Gartner:2012年SIEM(安全信息与事件管理)市场分析报告
美国时间2012年5月24日,Gartner的Mark Nicolett发布了2012年度的SIEM市场的分析报告(MQ)——Magic Quadrant for Security Information and Event Management。
报告指出,在过去的一年,SIEM技术的市场需求依然强劲。纵观2011年,SIEM市场从9.87亿美元增加到了11亿美元,录得了15%的增长率。在北美,大型企业和小型企业在2011年度都有新的SIEM系统部署,客户尤其关注部署和运维支持的简化。一些大型企业也重新评估了他们之前的SIEM供应商,并进行了替换。在北美的SIEM应用场景更多的是集中在的安全本源的驱动力方面【Gartner已经将SIEM在这方面的用例进行了很多次的扩展】。相比之下,欧洲和亚太地区的SIEM增长动因主要集中在合规与威胁管理方面。
Gartner认为现在的SIEM市场已经完全成熟,并且竞争激烈,SIEM的产品功能也越发复杂,表现在每个厂商都能够提供多种SIEM的用例。
Gartner今年的分析中涵盖了20个厂商,其中8个是综合安全服务提供商。
Gartner当然也对去年的几个重要的SIEM并购案进行了回顾,包括:
1)IBM收购Q1Labs,并替代了原有的Tivoli中的SIEM;
2)McAfee收购了NitroSecurity;
3)(在Attachmate的牵头之下)NetIQ整合了Novell的安全监控技术相关的业务,包括Novell的Sentinel;
4)SolarWinds收购了TirGeo;
5)Tibco收购LogLogic;
很多厂商都纷纷将其SIEM产品与其他相关的安全产品和解决方案进行整合,或者包装成MSS服务。
Gartner认为日志管理功能已经成为了SIEM中的标配功能。
Gartner认为SIEM解决方案应具备四方面的能力:
1)支持实时的事件收集和分析。收集的信息源包括主机、安全设备和网络设备,以及与之相关的上下文信息(例如用户、资产等);
2)提供长周期的对事件和相关上下文信息的存储及分析能力;
3)为客户具体需求提供预定义的功能模板【顺便说一下,我很赞同Gartner的这个观点,并且我们最新的产品中已经有体现了。这其中蕴含了一个很重要的思想,就是SIEM使用与技术的分离,或者称之为SIEM的去专业化】;
4)尽可能地易于部署和维护。
有趣的是,Gartner还对SIEM部署的可伸缩性进行了分析。Nicolett认为:
1)一个小型的SIEM部署规模应该是:不到200个事件源,持续EPS在400左右,事件存储量在800GB左右;
2)一个下行的SIEM部署规模典型地应该是:超过750个事件源,持续EPS在5000左右,后台事件存储子在10TB上下。
3)中型部署规模介于上述两者之间。
4)而超大规模的部署可能会有25000EPS(持续),以及50TB的存储。
Gartner还分析了基于SIEM的MSS服务。
最后,让我们来看看Gartner最新的MQ矩阵吧。
我们可以对比一下去年的MQ,
很明显,ArcSight的竞争优势不再,IBM和McAfee直追而上,三家竞争白热化。除此之外,第一阵营只剩下NetIQ和LogRhythm,数量减了不少。Symantec终于理性地退出了第一阵营,而RSA的enVision也由于久未更新,并且由于查询性能饱受抱怨,而退出了第一阵营。此外,Splunk的地位继续上升。
今年,还有多家厂商下榜了。包括Quest【其产品偏应用性能监控,而不再重点关注于安全】、Tripwire【他收购了ActiveWorx之后做出来的Log Center更多是用于提升TripWire整体解决方案,而非看重SIEM本身】、netForensics【已经全面转向MSSP,并正准备IPO,也许以后会出现在MSSP的MQ吧】。
【参考】
Gartner发布2011年SIEM市场分析报告(幻方图)
评Gartner2010年安全信息和事件管理(SIEM)分析报告
Gartner公司对2009年安全信息和事件管理(SIEM)的分析报告