安全路透社
当前位置:安全路透社 > 网络转载 > 正文

Gartner发布2016 SIEM魔力象限报告,IBM、Splunk持续领跑

Gartner最近公布了针对SIEM的魔力象限——所谓的SIEM也就是安全信息和事件管理(Security Information and Event Management)平台。这套系统的主要逻辑在于通过对各种事件数据(比如说日志)的分析,达到早期就能针对目标攻击做出检测和响应的目的。

许多客户有实时分析事件数据的需求,主要就是期望能够做到针对目标工具和数据窃取的早期检测:为做到事件响应、取证和合规,进行日志数据的收集、存储和分析。一般来说,SIEM技术会对安全设备、网络基础设施、系统和应用的事件数据进行聚合,主要的数据源就是日志数据——不过SIEM技术也能够处理其它类型的数据,比如说NetFlow和网络包。

这里所说的事件数据包含了有关用户、资产、威胁、漏洞的各种上下文信息。数据本身当然都是标准化过后的,这样一来来自不同源的事件、数据和上下文信息才能做到关联和分析,比如网络安全事件监控、用户行为监控和设备报告等。

SIEM供应商概貌

SIEM2016.png

Gartner的魔力象限在标准方面实际上是始终有针对市场的变化调整。入选标准调整之后,出现在魔力象限中的厂商可能会随之变化。根据Gartner的说法,若某厂商某一年在魔力象限中出现,而次年在象限中消失,未必代表他们对该厂商的观点产生了变化。出现与否可能反映了市场的变化,以及随之调整的评估标准,或者是该厂商的业务重心发生了转变。

今年没有厂商落榜,唯一的新入榜产商为ManageEngine。ManageEngine是一家成熟的IT产品供应商,旗下的EventLog Analyzer为客户提供日志管理、监控、分析、关联、存档等服务,还有预警和报告功能,而ADAudit Plus侧重对活动目录的监控、预警和审计。ManageEngine较大的亮点是部署简单,性价比高,可通过系统日志或导入日志迅速整合日志,对于已经在使用ManageEngine产品的企业,其SIEM服务是一个不错的选择。

今年SIEM魔力象限中入榜的供应商共有14个。其中6个为单点解决方案供应商,另外8个还销售其他安全或操作的产品或服务。SIEM市场主要由相对大型的几个供应商主导:HPE,IBM,Intel Security和Splunk,占了市场总额的60%。而由于中小型企业用户正在寻求托管服务或者SIEM即服务(SIEM-as-a-service)等其他选择,以减少内部安全方面的支出,所以小型SIEM供应商面临的压力将持续增长。

评估标准

在SIEM魔力象限中,纵坐标的执行力和横坐标的前瞻性评估标准分别如下所示:

执行力

产品或服务:评估厂商在实时安全监测、安全分析、事故管理与响应、报告及简单化部署等领域提供产品功能的能力与过往业绩。

整体生命力:评估厂商的财政状况,公司整体的盈利状况和具体成果,及厂商继续投资SIEM技术的可能性。

销售执行/定价:评估厂商在SIEM市场的业绩及其售前能力,包括SIEM的收益和安装基数大小,SIEM收益和安装基数的增长率,售前支持,以及销售渠道的整体效益。此项还考虑了Gartner客户的感兴趣程度。

市场响应能力/记录:评估SIEM产品/服务与顾客购买时所提技术要求的匹配程度,以及该产品/服务与主要竞品的差异。

市场营销执行:根据Gartner对顾客需求的理解,评估SIEM营销信息,同时评估营销信息在垂直市场或地区分部的变化

客户体验:评估产品功能及产品环境中的服务体验,包括部署、操作、管理的简易程度,产品稳定性,可延展性和厂商支持能力。

运营:评估厂商的服务、支持、销售能力。

表1 执行力评估标准

评估标准  权重
产品或服务
整体生命力
销售执行/定价
市场响应能力/记录
市场营销执行
客户体验
运营

前瞻性

市场认知:评估厂商对当前及潜在顾客需求的理解能力,以及将这些需求转化为产品和服务的能力。

营销策略:评估厂商有效传播SIEM产品/服务的价值与竞争优势的能力。

销售策略:评估厂商如何采用直接销售、间接销售、营销、服务及传播方式,扩大市场覆盖的广度及深度。

产品策略:评估厂商在满足当前要求的前提下,针对功能及特性进行产品开发的能力。未来12至18个月的开发计划也在包含在评估标准中。

垂直市场策略:评估厂商对垂直市场特定需求的支持策略。

创新能力:评估厂商与众不同的SIEM技术开发与实现能力,能够以特色方式满足关键的客户要求。

地区策略:评估产商在北美和欧洲(主要市场)及拉美和亚太地区(成长型市场)的销售和支持策略。

表2 前瞻性评估标准

评估标准 权重
市场认知
营销策略
销售策略
产品策略
商业模式 未评
垂直市场策略
创新能力
地区策略

市场概览

在过去一年中,市场对SIEM技术的需求依然强劲。SIEM市场从2014年的16.7亿美元扩大至2015年的17.3亿美元。2016年企业购买SIEM产品的驱动因素与去年相似。威胁管理为主要驱动因素,合规性为第二驱动因素。越来越多需要提高监控和漏洞检测能力的北美小型企业会选择部署SIEM产品或服务。欧洲及亚太地区对SIEM技术的需求比较稳定,驱动因素也是威胁管理和合规性要求。对比北美和欧洲成熟的市场,亚太及拉美的成长型市场拥有较高的增长率。

保守型选用SIEM 技术的大型企业也会继续启动新部署项目。大型的后期采用者和小型企业非常重视部署和运营支持的简洁性。我们仍将看到大型企业重新评估SIEM 供应商,以便替代不完整、无价值或者失败的部署项目中的SIEM 技术。

目前的SIEM市场比较成熟,而且竞争非常激烈。许多供应商都能够满足客户的基本要求。主要的需求空白点为有效的针对性攻击及漏洞检测。企业在早期漏洞检测方面做得不好,超过80%的漏洞都未被检测出来。这种状况可以通过威胁情报、行为描述和有效分析来改善。SIEM魔力象限也观察了新兴的用户与实体行为分析(UEBA)领域,早期的使用者报告称,只需少量的部署,UEBA产品/服务就可有效地检测针对性攻击。因此,2015年Splunk收购了UEBA供应商Caspida;HPE宣布整合ArcSight和Securonix解决方案。因为越来越多的企业将基于行为开发使用实例,Gartner预计,SIEM厂商将在未来18个月中,继续增加对行为分析功能和第三方技术集成的本地支持。

为了加入更多的事件源,更好地利用实时监控和调查来支持事件响应,大多数企业通常会在3年内扩展最初的SIEM部署。大型的SIEM厂商有着庞大的客户群,他们将继续关注如何扩展现有客户的SIEM部署项目。总的来说,SIEM供应商将逐步提升漏洞检测(包括威胁情报、异常检测和网络行为监控)、调查工作流与案例管理等产品功能。

点击此处下载完整报告。

*FreeBuf官方出品,本文作者:kuma,转载请注明来自FreeBuf.COM

未经允许不得转载:安全路透社 » Gartner发布2016 SIEM魔力象限报告,IBM、Splunk持续领跑

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册