平台和工具所能告竣�,�,因此SIEM的安排、运维和支持的能力十分主要�,�,包括怎样快速高效安排和扩展�,�,怎样让用户在职员欠缺的情形下高效运维�,�,提供什么样的原厂支持�,�,都很主要�。�。
-
日志与数据治理能力:包括对日志事务以及非日志数据(如资产、误差、情报、报文等)的收罗、处置惩罚与存储治理的能力�。�。
-
实时监控能力:这关于威胁检测与事务视察至关主要�。�。这里包括种种实时清静剖析的能力�,�,种种可视化泛起能力、仪表板�,�,种种预置的规则、模子、剖析战略等�。�。
-
剖析能力:清静剖析时SIEM的焦点功效�。�。包括规则关联等经典剖析功效�,�,以及包括行为剖析在内的高级清静剖析功效�。�。多种剖析方法不是相互倾轧的�,�,而是叠加使用的�,�,实现所谓“纵深剖析”�。�。
-
数据与应用监控能力:主要是指针对数据和应用的清静监控�,�,焦点是收罗并综合剖析来自专门的数据与应用清静检测装备的日志�,�,譬如DAP、DAM、CASB、DLP、FIM、EDR等清静系统�,�,尚有ERP等种种营业系统�。�。
-
威胁与情境感知能力:主要是指对种种情境数据的收罗与运用�,�,包括威胁情报、弱点、资产信息等�。�。
-
用户感知与监控:这里就是UEBA功效�,�,尤指UBA�。�。�;�;�;拱ㄊ章藓推饰鯥AM、PAM的日志�。�。
-
事务治理:主要是清静响应相关的能力�,�,包括案件治理、响应事情流等�,�,还可以包括编排与自动化的能力�。�。
-
威胁检测工具:主要是指与种种高级威胁检测工具的集成�,�,譬如NTA、EDR、沙箱、FPC、FIM、取证工具、诱骗工具等�。�。
深感幸运地是�,�,笔者作为亲历者�,�,再次加入了这次SEIM MQ的入围事情�。�。也是为了这次入围�,�,笔者推迟了出来创业的时间�。�。相较于去年的第一次加入�,�,这次有了比照�,�,感受也更多�。�。这次评选相较于上次评选在一些评价点上举行了细化�,�,从而使总的评价项又增添了不少�。�。除了手艺方面的评价项�,�,尚有许多公司战略、产品营业模式、产品市场营销、产品设计与妄想方面的评价项�。�。有些评价项是我平时并不怎么关注的�,�,经由Gartner的提醒�,�,倒让我对产品治理有了更多的考量�。�。�;�;�W防纯�,�,对笔者而言�,�,加入Gartner
SIEM MQ入围已经无关产品声誉�,�,更多则是磨炼自己国际化视野下的产品妄想与治理能力�。�。
(泉源:51CTO博客作者叶蓬原创作品)
京公网安备11010802024551号