Gartner：2017年SIEM（安全信息与事件管理）市场分析

2017年度的Gartner SIEM魔力象限在比往常推迟了4个月之后终于发布了。在Gartner眼中，SIEM已经是一个成熟市场。但这个市场依然十分活跃：客户需求在变化，市场格局也在变化，技术革新也在不断重塑SIEM自身。让我们先看矩阵：

对比一下2016年度的矩阵：

可以说，这是自2014年以来，变化最大的一次（可以参见我下面的历年分析文章）。我将这些变化总结为5点：

1）领头羊之争日趋激烈，去年是IBM和Splunk各执牛耳，几年则是IBM QRadar略胜一筹，颇有当年Arcsight独领风骚的气势，却不知能否保持多久。一方面得益于IBM在QRadar产品线上的持续大力投入，ML和UEBA功能组件纷纷上线，appmarket也推出来了，加上他整个套件的组件十分齐全，覆盖了Gartner所有的SIEM评估点，还有近期收购来的安全编排产品Resilient加持，；另一方面也是因为Splunk今年稍有退步。主要还是因为太贵，授权方式不合理，此外毕竟安全只是Splunk的一个分支而非全部，并没有如QRadar那样投入巨大。

2）Arcsight节节败退（参见我的博文《颠沛流离的Arcsight，辉煌不再》），历史上第一次退出了第一象限。我对Arcsight是很有感情的，毕竟是我们团队最早将其引入中国。曾经独占鳌头的光景早已消失，而被并入MicroFocus更加剧了它的不确定性。其实Arcsight近几年一直在升级他的底层技术架构，也推出了支持Hadoop的大数据版，还发布了appmarket，但也许是历史包袱太重，要想重构，任重道远，可偏偏又遇上HPE这个主儿，稳定的持续的研发投入打上了一个大问号。据我所知，MicroFocus收了HPE的软件部门后，首要的工作就是cost down（否则并购干嘛呀），前HPE软件部中国区已经开始散场，加上MicroFocus还有另一款SIEM产品NetIQ（也在SIEM MQ中混迹多年），真不知道未来会怎样。面向未来，同时做两个SIEM显然浪费，恐怕更多是要给存量客户一个交代吧。

3）UEBA厂商强势入榜，代表厂商就是Securonix和Exabeam。Gartner已经反复讲过UEBA未来只有两条路，一条是大路，即与其它产品融合，成为一个Feature，而融合首选是SIEM；另一条路就是成为剩余的少数几家独立的UEBA产品供应商。于是，Securonix和Exabeam作为UEBA领域的领先者主动求变，挺进SIEM市场。他们的特点是新，基于新的NoSQL和大数据平台架构，充分利用ML（机器学习）技术，UI也是最新的流行样式，报价体系简洁，价格比大厂更具竞争力。当然，他们存在的问题也在于新，大数据架构的引入导致相关的维护难度提升。可以说，UEBA的入榜将加剧未来SIEM市场的格局动荡，相信未来会有更多的相关并购出现。

4）中国厂商第一次入榜。对于中国客户和从业者而言，这是一个亮点。作为SIEM产品的负责人，本人有幸全程参与了这个过程。从旁观者到亲历者，体验是大大的不同，经验也是一大把，有机会另文撰述。这里只想提一句：入围Gartner SIEM魔力象限是一项十分艰苦的工作，不仅要跨越语言的障碍，还要扭转国外同行对中国厂商只能做安全硬件设备的误解。同时，SIEM产品的魔力象限考核指标是Gartner所有安全产品评估中最难、最复杂的，评价的指标项超过200个（指标之间相互关联，十分缜密）。期间，我们和分析师反复沟通，进行了十几次电话会议，数次北京的见面沟通，在美国的现场沟通，产品演示，提交各种产品资料和原理设计文档，等等等等。分析师对产品的分析十分严谨，所有能写进报告的项目都必须提供能让他信服的proven（证据）。至于技术方面，我们的SIEM覆盖了Gartner考察的大部分指标，包括流分析，ML。有机会，各位可以阅读另一个报告——《Gartner Critical Capabilities for SIEM, 2017》——一探究竟。

5）FireEye进入SIEM市场。FireEye的玩法与众不同，走的是SECaaS的路子，借助其假设在AWS上的威胁分析平台（TAP），以SaaS模式提供SIEM。其实，这里还是有很多tricky的地方，因为SIEM as a Sevice跟MSS/MDR之间的界限并不是那么地清晰。而MSS市场是不在SIEM MQ考察范围之内的。Anyway，FireEye现在已经是一个大厂，想玩SIEM，有何不可？

分析完厂商，回到SIEM市场本身。

2016年，SIEM全球销量达到了21.7亿美元，在所有细分市场中，属于很高增速的市场，在亚太新兴地区和拉美的增速尤其高，总体上呈现一片繁荣景象。在全球范围内，威胁检测与管理都已经成为主要的市场驱动力，超越了合规与监测。越来越多的客户提出了集成威胁情报、行为建模和有效分析的需求。

在市场格局上，四大厂商占据了60%的市场份额。

Gartner还持续跟踪了一种新的迹象，就是有人在利用开源的大数据分析平台（譬如ELK，Apache Metron）搭建SIEM类系统。Gartner表示，他们调研了一些这类客户，发现他们当初是为了降低购买商业化SIEM的成本而投入到开源平台的怀抱，但真正深入下去发现，成本其实并不低，改造、开发的工作量很大，并不适合大部分客户。Gartner还是建议客户根据自身的安全管理成熟度选择适合自己的SIEM部署模式：自建、购买，或者采用外包服务（这个还有多种细分模式），还有共建。对于成熟度较低的，干脆建议先别上SIEM，转而先去上LM（日志管理）。

Gartner表示，尽管依然可见不少客户部署SIEM失败的案例，但大家依然热此不疲。足见背后的需求推动力大过了部署失败的风险。

伴随着SIEM MQ的发布，Gartner还发布了SIEM的关键能力评估报告（简称CC，Critical Capabilities）。

在CC报告中，Garnter对此次入围的19个厂商从三个使用场景（基础安全监测、高级威胁检测和取证与事件响应）进行的打分和横向对比分析。Gartner预测，到2020年，75%的SIEM将采用大数据技术作为其内核，同时广泛借助ML去提升威胁检测的能力。

Gartner建议客户：

1）将包括安全、IT和网络运维、审计与合规、法务、HR等部门的利益攸关者们的调研信息做为输入，对SIEM的需求和场景用例做好文档化；

2）制定一份多年的SIEM部署路线图，确保所有需要上马的功能和伸缩性需求在SIEM技术选型的时候得到评估；

3）选择SIEM技术的时候，必须跟客户当前的或者是期望的成熟度相匹配，要适配自身的资源、专家团队、现有和将要使用的其他工具，SIEM解决方案必须能够与现有的安全监测与响应工具进行整合。

在CC中，Gartner将SIEM的关键能力分为了以下8个方面（每个方面还有很多细节划分，这里省略）：

1）实时监测；

2）事件（Incident）响应与管理；

3）高级威胁防御；

4）业务情境与安全情报；

5）用户监测 ；

6）数据与应用监测；

7）高级分析；

8）部署和支持的便捷性；

由于这次实际参与了评比，我们发现他们对这些能力进行了十分细致的划分，总共设计出了200多个指标项，来考察每个产品，基本上我们能想到的功能点他都涵盖了。所以我在《再谈SIEM和安全管理平台项目的失败因素（1）》中说，“Gartner 对 SIEM 研究时间之长、范围之广、程度之深”，令人赞叹。Gartner知识库中跟 SIEM/安管平台/SOC 有关的文章/报告/博客数量之多，我至今也没有看完过。

【参考】

Gartner：2016年SIEM（安全信息与事件管理）市场分析

Gartner：2015年SIEM（安全信息与事件管理）市场分析

Gartner：2014年SIEM（安全信息与事件管理）市场分析

Gartner：2013年SIEM市场分析（MQ）

Gartner：2012年SIEM（安全信息与事件管理）市场分析报告

Gartner发布2011年SIEM市场分析报告（幻方图）

评Gartner2010年安全信息和事件管理（SIEM）分析报告

Gartner公司对2009年安全信息和事件管理（SIEM）的分析报告