评Gartner2010年安全信息和事件管理(SIEM)分析报告

安全
2010年5月13日,一年一度的Gartner安全信息和事件管理(SIEM)幻方图(魔幻象限/MQ)发布了。根据这份2010年的SIEM MQ显示,SIEM市场已经成熟,竞争越发激烈,并向中小企业市场渗透。

概述

2010年5月13日,一年一度的Gartner安全信息和事件管理(SIEM)幻方图(魔幻象限/MQ)发布了。根据这份2010年的SIEM MQ显示,SIEM市场已经成熟,竞争越发激烈,并向中小企业市场渗透。同时,SIEM市场出现了明显的分化,有的新崛起的厂商势头强劲,而另一些厂商则反应迟缓,有的甚至出现了业务萎缩。此外,SIEM产品的表现形式也也越发多样性,有的依然是纯正的SIEM,有的则与其他产品进行整合(例如与IAM整合,与GRC整合)。

整体市场发展状况

Gartner的报告指出,2009年的SIEM市场增长依然强劲,与 2008年相比,多出35%的客户计划上马SIEM项目。业界大部分厂商都宣称业绩大幅增长。与2008年相比,SIEM的总营收增长只有15%,达到 11.5亿美元,这更加说明了SIEM产品正在向中小企业市场渗透,当然企业的预算投入也更趋理性。

与2008年一样,2009年的SIEM市场驱动力依然还是合规与安全标准,尤其是北美市场。亚欧市场的SIEM驱动力主要还是用于实时威胁监测和应急事件响应。

与2009年的SIEM MQ一样,Gartner将Log Management(LM/日志管理)纳入了SIM的范畴。

这次,Gartner对SIM和SEM有了更为简洁的描述:

Security information management (SIM) — log management and compliance reporting

Security event management (SEM) — real-time monitoring and incident management

当然,Gartner依然有更为精准的SIM/SEM定义,与去年的定义一模一样。

Gartner认为,一个优秀的SIEM方案应该具备以下特征(2009年也是这么说的):

 

1)支持从主机、网络设备以及安全设备上实时地收集和分析日志;#p#

2)支持长期日志存储和历史报表分析;

3)不必进行大量的定制开发(即产品化程度高);

4)易于部署和维护;

厂商分析

根据Gartner设定的门槛,一共有20个厂商进入了MQ。先说说没有入围的几个厂商:

1)思科MARS,由于众所周知的原因,思科停止了MARS产品对非思科产品线的日志支持,Gartner不再对其进行分析;

2)Splunk,这是Gartner连续两年将其拒绝。理由还是那条:Splunk没有实时日志分析功能,不符合Gartner对SIEM的定义(SEM用例);

3)AlienVault,我个人认为值得关注,因为他拥有Open Source的OSSIM,不过由于营收肯定不合Gartner的标准,无法入围。

4)HP的 Compliance Log Warehouse (CLW) ,虽然是大鳄,不过产品都是OEM自SenSage的,自然不能入围。

5)Q1Labs 入围了,他也卖自己的软件,但是重点走OEM的路线,给别人的盒子做嫁衣。Enterasys、Juniper都是他的客户。这些公司都OEM了 Q1Labs的产品,包括Enterasys 的SIEM / Dragon Security Command Console,Juniper的Networks Security Threat Response Manager。所以这些厂家自然不能入围啦,各位可要认准啦。

6)有的厂家被收购了,自然无法再入围了。例如Intelitectics。

再看看上MQ的厂商:

如果你对比一下 2010年的和2009年的MQ,会有很多有趣的发现。

1)Arcsight一枝独秀。我认为这更多地归功于他的市场成功;

2)RSA的原地踏步。enVision能有这样的表现已不容易,看看其他的厂家的困境就知道了。另外,enVision能够维持领先的原因可能还包括EMC的超长产品线,包括enVision与 DLP方案的整合,以及最近新购买的Archer公司的GRC产品的整合。

3)Q1Labs略有退步,勉强维持领先。最近以来没啥新技术,新东东出来。不过比起其他退步的厂商而言,依然能够维持领先已不容易了。

4)NitroSecurity进步不小。一方面源于其2009年发布了不少新品,同时因为他的产品线布局清晰,并且更加合理。我认为很重要的一点就是引入了DAM。呵呵,跟我们的思路比较一致。值得一提的是,持同样理念的LogLogic今年却退步了,主要不是因为理念的问题,而是理念的落地上遇到的困难,与2008相比有退步。

5)一堆厂商在MQ的中间扎推,包括一堆大厂和一堆老厂。这些基本都属于Gartner称的发展迟缓、甚至萎缩的类型,包括IBM、CA和NetIQ为代表的厂商退步。尤其是IBM,退步明显。对于IBM,我感觉主要问题是他收购了一堆SIEM厂商后,整合乏力(自找的),名字起得倒是挺好听的,不过产品之间的关系说不清楚,架构也不一致,有点乱。不过,大厂有大厂的玩法——方案及产品整合。IBM和CA将SIEM与IAM整合到一起(Novell也这么做),NetIQ则将SIEM与配置管理和文件完整性整合到一起(类似Tripwire的做法)。

6)陪绑的,还是那几个厂商,要么在左边中间,要么位于左下角。对于他们而言,能上榜就是成功。

总的来说,进步的不多,退步的不少,原地踏步的一大把。此外,我个人觉得(没有数据支撑),上榜的公司占SIEM市场总营收的比重应该有减少,因为有很多新兴的区域的SIEM厂家涌现,欧洲、拉美、中国,亚洲,都有不少。此外,更多中小型企业和组织买入SIEM也使得这种市场分布更加广泛,因而销售额更加分散。

哪里获取这份报告?

现在的SIEM MQ价值越来越不如以前让人觉得珍贵了,可能是这个市场成熟了,也可能是Gartner的人自己也疲惫了。大部分上榜的厂家的官方网站都有下载链接,只要简单的做个注册即可。

责任编辑:佟健 来源: TT博客
相关推荐

2019-05-09 08:29:34

开源安全SIEM工具

2011-01-18 09:26:00

2010-05-26 09:31:42

领导者象限GartnerRSA

2014-08-05 10:53:34

Gartner魔力象限IBM

2011-06-15 15:35:44

Novell魔力象限

2013-11-06 10:03:28

Gartner云安全

2016-09-17 00:12:46

2015-04-02 10:17:14

安全信息事件管理

2011-05-17 15:59:41

2018-12-24 14:48:24

SplunkGartner安全信息

2017-12-10 23:41:52

SIEM企业安全情报

2016-07-25 15:55:48

安全软件安全软件市场Gartner

2015-09-08 10:22:42

2013-10-30 09:35:54

SIEM安全信息和事件管理

2018-12-26 15:14:56

2021-08-04 14:04:05

安全信息人工智能IT安全

2020-10-28 08:32:18

EDRNTAXDR

2010-12-30 11:55:33

安全信息事件监控SIEM

2020-07-07 09:00:00

SIEM安全信息和事件管理网络安全
点赞
收藏

51CTO技术栈公众号