評Gartner2010年安全信息和事件管理(SIEM)分析報告
概述
2010年5月13日,一年一度的Gartner安全信息和事件管理(SIEM)幻方圖(魔幻象限/MQ)發布了。根據這份2010年的SIEM MQ顯示,SIEM市場已經成熟,競爭越發激烈,并向中小企業市場滲透。同時,SIEM市場出現了明顯的分化,有的新崛起的廠商勢頭強勁,而另一些廠商則反應遲緩,有的甚至出現了業務萎縮。此外,SIEM產品的表現形式也也越發多樣性,有的依然是純正的SIEM,有的則與其他產品進行整合(例如與IAM整合,與GRC整合)。
整體市場發展狀況
Gartner的報告指出,2009年的SIEM市場增長依然強勁,與 2008年相比,多出35%的客戶計劃上馬SIEM項目。業界大部分廠商都宣稱業績大幅增長。與2008年相比,SIEM的總營收增長只有15%,達到 11.5億美元,這更加說明了SIEM產品正在向中小企業市場滲透,當然企業的預算投入也更趨理性。
與2008年一樣,2009年的SIEM市場驅動力依然還是合規與安全標準,尤其是北美市場。亞歐市場的SIEM驅動力主要還是用于實時威脅監測和應急事件響應。
與2009年的SIEM MQ一樣,Gartner將Log Management(LM/日志管理)納入了SIM的范疇。
這次,Gartner對SIM和SEM有了更為簡潔的描述:
Security information management (SIM) — log management and compliance reporting
Security event management (SEM) — real-time monitoring and incident management
當然,Gartner依然有更為精準的SIM/SEM定義,與去年的定義一模一樣。
Gartner認為,一個優秀的SIEM方案應該具備以下特征(2009年也是這么說的):
1)支持從主機、網絡設備以及安全設備上實時地收集和分析日志;#p#
2)支持長期日志存儲和歷史報表分析;
3)不必進行大量的定制開發(即產品化程度高);
4)易于部署和維護;
廠商分析
根據Gartner設定的門檻,一共有20個廠商進入了MQ。先說說沒有入圍的幾個廠商:
1)思科MARS,由于眾所周知的原因,思科停止了MARS產品對非思科產品線的日志支持,Gartner不再對其進行分析;
2)Splunk,這是Gartner連續兩年將其拒絕。理由還是那條:Splunk沒有實時日志分析功能,不符合Gartner對SIEM的定義(SEM用例);
3)AlienVault,我個人認為值得關注,因為他擁有Open Source的OSSIM,不過由于營收肯定不合Gartner的標準,無法入圍。
4)HP的 Compliance Log Warehouse (CLW) ,雖然是大鱷,不過產品都是OEM自SenSage的,自然不能入圍。
5)Q1Labs 入圍了,他也賣自己的軟件,但是重點走OEM的路線,給別人的盒子做嫁衣。Enterasys、Juniper都是他的客戶。這些公司都OEM了 Q1Labs的產品,包括Enterasys 的SIEM / Dragon Security Command Console,Juniper的Networks Security Threat Response Manager。所以這些廠家自然不能入圍啦,各位可要認準啦。
6)有的廠家被收購了,自然無法再入圍了。例如Intelitectics。
再看看上MQ的廠商:
如果你對比一下 2010年的和2009年的MQ,會有很多有趣的發現。
1)Arcsight一枝獨秀。我認為這更多地歸功于他的市場成功;
2)RSA的原地踏步。enVision能有這樣的表現已不容易,看看其他的廠家的困境就知道了。另外,enVision能夠維持領先的原因可能還包括EMC的超長產品線,包括enVision與 DLP方案的整合,以及最近新購買的Archer公司的GRC產品的整合。
3)Q1Labs略有退步,勉強維持領先。最近以來沒啥新技術,新東東出來。不過比起其他退步的廠商而言,依然能夠維持領先已不容易了。
4)NitroSecurity進步不小。一方面源于其2009年發布了不少新品,同時因為他的產品線布局清晰,并且更加合理。我認為很重要的一點就是引入了DAM。呵呵,跟我們的思路比較一致。值得一提的是,持同樣理念的LogLogic今年卻退步了,主要不是因為理念的問題,而是理念的落地上遇到的困難,與2008相比有退步。
5)一堆廠商在MQ的中間扎推,包括一堆大廠和一堆老廠。這些基本都屬于Gartner稱的發展遲緩、甚至萎縮的類型,包括IBM、CA和NetIQ為代表的廠商退步。尤其是IBM,退步明顯。對于IBM,我感覺主要問題是他收購了一堆SIEM廠商后,整合乏力(自找的),名字起得倒是挺好聽的,不過產品之間的關系說不清楚,架構也不一致,有點亂。不過,大廠有大廠的玩法——方案及產品整合。IBM和CA將SIEM與IAM整合到一起(Novell也這么做),NetIQ則將SIEM與配置管理和文件完整性整合到一起(類似Tripwire的做法)。
6)陪綁的,還是那幾個廠商,要么在左邊中間,要么位于左下角。對于他們而言,能上榜就是成功。
總的來說,進步的不多,退步的不少,原地踏步的一大把。此外,我個人覺得(沒有數據支撐),上榜的公司占SIEM市場總營收的比重應該有減少,因為有很多新興的區域的SIEM廠家涌現,歐洲、拉美、中國,亞洲,都有不少。此外,更多中小型企業和組織買入SIEM也使得這種市場分布更加廣泛,因而銷售額更加分散。
哪里獲取這份報告?
現在的SIEM MQ價值越來越不如以前讓人覺得珍貴了,可能是這個市場成熟了,也可能是Gartner的人自己也疲憊了。大部分上榜的廠家的官方網站都有下載鏈接,只要簡單的做個注冊即可。
