Gartner:2017年SIEM(安全信息与事情办理)市场分析51CTO博客 - 千亿集团

Gartner:2017年SIEM(安全信息与事情办理)市场分析51CTO博客

2019-01-03 10:39:35 | 作者: 亦巧 | 标签: 安全,办理,事情 | 浏览: 2405

2017年度的Gartner SIEM法力象限在比平常推迟了4个月之后总算发布了。在Gartner眼中,SIEM现已是一个老练商场。但这个商场仍然非常活泼:客户需求在改变,商场格式也在改变,技能革新也在不断重塑SIEM本身。让咱们先看矩阵:

wKioL1e1wwHTUSk0AAB5obwAyJI046.jpg

可以说,这是自2014年以来,改变最大的一次(可以拜见我下面的历年剖析文章)。我将这些改变总结为5点:

1)领头羊之争日趋激烈,上一年是IBM和Splunk各执牛耳,几年则是IBM QRadar技高一筹,颇有当年Arcsight独领风骚的气势,却不知能否坚持多久。一方面得益于IBM在QRadar产品线上的继续大力投入,ML和UEBA功用组件纷繁上线,appmarket也推出来了,加上他整个套件的组件非常完全,覆盖了Gartner一切的SIEM点评点,还有近期收买来的安全编列产品Resilient加持,;另一方面也是因为Splunk本年稍有让步。首要仍是因为太贵,授权方法不合理,此外终究安全仅仅Splunk的一个分支而非悉数,并没有如QRadar那样投入巨大。

2)Arcsight节节败退(拜见我的博文《流离失所的Arcsight,光辉不再》),前史上榜首次退出了榜首象限。我对Arcsight是很有爱情的,终究是咱们团队最早将其引进我国。从前名列前茅的光景早已消失,而被并入MicroFocus更加重了它的不确定性。其实Arcsight近几年一直在晋级他的底层技能架构,也推出了支撑Hadoop的大数据版,还发布了appmarket,但也许是前史包袱太重,要想重构,负重致远,可偏偏又遇上HPE这个主儿,安稳的继续的研制投入打上了一个大问号。据我所知,MicroFocus收了HPE的软件部分后,首要的作业就是cost down(不然并购干嘛呀),前HPE软件部我国区现已开端散场,加上MicroFocus还有另一款SIEM产品NetIQ(也在SIEM MQ中混迹多年),真不知道未来会怎样。面向未来,一起做两个SIEM明显糟蹋,恐怕更多是要给存量客户一个告知吧。

3)UEBA厂商强势入榜,代表厂商就是Securonix和Exabeam。Gartner现已重复讲过UEBA未来只要两条路,一条是大道,即与其它产品交融,成为一个Feature,而交融首选是SIEM;另一条路就是成为剩下的少量几家独立的UEBA产品供货商。所以,Securonix和Exabeam作为UEBA范畴的领先者自动求变,前进SIEM商场。他们的特点是新,依据新的NoSQL和大数据渠道架构,充分运用ML(机器学习)技能,UI也是最新的盛行款式,报价体系简练,价格比大厂更具竞争力。当然,他们存在的问题也在于新,大数据架构的引进导致相关的保护难度提高。可以说,UEBA的入榜将加重未来SIEM商场的格式动乱,信任未来会有更多的相关并购出现。

4)我国厂商榜首次入榜。关于我国客户和从业者而言,这是一个亮点。作为SIEM产品的负责人,自己有幸全程参加了这个进程。从旁观者到亲历者,体会是大大的不同,经历也是一大把,有时机另文撰述。这儿只想提一句:入围Gartner SIEM法力象限是一项非常艰苦的作业,不只要跨过言语的妨碍,还要改变国外同行对我国厂商只能做安全硬件设备的误解。一起,SIEM产品的法力象限查核目标是Gartner一切安全产品点评中最难、最杂乱的,点评的目标项逾越200个(目标之间彼此相关,非常详尽)。期间,咱们和剖析师重复交流,进行了十几次电话会议,数次北京的碰头交流,在美国的现场交流,产品演示,提交各种产品资料和原理规划文档,等等等等。剖析师对产品的剖析非常谨慎,一切能写进陈述的项目都有必要供给能让他服气的proven(依据)。至于技能方面,咱们的SIEM覆盖了Gartner调查的大部分目标,包含流剖析,ML。有时机,各位可以阅览另一个陈述——《Gartner Critical Capabilities for SIEM, 2017》——一探终究。

5)FireEye进入SIEM商场。FireEye的玩法异乎寻常,走的是SECaaS的路子,凭借其假设在AWS上的要挟剖析渠道(TAP),以SaaS形式供给SIEM。其实,这儿仍是有许多tricky的当地,因为SIEM as a Sevice跟MSS/MDR之间的边界并不是那么地明晰。而MSS商场是不在SIEM MQ调查规模之内的。Anyway,FireEye现在现已是一个大厂,想玩SIEM,有何不可?


剖析完厂商,回到SIEM商场本身。


2016年,SIEM全球销量达到了21.7亿美元,在一切细分商场中,归于很高增速的商场,在亚太新式区域和拉美的增速特别高,总体上出现一片繁荣景象。在全球规模内,要挟检测与办理都现已成为首要的商场驱动力,逾越了合规与监测。越来越多的客户提出了集成要挟情报、行为建模和有用剖析的需求。

在商场格式上,四大厂商占有了60%的商场份额。

Gartner还继续盯梢了一种新的痕迹,就是有人在运用开源的大数据剖析渠道(比如ELK,Apache Metron)建立SIEM类体系。Gartner表明,他们调研了一些这类客户,发现他们最初是为了下降购买商业化SIEM的本钱而投入到开源渠道的怀有,但真实深化下去发现,本钱其实并不低,改造、开发的作业量很大,并不合适大部分客户。Gartner仍是主张客户依据本身的安全办理老练度挑选合适自己的SIEM布置形式:自建、购买,或许选用外包效劳(这个还有多种细分形式),还有共建。关于老练度较低的,爽性主张先别上SIEM,转而先去上LM(日志办理)。

Gartner表明,虽然仍然可见不少客户布置SIEM失利的事例,但咱们仍然热此不疲。足见背面的需求推动力大过了布置失利的危险。


伴随着SIEM MQ的发布,Gartner还发布了SIEM的要害才能点评陈述(简称CC,Critical Capabilities)。


在CC陈述中,Garnter对此次入围的19个厂商从三个运用场景(根底安全监测、高档要挟检测和取证与事情呼应)进行的打分和横向比照剖析。Gartner猜测,到2020年,75%的SIEM将选用大数据技能作为其内核,一起广泛凭借ML去提高要挟检测的才能。

Gartner主张客户:

1)将包含安全、IT和网络运维、审计与合规、法务、HR等部分的利益攸关者们的调研信息做为输入,对SIEM的需求和场景用例做好文档化;

2)拟定一份多年的SIEM布置路线图,保证一切需求上马的功用和弹性性需求在SIEM技能选型的时分得到点评;

3)挑选SIEM技能的时分,有必要跟客户当时的或许是希望的老练度相匹配,要适配本身的资源、专家团队、现有和即将运用的其他东西,SIEM解决方案有必要可以与现有的安全监测与呼应东西进行整合。


在CC中,Gartner将SIEM的要害才能分为了以下8个方面(每个方面还有许多细节区分,这儿省掉):

1)实时监测;

2)事情(Incident)呼应与办理;

3)高档要挟防护;

4)事务情境与安全情报;

5)用户监测 ;

6)数据与使用监测;

7)高档剖析;

8)布置和支撑的快捷性;

因为这次实践参加了评比,咱们发现他们对这些才能进行了非常详尽的区分,一共规划出了200多个目标项,来调查每个产品,基本上咱们能想到的功用点他都涵盖了。所以我在《再谈SIEM和安全办理渠道项目的失利要素(1)》中说,“Gartner 对 SIEM 研讨时刻之长、规模之广、程度之深”,令人赞赏。Gartner知识库中跟 SIEM/安管渠道/SOC 有关的文章/陈述/博客数量之多,我至今也没有看完过。


【参阅】

Gartner:2016年SIEM(安全信息与事情办理)商场剖析

Gartner:2015年SIEM(安全信息与事情办理)商场剖析

Gartner:2014年SIEM(安全信息与事情办理)商场剖析

Gartner:2013年SIEM商场剖析(MQ)

Gartner:2012年SIEM(安全信息与事情办理)商场剖析陈述

Gartner发布2011年SIEM商场剖析陈述(幻方图)

评Gartner2010年安全信息和事情办理(SIEM)剖析陈述

Gartner公司对2009年安全信息和事情办理(SIEM)的剖析陈述


版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表千亿集团立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章