Gartner：2018年SIEM（安全信息与事件管理）市场分析

2018年12月3日，Gartner正式对外发布了2018年SIEM市场魔力象限分析报告。新的市场竞争格局基本成型，SIEM产品越来越注重威胁检测和响应，尤其是新型的检测方法和响应方式。所谓新型检测方法特指UEBA，及其他高级安全分析方法（如NTA、EDR、欺骗、威胁捕猎等）；所谓响应方式特指Gartner提出的SOAR（Security Orchestration, Automation and Response）。

报告显示，SIEM目前属于成熟市场，并且竞争十分激烈。全球SIEM市场从2016年的20亿美元上升到了2017年的21.8亿美元（注：这些数字相较于去年的预测有所下降，以最新的为准）。SIEM市场的首要驱动力时威胁管理，其次是安全监控与合规管理。相对欠成熟的亚太和拉美地区的SIEM增长率远远高于在北美和欧洲市场。

从销量上看，主要还是集中在Splunk、Arcsight、IBM、LogRhythm和McAfee身上。

2018年的SIEM MQ矩阵如下图所示：

对比一下2017年的矩阵：

可以发现：

1）领导者中三强地位相对稳固：经过三年的时间，SIEM市场三强IBM、Splunk、LogRhythm的第一集团优势已经形成，不管其它厂商进出领导者象限，他们三家的地位基本稳固。如果稍微调研一下这三家公司的SIEM产品，其实也会发展其产品战略有诸多相似之处，那便是在高级安全分析领域特别重视UEBA，在安全响应领域特别重视SOAR，同时特别重视云计算环境下的SIEM应用场景，纷纷推出面向云计算的SIEM，并提供支持MSSP和SaaS的版本。而IBM还在应用市场领域与Splunk展开激烈的争夺，Splunk的应用市场模式也已经被很多SIEM厂商所仿效，而这也是Splunk能够称霸三强的核心竞争力。而从自身产品的全面性角度来看，IBM的功能显然更全，除了高级安全分析和安全响应，还有专门的NTA、弱点管理、风险管理。在高级安全分析领域，除了有流行的UEBA，还整合了Watson的AI功能。Splunk的功能覆盖面虽然不全，但他的优势还是基于早前基于应用市场构建起来的开放生态。LogRhythm则紧跟Gartner对SIEM市场发展趋势的研判，自建了UEBA和SOAR功能，同时开发了EDR和NTA探针，从而增强了威胁检测能力。

2）UEBA成为SIEM的关键功能：如果说基于规则的关联分析是SIEM的核心功能，那么UEBA就是SIEM的关键功能。根据Gartner的预测，到2020年，80%的SIEM产品都将具备UEBA功能。届时，UEBA恐怕就成为SIEM的另一个核心功能了。也正因为如此，目前位居领导象限的所有SIEM厂商都具备了UEBA功能。而其它SIEM厂商也都纷纷引入UEBA功能，不论是自研还是OEM。而在这些厂商中，最引人注目的当属凭借UEBA起家的Exabeam和Securonix杀入了SIEM的领导者象限。从2017年两家厂商首次入围SIEM MQ到今年位列领导者象限，可见Gartner对其青睐有加。由于这两家厂商成立时间较短，因此他们的基础架构相对于其它家都要更为先进，且没有历史包袱。而老牌的厂商则要么面临老架构向新架构转型的痛苦，要么面临同时维护新老两套架构的麻烦。而除了UEBA功能及其仰仗的底层大数据架构，Exabeam和Securonix的其它功能的表现其实也就中规中矩，可见UEBA有多讨好。

3）昔日豪强发展各异：对于多年以前在领导者阵营中争夺桂冠的McAfee、DELL（RSA）和MicroFocus（Arcsight）而言，风光不再。McAfee算是三家中相对较好的，自从收购Nitro Security一举冲高后就从三甲的位置渐渐下滑，近三年都缩居在领导者象限的固定位置。Arcsight则在被HP收购后一路命运坎坷，从2016年跌出三甲，然后一路下滑，2017年退居挑战者象限，到了2018年则连挑战者的位置都仅仅是勉强保住，都快要掉入niche象限了。查看Arcsight在MQ中陨落的路径可以看到：在持续的团队动荡中，先是技术退步，然后带来市场下滑。平心而论，我认为Arcsight技术表现没有这么糟糕，更多还是受公司折腾伤害太深。在Gartner看来，Arcsight的技术短板主要是架构新老搭配，切换不彻底，而且不同组件架构各不相同；还有就是没有UEBA（目前是OEM Securonix的一个老旧版本）。再看看RSA，10年前凭借envision位居SIEM三甲，后来渐渐荒废，眼看不行又收购了NetWitness，从2012年开始就一直固定在挑战者象限。然后在2018年，突然跳到了领导者象限且位居McAfee之上。仔细对比这两年的MQ报告，初略可以找到这个跳变的原因：因为RSA收购了UEBA厂商Fortscale，同时在SOAR方向OEM了Demisto，教科书般的遵循了Gartner的“教导”，所以排名就飙升了。反观McAfee，要不是去年OEM了一个UEBA产品，估计Leader阵营难保！

4）其它：Rapid7的买买买战略使得其快速扩充技术能力，从2017年开始打榜SIEM  MQ，暂居远见者象限。一众Niche象限的厂商们则要么技术上不完全满足Gartner的研判标准，要么在市场上没有覆盖全球（尤其是北美市场）。Trustwave和FireEye因为其SIEM业务聚焦于MSS/MDR，因此被移出榜单（因为Gartner将MSS/MDR定义为另外一个市场，另有MQ）。NetIQ因为MicroFocus收购Arcsight后产品线重叠而下榜。LogPoint成为了第一家入围Gartner SIEM MQ的欧洲公司。

通过分析入围厂商，我们进一步可以发现：

1）Gartner十分看重UEBA功能。基本上UEBA功能强弱与SIEM厂商的技术地位成正比。UEBA可以说是目前高级安全分析领域中相对最为成熟的分析方法，也可以说是利用AI/ML和大数据做网络安全的最成功的产品化实践之一。Gartner今年4月份发布了最新版的UEBA市场市场指南（Market Guide），表示到2021年独立的UEBA市场将消失，转而作为一个功能特性融入到其他一系列产品中去，其中与SIEM的融合尤为显著。同时，SIEM厂商近些年一直在布局UEBA及其底层的基于ML的行为分析能力，作为对传统基于规则的关联分析的有利补充，并创建更多抓客户眼球的用户视角的威胁场景。SIEM厂商获得UEBA能力的方式多种多样，有不少都采用并购的方式，譬如Splunk的UBA功能来自于2015年对Caspida的收购，RSA则收购了Fortscale。还有的则采用OEM模式，譬如Arcsight、McAfee。

2）大数据架构已经成为主流。并不是说SIEM必须使用大数据架构，因为这是一个应用场景问题而非技术问题。但面对大量数据需要处理的场景时，基于大数据架构的SIEM则必不可少。得益于大数据技术及其生态体系的日益成熟，新型的SIEM厂商有机会利用成熟的大数据技术去构建其底层架构，从而为快速超越传统的厂商创造了有利条件（但不是充分条件）。而传统的SIEM厂商出于维护存量客户和已有投资等原因，无法快速将基于传统RDBMS的数据架构转换成大数据架构，还有的转的又太早（早些年，开源的、轻量级大数据技术尚未成熟）。进一步研究可以发现，像现在比较生猛的Exabeam和Securonix成立时间都比较晚，赶上了大数据技术发展的好时光，其架构都是完全融合大数据技术的。譬如Exabeam的底层数据架构基于ES（ELasticSearch）和Hadoop，消息系统采用Kafka，机器学习（ML）采用Spark，而Securonix也是基于Hadoop、Kafka、HBase、Solr。SIEM三强，虽说不是彻底的大数据架构，但也基本改造完成。Splunk和QRadar采用了自己的NoSQL数据架构，同时推出了支持Hadoop架构的产品版本，LogRhythm的底层数据架构也已经改造成了ES。

Gartner在报告中还专门提及了利用开源工具（譬如ELK、Apache Metron）自己搭建SIEM/SOC解决方案的情景。Gartner的研究表明，尽管这些软件本身是免费的，但使用这些软件还是比较昂贵的，包括成规模的部署的成本，以及事件源接入和分析所需的开发工作量都很大。使用开源工具而非商业化产品不见得能够减少花费。

与这份SIEM MQ报告同期发布的还有SIEM CC（关键能力）报告。这份报告中，Gartner对入围的厂商从三个维度进行了打分排名。更重要地，列举了Gartner在评估SIEM厂商时所关注的关键技术能力，包括：

• 架构能力：包括产品形态的多样性（软件、硬件、云）、部署的可伸缩性和可扩展性，分布式部署能力、级联部署能力。

• 部署、运维和支持能力：众所周知，SIEM的成功远非技术平台和工具所能达成，因此SIEM的部署、运维和支持的能力十分重要，包括如何快速高效部署和扩展，如何让用户在人员短缺的情况下高效运维，提供什么样的原厂支持，都很重要。

• 日志与数据管理能力：包括对日志事件以及非日志数据（如资产、漏洞、情报、报文等）的采集、处理与存储管理的能力。

• 实时监控能力：这对于威胁检测与事件调查至关重要。这里包括各种实时安全分析的能力，各种可视化呈现能力、仪表板，各种预置的规则、模型、分析策略等。

• 分析能力：安全分析时SIEM的核心功能。包括规则关联等经典分析功能，以及包括行为分析在内的高级安全分析功能。多种分析方式不是互相排斥的，而是叠加使用的，实现所谓“纵深分析”。

• 数据与应用监控能力：主要是指针对数据和应用的安全监控，核心是采集并综合分析来自专门的数据与应用安全检测设备的日志，譬如DAP、DAM、CASB、DLP、FIM、EDR等安全系统，还有ERP等各种业务系统。

• 威胁与情境感知能力：主要是指对各种情境数据的采集与运用，包括威胁情报、弱点、资产信息等。

• 用户感知与监控：这里就是UEBA功能，尤指UBA。还包括采集和分析IAM、PAM的日志。

• 事件管理：主要是安全响应相关的能力，包括案件管理、响应工作流等，还可以包括编排与自动化的能力。

• 威胁检测工具：主要是指与各种高级威胁检测工具的集成，譬如NTA、EDR、沙箱、FPC、FIM、取证工具、欺骗工具等。

深感荣幸地是，笔者作为亲历者，再次参与了这次SEIM MQ的入围工作。也是为了这次入围，笔者推迟了出来创业的时间。相较于去年的第一次参与，这次有了对比，感受也更多。这次评比相较于上次评比在一些评价点上进行了细化，从而使总的评价项又增加了不少。除了技术方面的评价项，还有很多公司战略、产品业务模式、产品市场营销、产品设计与规划方面的评价项。有些评价项是我平时并不怎么关注的，经由Gartner的提醒，倒让我对产品管理有了更多的考量。回头来看，对笔者而言，参与Gartner SIEM MQ入围已经无关产品荣誉，更多则是锻炼自己国际化视野下的产品规划与管理能力。

【参考】

Gartner：2017年SIEM（安全信息与事件管理）市场分析

Gartner：2016年SIEM（安全信息与事件管理）市场分析

Gartner：2015年SIEM（安全信息与事件管理）市场分析

Gartner：2014年SIEM（安全信息与事件管理）市场分析

Gartner：2013年SIEM市场分析（MQ）

Gartner：2012年SIEM（安全信息与事件管理）市场分析报告

Gartner发布2011年SIEM市场分析报告（幻方图）

评Gartner2010年安全信息和事件管理（SIEM）分析报告

Gartner公司对2009年安全信息和事件管理（SIEM）的分析报告