专注安管平台 - Gartner:2021年SIEM (安全信息与事件管理) 市场分析

作者:Benny Ye
【注:本文非译文!】
2021年6月29日,Gartner发布了2021年度的SIEM市场魔力象限分析(MQ)报告,对全球2020年的SIEM市场进行了分析和厂商评比。由于2019的报告被推迟到了2020年出版,2020年度的SIEM MQ就被省略了。

SIEM市场定义

今年,Gartner没有沿用之前对SIEM市场的定义,而是从更加前瞻性的视角给出了SIEM市场的新定义,并以这种前瞻性的视角去考察各个安全厂商,看其能力能否及多大程度上成为满足最终用户未来需求的转型性技术和方法
Gartner将SIEM定义为满足以下客户需求的解决方案:

  • 实时收集安全事件日志和遥测数据,用于威胁检测和合规性用例;
  • 实时并持续分析遥测数据,以检测攻击和其他感兴趣的活动;
  • 调查安全事件以确定其潜在的严重性和对业务的影响;
  • 报告上述活动;
  • 存储相关事件和日志。

对比一下之前的定义:
SIEM被定义为实时地分析安全事件数据,以满足用户对于攻击和泄露进行早期检测的需要。SIEM系统对安全数据进行收集、存储、调查,并支持缓解和报告,以实现事件应急响应、取证与合规。
笔者分析,新的定义强调了对遥测数据(telemetry)的采集与分析,还强调了安全事件调查(incident investigation)。
进一步地,查阅Gartner 2021年7月底发布的Hype Cycle,对SIEM的定义为:
通过收集和分析安全遥测以及各种其他上下文数据源来支持威胁检测、安全事件管理和合规性。核心功能包括广泛的日志事件收集和管理、跨不同来源数据的分析能力以及事件管理与响应、仪表板和报告等运行功能。
总之,SIEM越来越重视采集遥测数据(譬如流数据、包数据)。

厂商分析

2021年度的SIEM MQ矩阵如下图所示:
image.png
对照一下上一次的MQ矩阵:
image.png
可以得出以下发现:

头部厂商大变样,Exabeam和Securonix成老大,Splunk大退步

去年的两强IBM和Splunk退居二线,新生代势力Exabeam和Securonix取而代之。IBM虽还算位列三甲,但包括市场理解、产品策略和创新在内的愿景完整性维度比之前大幅下降。Splunk则更是退步明显,虽综合能力位居第四,但从矩阵上看都快掉到挑战者象限去了。为什么?甚至Splunk的SIEM市场占有率全球第一!说明跟销量无关。笔者估计,可能问题就在于这次Gartner评比的指导思想是考察面向未来需求的转型性技术与方法吧。显然,Exabeam和Securionix的整体理念、策略和技术,都更符合Gartner对于未来SIEM发展趋势的理解。而IBM和Splunk则更专注于当下。
进一步分析Splunk退步原因的蛛丝马迹,可能包括:

  1. 在云SIEM(即SaaS SIEM)方面表现力不够。这个可能是最大的问题。Gartner认为,到2024年,80%的SIEM厂商将推出云原生和SaaS化的SIEM版本,而目前这里比例为40%。纵观Exabeam和Securonix,都在云SIEM领域大举投入。
  2. 价格高,这是老毛病了。
  3. 用户体验和界面一般,主要是是指其多个不同的构件(Splunk ES、UBA、Phantom)之间的整合度不够。

再看看IBM,在云SIEM这块也不算领先(现有QRadar on Cloud一般般),并正在紧锣密鼓的向云迁移。令人意外的是,尽管配备了Resilient SOAR产品,但Gartner却表示其编排自动化能力表现较差。看来其收购来的SOAR产品出现了问题,具体不得而知。
反观Exabeam和Securonix,尤其是Exabeam,则处处体现了Gartner对于现代SOC(Gartner对下一代SOC的称谓)的思想,譬如很好地整合了SIEM与NDR、UEBA、SOAR、TI、威胁猎捕,并充分利用了ML技术。更重要地,他们都提供了云SIEM(即SaaS SIEM)。其中,Exabeam的SaaS基于GCP,而Securonix的SaaS基于AWS和Azure。

SaaS SIEM厂商纷纷崛起,代表未来大趋势

在2019年的评比中,Gartner也将SaaS SIEM厂商作为入围考察的对象,但那时候能入选的厂商寥寥。而到了这次评比,SaaS SIEM厂商纷纷入选,也印证了Gartner对未来的判断。
先看新上榜的几个厂商:Elastic、Gurucul、微软、Odyssey 、Sumo Logic。新上榜的厂商一共7家,其中这5家都是主打SaaS SIEM的。进一步分析,微软、Odyssey 、Sumo Logic三家的SIEM是纯SaaS的,不提供用户可本地部署的业务模式。Gurucul和Elastic也是以SaaS为主,传统SIEM产品模式为辅。
再看看那些连续两年以上在榜的厂商,其中8家都有SaaS版SIEM:Exabeam推出了Fusion SIEM作为SaaS模式的品牌,基于GCP;FireEye的Helix是纯SaaS模式;IBM在SaaS方面表现一般,但也推出了QRadar on Cloud (作为 IBM 云中托管版本),并正在将QRadar集成到Cloud Pak for Security中;ManageEngine虽弱,但也有一个基于zoho云的SaaS版本;McAfee在2020年7月发布了基于Oracle云的ESM Cloud,也算是有了SaaS版;Rapid7的SIEM是纯SaaS的,号称云原生SIEM,架构在AWS上;Securonix也有SaaS版,基于AWS和Azure;Splunk在2020年7月发布了Mission Control,作为其SaaS版SIEM。
统计一下,2021年共上榜20家厂商,其中13家都有明确的云SIEM战略和SaaS版SIEM,剩下7家厂商大部分都是以做盒子见长,软件这块投入有限。其中有个SIEM大厂——LogRhythm——号称正在加紧开发云原生SIEM。笔者分析,如果LogRhythm不抓紧升级其架构,就会落得ArcSight(Micro Focus)的下场。

ArcSight(Micro Focus)和LogRhythm

凭着笔者对ArcSight的感情,多分析一下它。今年来看,ArcSight技术上小有进步。一方面是对架构重构后带来的效益逐步显现,尽管还未彻底改造完成;另外,2020年终于有了SOAR功能(源自2020年7月对 ATAR Labs的收购),UI也改善了,ATT&CK映射也做了。但云化这块还不足。
如果说ArcSight是老一代的经典(另外一个是QRadar),那么LogRhythm可以看作是中生代的典范(另一个是Splunk)。至今,Splunk(10亿美元)、QRadar(7亿美元)、ArcSight(2.1亿美元)、LogRhythm(1.9亿美元)仍是销量前四(2020年),且四家总和占比达到全球整体的60%(参考自Gartner的统计数据)。
LogRhythm的架构也有点陈旧了,虽然用到了ES等大数据架构,但也混合着MSSQL等古董级数据库,在追求Gartner现代SOC理念的道路上,基本都吻合,除了云SIEM这块比较落后。LogRhythm正在开发云原生SIEM,但这个切换过程将会是痛苦的,因为已有客户基数大,遗留版本多,比不上新生代没负担。

产品分析

SIEM产品经过十几年的发展,按Gartner的说法,处于早期主流阶段。在这十几年间,没有突飞猛进的发展,但也一直稳步的前进,期间遇到了多个挑战,多次有人提出SIEM已死的论断,但都安然无恙,充分展现了SIEM的开放性和包容性。

XDR的挑战问题

当下,SIEM的主要挑战来自XDR,但考虑到XDR主要是面向中型客户的全家桶式单一厂商打包解决方案,说明其在很多场景下还无法取代SIEM。相反,从目前来看,XDR可能融合到SIEM中去,因为SIEM厂商也在不断的增强D和R的能力,增强和整合端与网的遥测能力。也许以后,就像UEBA一样,成为SIEM的最佳伴侣。
去年的时候,笔者提出了一个公式:SOC平台 = SIEM + UEBA + EDR + NDR + SOAR,今年可以改为:SOC平台 = SIEM + UEBA + XDR + SOAR + TH。
其中TIP已经放到SOAR里面了,而TH是指威胁猎捕(Threat Hunting)。目前,已经有多个SIEM厂商推出了XDR产品,并可以看作是SIEM的一个裁剪版。而不少SIEM厂商都开始涉足威胁猎捕。

SOAR融合的问题

此外,必须提到SOAR。2018年开始,SIEM厂商就开始大举买入和进入SOAR领域。这几年下来,SOAR已经成为了SOC平台的一个关键能力(就差成为必备能力了)。
image.png
Gartner在SIEM关键能力评估报告中,给出了全新的三种用例:简单SIEM用例、复杂SIEM用例和现代SOC用例。以SOAR为代表的“编排自动化能力”在这三种用例中的权重分别是5%,5%和10%。也就是说,Garner认为,对于SIEM而言,SOAR本身有一定分量,但不是必不可少的;但是对于SOC平台而言,SOAR是十分关键的。
笔者做了20年的SOC平台,现在将精力聚焦在SOAR和资产管理上面,就是认定SOAR会是未来SOC平台的核心能力【对于资产管理在SOC中的重要性和重构的必要性以后再谈 】。
通过上面的分析,也能够发现,目前和未来一段时间内,“SOAR不在SIEM中,但SOAR在SOC里”将会是主流的发展趋势。也就是说,SOAR作为独立产品将会继续发展下去,去满足相关场景和需求。但SOAR要成为SOC平台的能力构成,原生的也行,集成松耦合的也可。

SaaS SIEM & Cloud SIEM

正如前面反复提到的,现在提及SIEM,必须提及SIEM的新型交付模式:SaaS SIEM。
根据Gartner的定义,SaaS SIEM等同于Cloud SIEM。Cloud SIEM是部署在云中的,SIEM厂商负责部署、维护、升级,提供数据存储,用户只需要具体使用(采集数据、分析、响应处置、编写安全内容等)的一种SIEM交付模式。Cloud SIEM分为云原生SIEM和云宿主SIEM两种。
但是要注意:用户租用CIPS(云基础设施与平台服务)提供商的IaaS,自己部署SIEM,自己使用SIEM的模式不属于Cloud SIEM。这种模式仅仅用户将SIEM部署到云中,Gartner称之为Cloud DIY。考察的是SIEM是否支持云部署,以及支持多少种云部署的能力,属于云部署的问题。
如下图所示,展示了云原生SIEM,云宿主SIEM和用户自己云中部署SIEM三者之间的区别:
image.png
举例来说,微软的Azure Sentinel就是云原生SIEM。深蓝框就是微软,红框也是微软,Sentinel运行在Azure上,用户买的是使用服务,Sentinel采用多租户的方式采集用户云中(通常也是Azure上)的各种系统的日志,统一存储,统一分析,但是采集策略、分析规则,运行操作与配置都是用户自己负责。
最后,除了前面提到的Cloud SIEM,SIEM云部署之外,还有一个SIEM采集云中数据的问题,这个属于SIEM采集能力的范畴。

SIEM的关键能力

在Gartner另一份分析SIEM厂商关键能力的报告中,列举了今年考察的9项关键能力:

  • 架构和部署:包括单一部署、分布式部署、级联部署、云部署、MSSP部署、SaaS部署等;
  • 数据收集与管理:结构化和非结构化数据采集、范化、增强、安全传输、安全存储;
  • 分析:威胁检测与分析、合规分析,包括UEBA、ATT&CK映射、ML应用等;
  • 内容:指安全内容,包括各种采集器、范化文件、日志解析器、分析规则和模型、用例、合规包、响应工作流、动作、剧本等。包括这些内容的内置情况、自定义扩展能力、生态能力;
  • 事件响应与管理:快速、正确和有效地对事件进行分类、记录和管理。快速创建安全事件、案例、工单,并结合案例的完整上下文,将加速事件管理和解决,并改进整体响应活动。此外还包括搜索功能。
  • 自动化和编排:此功能解决了可用于协调和自动化调查和响应活动的功能;
  • 运行:此功能解决了高效配置、管理和运行SIEM 解决方案的能力。包括日志和数据源管理、分析和检测内容、报告、用户角色和访问控制、技术集成以及响应工作流、动作和剧本的编制和运用。
  • 用户界面和体验:包括跨 SIEM 平台的 UX 和 UI 的统一程度以及它如何适应各种用户角色;
  • 补充性技术:包括与 SIEM 解决方案高度互补的自有或第三方解决方案的集成。客户往往也有很多方案需要集成到SIEM中去。

与上一轮的调研相比,关键指标选取有些变化。新增了“编排与自动化”、“补充性技术”,去掉了“取证与威胁猎捕”、“云就绪情况”。进一步分析,“云就绪情况”被整合到部署架构中了。“取证与威胁猎捕”被整合到“事件响应与管理”中的搜索能力中了。也就是说就,今年的考察的内容比去年只多不少,且特别关注了SOAR能力以及集成能力。

市场分析

回到Gartner的这个MQ报告。
Garnter表示,SIEM 市场已经从 2019 年的 35.5 亿美元增长到 2020 年的 35.8 亿美元。威胁管理(特别是威胁检测和响应)仍然是主要驱动因素,一般监测与合规管理是次要因素。
目前SIEM存在的主要不满足需求在于:对定向攻击与泄露的有效检测与响应能力。
Gartner表示,有效使用威胁情报、行为建模与分析可以提高检测成功率。SIEM 供应商在持续增加对行为分析功能的原生支持,以及与第三方技术的集成,Gartner 客户越来越有兴趣开发基于行为的用例。
尽管 SIEM 技术市场有许多成熟的供应商,但仍不断涌入旨在与他们竞争的新供应商。因此,SIEM 的供应商格局仍然是动态的,成熟的供应商和最近的进入者纷纷提供基于云的 SaaS 产品,并添加或扩展高级分析技术以帮助识别威胁并确定威胁的优先级。SIEM 供应商通过原生能力或者与第三方 SOAR 解决方案集成的方式,去不断提高他们的调查和响应能力。

写在最后

国际化依然是Gartner评估SIEM市场时重点考察的指标。在今年的入围标准中,供应商必须在 2020 年 9 月 30 日之前的 12 个月内拥有超过 5000 万美元的 SIEM 收入(上一次是3200万美元)。在 2019 年 10 月 1 日至 2020 年 9 月 30 日期间,供应商必须从其总部所在地区以外获得其 SIEM 产品/SaaS 收入的 15%,并且在至少两个地区中的每个地区都至少拥有 15 个最终用户(上一次是10个)。地区分为:北美、欧洲中东和非洲 (EMEA)、亚太地区、拉丁美洲。显然,标准进一步提高了。如果以最低5000万美元计算,海外收入至少要到750万美元。笔者认为这种情况下,国内厂商恐难入选。不过,令人惊讶的是,依然有两家中国厂商入选。
笔者从事SOC平台领域20年,一直并继续看好这个领域,会继续在这个领域深耕,因为可以做的事情实在太多了,有太多需求尚未被满足。加油!