Gartner：2018年SIEM（安全信息與事件管理）市場分析

2018年12月3日，Gartner正式對外發布了2018年SIEM市場魔力象限分析報告。新的市場競爭格局基本成型，SIEM產品愈來愈注重威脅檢測和響應，尤爲是新型的檢測方法和響應方式。所謂新型檢測方法特指UEBA，及其餘高級安全分析方法（如NTA、EDR、欺騙、威脅捕獵等）；所謂響應方式特指Gartner提出的SOAR（Security Orchestration, Automation and Response）。

報告顯示，SIEM目前屬於成熟市場，而且競爭十分激烈。全球SIEM市場從2016年的20億美圓上升到了2017年的21.8億美圓（注：這些數字相較於去年的預測有所降低，以最新的爲準）。SIEM市場的首要驅動力時威脅管理，其次是安全監控與合規管理。相對欠成熟的亞太和拉美地區的SIEM增加率遠遠高於在北美和歐洲市場。

從銷量上看，主要仍是集中在Splunk、Arcsight、IBM、LogRhythm和McAfee身上。

2018年的SIEM MQ矩陣以下圖所示：

對比一下2017年的矩陣：

能夠發現：

1）領導者中三強地位相對穩固：通過三年的時間，SIEM市場三強IBM、Splunk、LogRhythm的第一集團優點已經造成，無論其它廠商進出領導者象限，他們三家的地位基本穩固。若是稍微調研一下這三家公司的SIEM產品，其實也會發展其產品戰略有諸多類似之處，那即是在高級安全分析領域特別重視UEBA，在安全響應領域特別重視SOAR，同時特別重視雲計算環境下的SIEM應用場景，紛紛推出面向雲計算的SIEM，並提供支持MSSP和SaaS的版本。而IBM還在應用市場領域與Splunk展開激烈的爭奪，Splunk的應用市場模式也已經被不少SIEM廠商所仿效，而這也是Splunk可以稱霸三強的核心競爭力。而從自身產品的全面性角度來看，IBM的功能顯然更全，除了高級安全分析和安全響應，還有專門的NTA、弱點管理、風險管理。在高級安全分析領域，除了有流行的UEBA，還整合了Watson的AI功能。Splunk的功能覆蓋面雖然不全，但他的優點仍是基於早前基於應用市場構建起來的開放生態。LogRhythm則緊跟Gartner對SIEM市場發展趨勢的研判，自建了UEBA和SOAR功能，同時開發了EDR和NTA探針，從而加強了威脅檢測能力。

2）UEBA成爲SIEM的關鍵功能：若是說基於規則的關聯分析是SIEM的核心功能，那麼UEBA就是SIEM的關鍵功能。根據Gartner的預測，到2020年，80%的SIEM產品都將具有UEBA功能。屆時，UEBA恐怕就成爲SIEM的另外一個核心功能了。也正由於如此，目前位居領導象限的全部SIEM廠商都具有了UEBA功能。而其它SIEM廠商也都紛紛引入UEBA功能，不管是自研仍是OEM。而在這些廠商中，最引人注目的當屬憑藉UEBA起家的Exabeam和Securonix殺入了SIEM的領導者象限。從2017年兩家廠商首次入圍SIEM MQ到今年位列領導者象限，可見Gartner對其青睞有加。因爲這兩家廠商成立時間較短，所以他們的基礎架構相對於其它家都要更爲先進，且沒有歷史包袱。而老牌的廠商則要麼面臨老架構向新架構轉型的痛苦，要麼面臨同時維護新老兩套架構的麻煩。而除了UEBA功能及其仰仗的底層大數據架構，Exabeam和Securonix的其它功能的表現其實也就中規中矩，可見UEBA有多討好。

3）昔日豪強發展各異：對於多年之前在領導者陣營中爭奪桂冠的McAfee、DELL（RSA）和MicroFocus（Arcsight）而言，風光再也不。McAfee算是三家中相對較好的，自從收購Nitro Security一舉衝高後就從三甲的位置漸漸下滑，近三年都縮居在領導者象限的固定位置。Arcsight則在被HP收購後一路命運坎坷，從2016年跌出三甲，而後一路下滑，2017年退居挑戰者象限，到了2018年則連挑戰者的位置都僅僅是勉強保住，都快要掉入niche象限了。查看Arcsight在MQ中隕落的路徑能夠看到：在持續的團隊動盪中，先是技術退步，而後帶來市場下滑。平心而論，我認爲Arcsight技術表現沒有這麼糟糕，更多仍是受公司折騰傷害太深。在Gartner看來，Arcsight的技術短板主要是架構新老搭配，切換不完全，並且不一樣組件架構各不相同；還有就是沒有UEBA（目前是OEM Securonix的一個老舊版本）。再看看RSA，10年前憑藉envision位居SIEM三甲，後來漸漸荒廢，眼看不行又收購了NetWitness，從2012年開始就一直固定在挑戰者象限。而後在2018年，忽然跳到了領導者象限且位居McAfee之上。仔細對比這兩年的MQ報告，初略能夠找到這個跳變的緣由：由於RSA收購了UEBA廠商Fortscale，同時在SOAR方向OEM了Demisto，教科書般的遵循了Gartner的「教導」，因此排名就飆升了。反觀McAfee，要不是去年OEM了一個UEBA產品，估計Leader陣營難保！

4）其它：Rapid7的買買買戰略使得其快速擴充技術能力，從2017年開始打榜SIEM  MQ，暫居遠見者象限。一衆Niche象限的廠商們則要麼技術上不徹底知足Gartner的研判標準，要麼在市場上沒有覆蓋全球（尤爲是北美市場）。Trustwave和FireEye由於其SIEM業務聚焦於MSS/MDR，所以被移出榜單（由於Gartner將MSS/MDR定義爲另一個市場，另有MQ）。NetIQ由於MicroFocus收購Arcsight後產品線重疊而下榜。LogPoint成爲了第一家入圍Gartner SIEM MQ的歐洲公司。

經過分析入圍廠商，咱們進一步能夠發現：

1）Gartner十分看重UEBA功能。基本上UEBA功能強弱與SIEM廠商的技術地位成正比。UEBA能夠說是目前高級安全分析領域中相對最爲成熟的分析方法，也能夠說是利用AI/ML和大數據作網絡安全的最成功的產品化實踐之一。Gartner今年4月份發佈了最新版的UEBA市場市場指南（Market Guide），表示到2021年獨立的UEBA市場將消失，轉而做爲一個功能特性融入到其餘一系列產品中去，其中與SIEM的融合尤其顯著。同時，SIEM廠商近些年一直在佈局UEBA及其底層的基於ML的行爲分析能力，做爲對傳統基於規則的關聯分析的有利補充，並建立更多抓客戶眼球的用戶視角的威脅場景。SIEM廠商得到UEBA能力的方式多種多樣，有很多都採用併購的方式，譬如Splunk的UBA功能來自於2015年對Caspida的收購，RSA則收購了Fortscale。還有的則採用OEM模式，譬如Arcsight、McAfee。

2）大數據架構已經成爲主流。並非說SIEM必須使用大數據架構，由於這是一個應用場景問題而非技術問題。但面對大量數據須要處理的場景時，基於大數據架構的SIEM則必不可少。得益於大數據技術及其生態體系的日益成熟，新型的SIEM廠商有機會利用成熟的大數據技術去構建其底層架構，從而爲快速超越傳統的廠商創造了有利條件（但不是充分條件）。而傳統的SIEM廠商出於維護存量客戶和已有投資等緣由，沒法快速將基於傳統RDBMS的數據架構轉換成大數據架構，還有的轉的又太早（早些年，開源的、輕量級大數據技術還沒有成熟）。進一步研究能夠發現，像如今比較生猛的Exabeam和Securonix成立時間都比較晚，遇上了大數據技術發展的好時光，其架構都是徹底融合大數據技術的。譬如Exabeam的底層數據架構基於ES（ELasticSearch）和Hadoop，消息系統採用Kafka，機器學習（ML）採用Spark，而Securonix也是基於Hadoop、Kafka、HBase、Solr。SIEM三強，雖然說不是完全的大數據架構，但也基本改造完成。Splunk和QRadar採用了本身的NoSQL數據架構，同時推出了支持Hadoop架構的產品版本，LogRhythm的底層數據架構也已經改形成了ES。

Gartner在報告中還專門說起了利用開源工具（譬如ELK、Apache Metron）本身搭建SIEM/SOC解決方案的情景。Gartner的研究代表，儘管這些軟件自己是免費的，但使用這些軟件仍是比較昂貴的，包括成規模的部署的成本，以及事件源接入和分析所需的開發工做量都很大。使用開源工具而非商業化產品不見得可以減小花費。

與這份SIEM MQ報告同期發佈的還有SIEM CC（關鍵能力）報告。這份報告中，Gartner對入圍的廠商從三個維度進行了打分排名。更重要地，列舉了Gartner在評估SIEM廠商時所關注的關鍵技術能力，包括：

• 架構能力：包括產品形態的多樣性（軟件、硬件、雲）、部署的可伸縮性和可擴展性，分佈式部署能力、級聯部署能力。

• 部署、運維和支持能力：衆所周知，SIEM的成功遠非技術平臺和工具所能達成，所以SIEM的部署、運維和支持的能力十分重要，包括如何快速高效部署和擴展，如何讓用戶在人員短缺的狀況下高效運維，提供什麼樣的原廠支持，都很重要。

• 日誌與數據管理能力：包括對日誌事件以及非日誌數據（如資產、漏洞、情報、報文等）的採集、處理與存儲管理的能力。

• 實時監控能力：這對於威脅檢測與事件調查相當重要。這裏包括各類實時安全分析的能力，各類可視化呈現能力、儀表板，各類預置的規則、模型、分析策略等。

• 分析能力：安全分析時SIEM的核心功能。包括規則關聯等經典分析功能，以及包括行爲分析在內的高級安全分析功能。多種分析方式不是互相排斥的，而是疊加使用的，實現所謂「縱深分析」。

• 數據與應用監控能力：主要是指針對數據和應用的安全監控，核心是採集並綜合分析來自專門的數據與應用安全檢測設備的日誌，譬如DAP、DAM、CASB、DLP、FIM、EDR等安全系統，還有ERP等各類業務系統。

• 威脅與情境感知能力：主要是指對各類情境數據的採集與運用，包括威脅情報、弱點、資產信息等。

• 用戶感知與監控：這裏就是UEBA功能，尤指UBA。還包括採集和分析IAM、PAM的日誌。

• 事件管理：主要是安全響應相關的能力，包括案件管理、響應工做流等，還能夠包括編排與自動化的能力。

• 威脅檢測工具：主要是指與各類高級威脅檢測工具的集成，譬如NTA、EDR、沙箱、FPC、FIM、取證工具、欺騙工具等。

深感榮幸地是，筆者做爲親歷者，再次參與了此次SEIM MQ的入圍工做。也是爲了此次入圍，筆者推遲了出來創業的時間。相較於去年的第一次參與，此次有了對比，感覺也更多。此次評比相較於上次評比在一些評價點上進行了細化，從而使總的評價項又增長了很多。除了技術方面的評價項，還有不少公司戰略、產品業務模式、產品市場營銷、產品設計與規劃方面的評價項。有些評價項是我平時並不怎麼關注的，經由Gartner的提醒，倒讓我對產品管理有了更多的考量。回頭來看，對筆者而言，參與Gartner SIEM MQ入圍已經無關產品榮譽，更多則是鍛鍊本身國際化視野下的產品規劃與管理能力。

【參考】

Gartner：2017年SIEM（安全信息與事件管理）市場分析

Gartner：2016年SIEM（安全信息與事件管理）市場分析

Gartner：2015年SIEM（安全信息與事件管理）市場分析

Gartner：2014年SIEM（安全信息與事件管理）市場分析

Gartner：2013年SIEM市場分析（MQ）

Gartner：2012年SIEM（安全信息與事件管理）市場分析報告

Gartner發佈2011年SIEM市場分析報告（幻方圖）

評Gartner2010年安全信息和事件管理（SIEM）分析報告

Gartner公司對2009年安全信息和事件管理（SIEM）的分析報告