在 Gartner 2020 年度的 SIEM 魔力象限出来之前,我们先看看 Forrester 最新的安全分析平台(Security Analytics Platform)的厂商评估报告(Forrester Wave),发表于2020年12月1日。Forrester 的 SAP 细分市场大致对应于 Gartner 宇宙的 SIEM 细分市场。
上一次 Forrester 发布 SAP 的厂商评估报告还是在 2018 年,时隔两年多,变化还是比较大的,因为最近几年正值 SIEM/SOC/SAP 领域翻天覆地的时代。
Forrester 在此前的另一份报告《Now Tech: Security Analytics Platforms, Q3 2020》中给出了最新的 SAP 定义:
SAP 构建在大数据基础设施之上,融合来自网络、身份、端点、应用和其它安全相关数据源的日志,产生高保真的行为告警,并促成快速的安全事件分析、调查与响应。
回顾一下 Forrester 首次定义 SAP 的时候,是在《Counteract Cyberattacks With Security Analytics》报告中:
SAP 是一个构建在大数据架构之上的平台,它融合了来自包括 SIM,(特定)安全解决方案,网络流数据,外部威胁情报和各种终端及应用的日志数据、关联数据和报表数据。SAP 使用这些信息和机器学习技术为(用户)提供实时监测,促使(用户)更快速地事件检测、分析与响应。
对比一下,定义大致保持一致,并且现在的定义更加简洁。
注意,SAP 不等于 SA,SA(安全分析)是一种技术,不是一个细分产品市场!
Forrester 认为当前 SAP 的三个核心用途是:
通过更好的网络可见性识别位置威胁
借助自动化告警分诊和响应推荐来支撑 SOC 分析师的工作
实现整个环境的编排化响应
显然,Forrester 对 SAP 的定义外延比经典的 SIEM 更大,称作下一代的 SIEM,更贴近我们现今对安管平台(或者 SOC 平台)的认知。当然,现在 Gartner 在分析 SIEM 市场的时候也早已不在局限于经典 SIEM 范围了,大家对市场的认识都在趋同。ESG 的 SOAPA 也差不多是一个意思。
在 Forrester 看来,SOAR 是 SAP 的核心能力,甚至以此来区分不同类型的 SAP。此外,Forrester 直接使用 Gartner 宇宙的 SOAR 术语,以替代原来的 SAO。
小结一下,用我们通俗可以理解的话来描述,SAP = 大数据 + SIEM + SOAR + XDR + UEBA。
回到报告,2020 年的 Forrester Wave 象限图如下:
对比一下 2018 年的 Wave 象限图:
可以看到,这个变化还是比较大的。
首先,AlienVault 已经被 AT&T 收购,McAfee、Fortinet、Huntsman 也没有上榜,而 FireEye 上榜了。
其次,微软凭借 Azure Sentinel 上榜,且位置突出,表明 Forrester 对 Cloud SIEM(该术语来自 Gartner)市场的重视。而 Gartner 目前还没有将 Cloud SIEM 纳入 SIEM MQ 考察范围。
最后,也是最重要的,维持入榜的厂商位置都发生了较大变化。IBM 和 Splunk 两强领跑,LogRhythm 退居二线,Securonix 和 Exabeam 凭借 UEBA(Forrester 称之为 SUBA)技术异军突起。
进一步来看,IBM 和 Splunk 十分贴合 Forrester 对 SAP 的看法(也不好说是谁影响了谁),都是 SIEM+SOAR 的战略,都有云端 SAP 产品和服务,市场表现也很好。
LogRhythm 虽也有 SOAR 和 SaaS 版,都这些能力表现都差强人意。不过这个报告没来及讲到的是,就在2021年1月13日,LogRhythm 宣布收购云分析平台厂商 MistNet,预计将重组其围绕看家的 SIEM 之上的 XDR 和 Cloud SIEM 技术/产品/市场战略。
Micro Focus 的 Arcsight 在经历了数年的大滑坡后,也稍稍回血,先是 2019 年收购了 Interset 获得了 UEBA 技术,然后在 2020 年 7 月收购了 ATAR Labs 获得了 SOAR 技术,总算是面子上追了回来,但整合的如何尚未可知。而且 Forrester 认为 Arcsight 拥抱云相较于其它几个大厂而言太晚了点。
顺带提一下,Micro Focus 旗下的 Arcsight 退步是有目共睹,但 Forrester 还算手下留情,给它放到的第二档,而 Gartner 则狠心将其放到了 2019 年度 MQ 的第四档。
Forrester 对 SAP 的主要观点
Forrester 认为,SAP 的未来在云端,因为用户的工作负载在向云端迁移,而且云端具有存储极易扩容、轻松上规模、稳定可靠等特点,另外云端 SAP 的软件开发与发布更高效。从实际市场来看,Forrester 发现主流的 SAP 厂商都开始提供 Cloud SIEM。
微软的 Azure Sentinel 可谓云原生 SAP,走到了 GCP Chronicle 前面。
IBM 凭借 QRadar 和 Resilient 上榜,同时 Forrester 也提到了 IBM 的 CloudPak for Security Platform,作为其向云转战的标志。
Spunk 凭借 ES 和 Phantom 上榜,同时其面向云的 Misson Control 受到关注。
Securonix 也推出了基于 SaaS 的多租户版 SAP。
Forrester 给选择 SAP 的客户提了 4 点建议,也就是 SAP 应具备的 4 个关键能力:
1)客户定制化能力,特指分析内容,分析场景和分析模型的自定义;
2)分析与自动化响应一体化,不仅能够发现问题,还能帮助解决问题;
3)把 MITRE 的 ATT&CK 框架作为安全运行的一部分,贯穿检测、调查和猎捕的各个环节;
4)具备 XDR 的愿景,能够将 EDR 很好的整合到安全分析中来。
Forrester 在评估 SAP 厂商技术能力的时候,考量的维度包括:部署模式和数据架构、可见性、关联分析能力、威胁检测能力、ATT&CK 映射、定制化检测能力、安全编排能力、合规性、平台使用体验、分析能力、风险评分与优先级划分能力。
小结
建议大家结合笔者2019 年的 Gartner SIEM MQ 分析文章来看这个报告,尤其是厂商分析部分。
正如笔者在上个文章《Ponemon:再谈 SOC 出效果要花多少钱》中指出的那样,SAP/SOC/SIEM 迎来了一个大发展的时代,必须求变才能顺应这个潮流。