概述
2010年5月13日,一年一度的Gartner安全信息和事件管理(SIEM)幻方图(魔幻象限/MQ)发布了。根据这份2010年的SIEM MQ显示,SIEM市场已经成熟,竞争越发激烈,并向中小企业市场渗透。同时,SIEM市场出现了明显的分化,有的新崛起的厂商势头强劲,而另一些厂商则反应迟缓,有的甚至出现了业务萎缩。此外,SIEM产品的表现形式也也越发多样性,有的依然是纯正的SIEM,有的则与其他产品进行整合(例如与IAM整合,与GRC整合)。
整体市场发展状况
Gartner的报告指出,2009年的SIEM市场增长依然强劲,与 2008年相比,多出35%的客户计划上马SIEM项目。业界大部分厂商都宣称业绩大幅增长。与2008年相比,SIEM的总营收增长只有15%,达到 11.5亿美元,这更加说明了SIEM产品正在向中小企业市场渗透,当然企业的预算投入也更趋理性。
与2008年一样,2009年的SIEM市场驱动力依然还是合规与安全标准,尤其是北美市场。亚欧市场的SIEM驱动力主要还是用于实时威胁监测和应急事件响应。
与2009年的SIEM MQ一样,Gartner将Log Management(LM/日志管理)纳入了SIM的范畴。
这次,Gartner对SIM和SEM有了更为简洁的描述:
Security information management (SIM) — log management and compliance reporting
Security event management (SEM) — real-time monitoring and incident management
当然,Gartner依然有更为精准的SIM/SEM定义,与去年的定义一模一样。
Gartner认为,一个优秀的SIEM方案应该具备以下特征(2009年也是这么说的):
1)支持从主机、网络设备以及安全设备上实时地收集和分析日志;#p#
2)支持长期日志存储和历史报表分析;
3)不必进行大量的定制开发(即产品化程度高);
4)易于部署和维护;
厂商分析
根据Gartner设定的门槛,一共有20个厂商进入了MQ。先说说没有入围的几个厂商:
1)思科MARS,由于众所周知的原因,思科停止了MARS产品对非思科产品线的日志支持,Gartner不再对其进行分析;
2)Splunk,这是Gartner连续两年将其拒绝。理由还是那条:Splunk没有实时日志分析功能,不符合Gartner对SIEM的定义(SEM用例);
3)AlienVault,我个人认为值得关注,因为他拥有Open Source的OSSIM,不过由于营收肯定不合Gartner的标准,无法入围。
4)HP的 Compliance Log Warehouse (CLW) ,虽然是大鳄,不过产品都是OEM自SenSage的,自然不能入围。
5)Q1Labs 入围了,他也卖自己的软件,但是重点走OEM的路线,给别人的盒子做嫁衣。Enterasys、Juniper都是他的客户。这些公司都OEM了 Q1Labs的产品,包括Enterasys 的SIEM / Dragon Security Command Console,Juniper的Networks Security Threat Response Manager。所以这些厂家自然不能入围啦,各位可要认准啦。
6)有的厂家被收购了,自然无法再入围了。例如Intelitectics。
再看看上MQ的厂商:
如果你对比一下 2010年的和2009年的MQ,会有很多有趣的发现。
1)Arcsight一枝独秀。我认为这更多地归功于他的市场成功;
2)RSA的原地踏步。enVision能有这样的表现已不容易,看看其他的厂家的困境就知道了。另外,enVision能够维持领先的原因可能还包括EMC的超长产品线,包括enVision与 DLP方案的整合,以及最近新购买的Archer公司的GRC产品的整合。
3)Q1Labs略有退步,勉强维持领先。最近以来没啥新技术,新东东出来。不过比起其他退步的厂商而言,依然能够维持领先已不容易了。
4)NitroSecurity进步不小。一方面源于其2009年发布了不少新品,同时因为他的产品线布局清晰,并且更加合理。我认为很重要的一点就是引入了DAM。呵呵,跟我们的思路比较一致。值得一提的是,持同样理念的LogLogic今年却退步了,主要不是因为理念的问题,而是理念的落地上遇到的困难,与2008相比有退步。
5)一堆厂商在MQ的中间扎推,包括一堆大厂和一堆老厂。这些基本都属于Gartner称的发展迟缓、甚至萎缩的类型,包括IBM、CA和NetIQ为代表的厂商退步。尤其是IBM,退步明显。对于IBM,我感觉主要问题是他收购了一堆SIEM厂商后,整合乏力(自找的),名字起得倒是挺好听的,不过产品之间的关系说不清楚,架构也不一致,有点乱。不过,大厂有大厂的玩法——方案及产品整合。IBM和CA将SIEM与IAM整合到一起(Novell也这么做),NetIQ则将SIEM与配置管理和文件完整性整合到一起(类似Tripwire的做法)。
6)陪绑的,还是那几个厂商,要么在左边中间,要么位于左下角。对于他们而言,能上榜就是成功。
总的来说,进步的不多,退步的不少,原地踏步的一大把。此外,我个人觉得(没有数据支撑),上榜的公司占SIEM市场总营收的比重应该有减少,因为有很多新兴的区域的SIEM厂家涌现,欧洲、拉美、中国,亚洲,都有不少。此外,更多中小型企业和组织买入SIEM也使得这种市场分布更加广泛,因而销售额更加分散。
哪里获取这份报告?
现在的SIEM MQ价值越来越不如以前让人觉得珍贵了,可能是这个市场成熟了,也可能是Gartner的人自己也疲惫了。大部分上榜的厂家的官方网站都有下载链接,只要简单的做个注册即可。