2021年6月29日,Gartner 发布了 2021 年度的 SIEM 市场魔力象限分析(MQ)报告,对全球 2020 年的 SIEM 市场进行了分析和厂商评比。由于 2019 的报告被推迟到了 2020 年出版,2020 年度的 SIEM MQ 就被省略了。
SIEM 市场定义 今年,Gartner 没有沿用之前对 SIEM 市场的定义,而是从更加前瞻性的视角给出了 SIEM 市场的新定义,并以这种前瞻性的视角去考察各个安全厂商,看其能力能否及多大程度上成为满足最终用户未来需求的转型性技术和方法。
Gartner 将 SIEM 定义为满足以下客户需求的解决方案:
实时收集安全事件日志和遥测数据,用于威胁检测和合规性用例; 实时并持续分析遥测数据,以检测入侵和其他感兴趣的活动; 调查安全事件以确定其潜在的严重性和对业务的影响; 报告上述活动; 存储相关事件和日志。 对比一下之前的定义:
SIEM 被定义为实时地分析安全事件数据,以满足用户对于入侵和泄露进行早期检测的需要。SIEM 系统对安全数据进行收集、存储、调查,并支持缓解和报告,以实现事件应急响应、取证与合规。
笔者分析,新的定义强调了对遥测数据(telemetry)的采集与分析,还强调了安全事件调查(incident investigation)。
进一步地,查阅 Gartner 2021 年 7 月底发布的 Hype Cycle,对 SIEM 的定义为:
通过收集和分析安全遥测以及各种其他上下文数据源来支持威胁检测、安全事件管理和合规性。核心功能包括广泛的日志事件收集和管理、跨不同来源数据的分析能力以及事件管理与响应、仪表板和报告等运行功能。
总之,SIEM 越来越重视采集遥测数据(譬如流数据、包数据)。
厂商分析 2021 年度的 SIEM MQ 矩阵如下图所示:
对照一下上一次的 MQ 矩阵:
可以得出以下发现:
头部厂商大变样,Exabeam 和 Securonix 成老大,Splunk 大退步。 去年的两强 IBM 和 Splunk 退居二线,新生代势力 Exabeam 和 Securonix 取而代之。IBM 虽还算位列三甲,但包括市场理解、产品策略和创新在内的愿景完整性维度比之前大幅下降。Splunk 则更是退步明显,虽综合能力位居第四,但从矩阵上看都快掉到挑战者象限去了。为什么?甚至 Splunk 的 SIEM 市场占有率全球第一!说明跟销量无关。笔者估计,可能问题就在于这次 Gartner 评比的指导思想是考察面向未来需求的转型性技术与方法吧。显然,Exabeam 和 Securionix 的整体理念、策略和技术,都更符合 Gartner 对于未来 SIEM 发展趋势的理解。而 IBM 和 Splunk 则更专注于当下。
进一步分析 Splunk 退步原因的蛛丝马迹,可能包括:1)在云 SIEM(即 SaaS SIEM)方面表现力不够。这个可能是最大的问题。Gartner 认为,到 2024 年,80% 的 SIEM 厂商将推出云原生和 SaaS 化的 SIEM 版本,而目前这里比例为 40%。纵观 Exabeam 和 Securonix,都在云 SIEM 领域大举投入。2)价格高,这是老毛病了。3)用户体验和界面一般,主要是是指其多个不同的构件(Splunk ES、UBA、Phantom)之间的整合度不够。
再看看 IBM,在云 SIEM 这块也不算领先(现有 QRadar on Cloud 一般般),并正在紧锣密鼓的向云迁移。令人意外的是,尽管配备了 Resilient SOAR 产品,但 Gartner 却表示其编排自动化能力表现较差。看来其收购来的 SOAR 产品出现了问题,具体不得而知。
反观 Exabeam 和 Securonix,尤其是 Exabeam,则处处体现了 Gartner 对于现代 SOC(Gartner 对下一代 SOC 的称谓)的思想,譬如很好地整合了 SIEM 与 NDR、UEBA、SOAR、TI、威胁猎捕,并充分利用了 ML 技术。更重要地,他们都提供了云 SIEM(即 SaaS SIEM)。其中,Exabeam 的 SaaS 基于 GCP,而 Securonix 的 SaaS 基于 AWS 和 Azure。
SaaS SIEM 厂商纷纷崛起,代表未来大趋势。 在 2019 年的评比中,Gartner 也将 SaaS SIEM 厂商作为入围考察的对象,但那时候能入选的厂商寥寥。而到了这次评比,SaaS SIEM 厂商纷纷入选,也印证了 Gartner 对未来的判断。
先看新上榜的几个厂商:Elastic、Gurucul、微软、Odyssey 、Sumo Logic。新上榜的厂商一共 7 家,其中这 5 家都是主打 SaaS SIEM 的。进一步分析,微软、Odyssey 、Sumo Logic 三家的 SIEM 是纯 SaaS 的,不提供用户可本地部署的业务模式。Gurucul 和 Elastic 也是以 SaaS 为主,传统 SIEM 产品模式为辅。
再看看那些连续两年以上在榜的厂商,其中 8 家都有 SaaS 版 SIEM:Exabeam 推出了 Fusion SIEM 作为 SaaS 模式的品牌,基于 GCP;FireEye 的 Helix 是纯 SaaS 模式;IBM 在 SaaS 方面表现一般,但也推出了 QRadar on Cloud(作为 IBM 云中托管版本),并正在将 QRadar 集成到 Cloud Pak for Security 中;ManageEngine 虽弱,但也有一个基于 zoho 云的 SaaS 版本;McAfee 在 2020 年 7 月发布了基于 Oracle 云的 ESM Cloud,也算是有了 SaaS 版;Rapid7 的 SIEM 是纯 SaaS 的,号称云原生 SIEM,架构在 AWS 上;Securonix 也有 SaaS 版,基于 AWS 和 Azure;Splunk 在 2020 年 7 月发布了 Mission Control,作为其 SaaS 版 SIEM。
统计一下,2021 年共上榜 20 家厂商,其中 13 家都有明确的云 SIEM 战略和 SaaS 版 SIEM,剩下 7 家厂商大部分都是以做盒子见长,软件这块投入有限。其中有个 SIEM 大厂——LogRhythm——号称正在加紧开发云原生 SIEM。笔者分析,如果 LogRhythm 不抓紧升级其架构,就会落得 ArcSight(Micro Focus)的下场。
ArcSight(Micro Focus)和 LogRhythm 凭着笔者对 ArcSight 的感情,多分析一下它。今年来看,ArcSight 技术上小有进步。一方面是对架构重构后带来的效益逐步显现,尽管还未彻底改造完成;另外,2020 年终于有了 SOAR 功能(源自 2020 年 7 月对 ATAR Labs 的收购),UI 也改善了,ATT&CK 映射也做了。但云化这块还不足。
如果说 ArcSight 是老一代的经典(另外一个是 QRadar),那么 LogRhythm 可以看作是中生代的典范(另一个是 Splunk)。至今,Splunk(10 亿美元)、QRadar(7 亿美元)、ArcSight(2.1 亿美元)、LogRhythm(1.9 亿美元)仍是销量前四(2020 年),且四家总和占比达到全球整体的 60%(参考自 Gartner 的统计数据)。
LogRhythm 的架构也有点陈旧了,虽然用到了 ES 等大数据架构,但也混合着 MSSQL 等古董级数据库,在追求 Gartner 现代 SOC 理念的道路上,基本都吻合,除了云 SIEM 这块比较落后。LogRhythm 正在开发云原生 SIEM,但这个切换过程将会是痛苦的,因为已有客户基数大,遗留版本多,比不上新生代没负担。
产品分析 SIEM 产品经过十几年的发展,按 Gartner 的说法,处于早期主流阶段。在这十几年间,没有突飞猛进的发展,但也一直稳步的前进,期间遇到了多个挑战,多次有人提出 SIEM 已死的论断,但都安然无恙,充分展现了 SIEM 的开放性和包容性。
XDR 的挑战问题 当下,SIEM 的主要挑战来自 XDR,但考虑到 XDR 主要是面向中型客户的全家桶式单一厂商打包解决方案,说明其在很多场景下还无法取代 SIEM。相反,从目前来看,XDR 可能融合到 SIEM 中去,因为 SIEM 厂商也在不断的增强 D 和 R 的能力,增强和整合端与网的遥测能力。也许以后,就像 UEBA 一样,成为 SIEM 的最佳伴侣。
去年的时候,笔者提出了一个公式:SOC 平台 = SIEM + UEBA + EDR + NDR + SOAR,今年可以改为:SOC 平台 = SIEM + UEBA + XDR + SOAR + TH。其中 TIP 已经放到 SOAR 里面了,而 TH 是指威胁猎捕(Threat Hunting)。目前,已经有多个 SIEM 厂商推出了 XDR 产品,并可以看作是 SIEM 的一个裁剪版。而不少 SIEM 厂商都开始涉足威胁猎捕。
SOAR 融合的问题 此外,必须提到 SOAR。2018 年开始,SIEM 厂商就开始大举买入和进入 SOAR 领域。这几年下来,SOAR 已经成为了 SOC 平台的一个关键能力(就差成为必备能力了)。
Gartner 在 SIEM 关键能力评估报告中,给出了全新的三种用例:简单 SIEM 用例、复杂 SIEM 用例和现代 SOC 用例。以 SOAR 为代表的 “编排自动化能力” 在这三种用例中的权重分别是 5%,5% 和 10%。也就是说,Garner 认为,对于 SIEM 而言,SOAR 本身有一定分量,但不是必不可少的;但是对于 SOC 平台而言,SOAR 是十分关键的。
笔者做了 20 年的 SOC 平台,现在将精力聚焦在 SOAR 和资产管理上面,就是认定 SOAR 会是未来 SOC 平台的核心能力。
通过上面的分析,也能够发现,目前和未来一段时间内,“SOAR 不在 SIEM 中,但 SOAR 在 SOC 里” 将会是主流的发展趋势。也就是说,SOAR 作为独立产品将会继续发展下去,去满足相关场景和需求。但 SOAR 要成为 SOC 平台的能力构成,原生的也行,集成松耦合的也可。
Cloud SIEM / SaaS SIEM 正如前面反复提到的,现在提及 SIEM,必须提及 SIEM 的新型交付模式:SaaS SIEM。从 2021 年 7 月起,Gartner 改称为 Cloud SIEM。
根据 Gartner 的定义,Cloud SIEM 是部署在云中的,SIEM 厂商负责部署、维护、升级,提供数据存储,用户只需要具体使用(采集数据、分析、响应处置、编写安全内容等)的一种 SIEM 交付模式。Cloud SIEM 分为云原生 SIEM 和云寄生 SIEM 两种。【笔者认为这个定义比泛泛的 SaaS SIEM 更清晰。同时请注意:Cloud-hosted 笔者之前翻译为云宿主,现改为” 云寄生 “】
但是要注意:用户租用 CIPS(云基础设施与平台服务)提供商的 IaaS,自己部署 SIEM,自己使用 SIEM 的模式不属于 Cloud SIEM。这种模式仅仅用户将 SIEM 部署到云中,Gartner 称之为 Cloud DIY。考察的是 SIEM 是否支持云部署,以及支持多少种云部署的能力,属于云部署的问题。
如下图所示,展示了云原生 SIEM,云寄生 SIEM 和用户自己云中部署 SIEM 三者之间的区别:
【可以看到,原生和寄生是相对的。原生相当于天生与所在的云一体,寄生相当于后天放到云中,把云作为宿主(host)】
举例来说,微软的 Azure Sentinel 就是云原生 SIEM。深蓝框就是微软,红框也是微软,Sentinel 运行在 Azure 上,用户买的是使用服务,Sentinel 采用多租户的方式采集用户云中(通常也是 Azure 上)的各种系统的日志,统一存储,统一分析,但是采集策略、分析规则,运行操作与配置都是用户自己负责。
最后,除了前面提到的 Cloud SIEM,SIEM 云部署之外,还有一个 SIEM 采集云中数据的问题,这个属于 SIEM 采集能力的范畴。
SIEM 的关键能力 在 Gartner 另一份分析 SIEM 厂商关键能力的报告中,列举了今年考察的 9 项关键能力:
架构和部署:包括单一部署、分布式部署、级联部署、云部署等;适合大企业、中型企业的部署等; 数据收集与管理:结构化和非结构化数据采集、范化、增强、安全传输、安全存储; 分析:威胁检测与分析、合规分析,包括 UEBA、ATT&CK 映射、ML 应用等; 内容:指安全内容,包括各种采集器、范化文件、日志解析器、分析规则和模型、用例、合规包、响应工作流、动作、剧本等。包括这些内容的内置情况、自定义扩展能力、生态能力; 事件响应与管理:快速、正确和有效地对事件进行分类、记录和管理。快速创建安全事件、案例、工单,并结合案例的完整上下文,将加速事件管理和解决,并改进整体响应活动。此外还包括搜索功能。 自动化和编排:此功能解决了可用于协调和自动化调查和响应活动的功能; 运行:此功能解决了高效配置、管理和运行 SIEM 解决方案的能力。包括日志和数据源管理、分析和检测内容、报告、用户角色和访问控制、技术集成以及响应工作流、动作和剧本的编制和运用。 用户界面和体验:包括跨 SIEM 平台的 UX 和 UI 的统一程度以及它如何适应各种用户角色; 补充性技术:包括与 SIEM 解决方案高度互补的自有或第三方解决方案的集成。客户往往也有很多方案需要集成到 SIEM 中去。 与上一轮的调研相比,关键指标选取有些变化。新增了 “编排与自动化”、“补充性技术”,去掉了 “取证与威胁猎捕”、“云就绪情况”。进一步分析,“云就绪情况” 被整合到部署架构中了。“取证与威胁猎捕” 被整合到 “事件响应与管理” 中的搜索能力中了。也就是说,今年的考察的内容比去年只多不少,且特别关注了 SOAR 能力以及集成能力。
市场分析 回到 Gartner 的这个 MQ 报告。
Garnter 表示,SIEM 市场已经从 2019 年的 35.5 亿美元增长到 2020 年的 35.8 亿美元。威胁管理(特别是威胁检测和响应)仍然是主要驱动因素,一般监测与合规管理是次要因素。
目前 SIEM 存在的主要不满足需求在于:对定向威胁与泄露的有效检测与响应能力。
Gartner 表示,有效使用威胁情报、行为建模与分析可以提高检测成功率。SIEM 供应商在持续增加对行为分析功能的原生支持,以及与第三方技术的集成,Gartner 客户越来越有兴趣开发基于行为的用例。
尽管 SIEM 技术市场有许多成熟的供应商,但仍不断涌入旨在与他们竞争的新供应商。因此,SIEM 的供应商格局仍然是动态的,成熟的供应商和最近的进入者纷纷提供基于云的 SaaS 产品,并添加或扩展高级分析技术以帮助识别威胁并确定威胁的优先级。SIEM 供应商通过原生能力或者与第三方 SOAR 解决方案集成的方式,去不断提高他们的调查和响应能力。
写在最后 国际化依然是 Gartner 评估 SIEM 市场时重点考察的指标。在今年的入围标准中,供应商必须在2020年9月30日之前的 12 个月内拥有超过 5000 万美元的 SIEM 收入(上一次是 3200 万美元)。在2019年10月1日至2020年9月30日期间,供应商必须从其总部所在地区以外获得其 SIEM 产品/SaaS 收入的 15%,并且在至少两个地区中的每个地区都至少拥有 15 个最终用户(上一次是 10 个)。地区分为:北美、欧洲中东和非洲 (EMEA)、亚太地区、拉丁美洲。显然,标准进一步提高了。如果以最低 5000 万美元计算,海外收入至少要到 750 万美元。笔者认为这种情况下,国内厂商恐难入选。不过,令人惊讶的是,依然有两家中国厂商入选。
©著作权归作者所有:来自 51CTO 博客作者叶蓬的原创作品,请联系作者获取转载授权,否则将追究法律责任 Gartner:2021 年 SIEM(安全信息与事件管理)市场分析 https://blog.51cto.com/yepeng/5344788