【引言】本文是_《Gartner:2022年SIEM(安全信息与事件管理)市场分析》_的重编版。此次重编,去掉了对具体厂商的比较分析,更加聚焦对SIEM市场未来发展方向的研判,尤其是扩充了笔者对SIEM技术发展方向的判断,还对Gartner报告进行了勘误。经过近30年的发展SIEM依然迸发着勃勃生机,尽管面临不少挑战,但依然大有机会。
2022年底,Gartner相继发布了最新一期的SIEM(Security Information and Event Management,安全信息与事件管理)的魔力象限(Magic Quadrant)报告及其配套的关键能力评估(Critical Capabilities)报告。Gartner基于对厂商和用户的调研,以及自己的市场研究,通过这两份报告为我们呈现了当前SIEM市场的发展现状、竞争格局,以及未来的走势。
报告对SIEM的定义进行了全新的描述:SIEM将跨应用、网络、端点和云环境的各类监测、评估、检测及响应系统的事件数据聚合起来,以实现基于关联规则和UEBA的威胁检测,基于SOAR的响应集成,基于TIP的威胁内容持续更新和安全报表报告。SIEM主要以云服务方式(SaaS)部署,同时支持客户本地部署。
本次SIEM厂商评估时,一个重要的入选标准就是:必须以云原生或者SaaS方式交付SIEM能力,并且必须具备SOAR、TIP、UEBA和长期存储与报告4项能力中的至少2项。而这个入围标准和SIEM定义也明确表达出了Gartner对Cloud SIEM已经成为SIEM主流形态的观点。结合IDC的SIEM全球市场数据,2021年本地软件与SaaS模式的市场份额已经持平,IDC预计从今年开始,SaaS模式的市场将超越传统的本地软件方式。
Gartner认为,SIEM产品持续吸纳新的功能,并正在转变架构策略以适应客户需求。这种需求的最终指向就是云化(包括云原生和云寄生,合称Cloud SIEM)。而新功能包括SOAR、UEBA、TIP、自服务安全分析、持续威胁内容创建、安全事件(Incident)管理,等等。
根据Gartner的估计,SIEM市场从2020年的34.1亿美元增长到了2021年的41亿美元,取得了20%的增长率。SIEM市场正在快速成熟,并持续保持高度竞争。现在的SIEM已经开始跟五年前的SIEM越来越不相同了。当前SIEM的基本驱动力是检测、响应、暴露管理,以及合规,客户希望SIEM能够在宽度和深度两个方面同时满足其安全与业务的需要。因此,当前SIEM的四大热点能力是:检测、响应、暴露管理、合规。
检测:譬如实时分析、批式分析、数据科学算法、UEBA
响应:譬如SOAR、Incident管理、协作
暴露管理:譬如资产盘点(重要性、分组、位置、补丁状态等)、用户盘点(重要性、对等组、业务单元、角色、历史事件等)、配置状态、多云可见性和统一的暴露管理、与威胁检测框架对齐
合规:譬如报表报告、持续监测、审计
SIEM关键能力
在关键能力评估报告中,Gartner定义了SIEM产品的8大关键能力。这既是Gartner评估各个厂商在MQ矩阵中位置的依据,也是Gartner建议最终用户评估SIEM厂商应考虑的关键因素。
架构和部署:包括单一部署、分布式部署、级联部署、MSSP部署、云部署、SaaS部署等,关键是要满足用户的环境需求。
数据收集:包括对结构化和非结构化数据的收集、范化、增强、安全传输、大数据存储、安全存储。
附加组件:指SIEM厂商提供自己的或者与第三方合作的附加技术和工具的能力及其交付方式,这些技术和工具能够补充或者扩展SIEM能力,并与SIEM紧密集成,包括NDR、SSE、SOAR、OT/ICS专项工具、UEBA、暴露和漏洞管理等。
分析:包括威胁检测与分析(实时或者批式)、合规分析、UEBA、ATT&CK映射、机器学习分析等。
内容:国际上通常用安全内容来表示促成SIEM中各种安全能力(譬如威胁检测、关联分析、机器学习、编排响应等)真正运行起来并发挥效力的各种机读安全知识,譬如各种采集器和日志解析器、规则、模型和算法、用例、合规包、剧本和可编排应用等。这些安全内容的丰富程度、供给方式,以及扩展的便捷程度至关重要。
集成:指SIEM与第三方工具集(包括安全工具和非安全工具)双向对接的能力,这里特指诸如SOAR的应用集成,用于编排自动化。
路标规划:指SIEM厂商的技术和交付的未来规划,以适应快速变化的威胁格局、客户需求,以及最新的技术发展趋势。
用户界面:包括SIEM的UI设计和用户体验(UX)的便捷性,以及对各种角色的适应性。
【注:原报告中8大能力描述有误,此处做了修订。】
基于这8大关键能力,Gartner总结了三种SIEM使用场景,分别是开箱即用SIEM、定制化SIEM,以及威胁检测调查与响应(TDIR),每种场景对8大能力的要求权重各不相同。
1)开箱即用SIEM:针对欠成熟的SIEM用户,聚焦于预置的安全内容,以实现SIEM的基本功能为主。
2)定制化SIEM:针对较成熟的SIEM客户,并满足其个性化的需求,应对较复杂的部署环境。
3)TDIR型SIEM:针对更成熟的SIEM客户,聚焦威胁检测与响应,强调实战化安全运营,帮助其实现SOC现代化。
根据Gartner的定义, Cloud SIEM(也称为SaaS SIEM)是部署在云中的,SIEM厂商负责部署、维护、升级,提供数据存储,用户只需要具体使用(采集数据、分析、响应处置、编写安全内容等)的一种SIEM交付模式。Cloud SIEM分为云原生SIEM和云寄生SIEM两种。
Gartner认为Cloud SIEM代表SIEM的未来。从今年的报告来看,Cloud SIEM已经成为SIEM的首要形态,这也意味着SIEM的架构发生了重大变化。这种云化的好处不仅是顺应云时代和远程办公时代的需要,更主要是为了降低SIEM自身的部署和维护的负担,将重点投入到基于SIEM的安全运行上。因为,我们以往对SIEM最大的诟病之一就是使用太复杂。而这种复杂体现在两个方面:一个是部署和维护,一个是使用和运行。而云化可以消除部署和维护的复杂性。
云化对中小企业尤其适合。根据Gartner在全球市场的调研,中小客户对于SIEM类需求首选Cloud SIEM。同时,结合其他相关分析,中小客户在优先考虑Cloud SIEM之外还包括MSS/MDR,以及XDR。同时,客户本地部署的SIEM依然还有较大市场(譬如在中国市场大部分都是这种模式),尤其是那些对数据主权和隐私有关切的客户们。围绕这种本地部署的SIEM,共管SIEM服务(co-managed SIEM services)大有可为。
SIEM将继续与XDR竞争。对于那些安全运行成熟不高的企业(相当一部分中小型企业和部分较大型企业)而言,选择一种较为全面的、预先整合或者打包好的威胁检测与响应解决方案,能够减轻他们的负担。这种情况下,XDR可以与SIEM竞争,且往往更具优势。
笔者认为,这种优势体主要体现在:1)通过预先整合多种单点检测功能(譬如EDR,NDR等),并将检测与响应场景简化和固化,降低了传统SIEM的开放式单点检测功能集成的难度,从而更容易出效果。2)预先整合和固定打法能够更好地对产生的告警信息进行分诊和研判,提升安全事件的精度,降低误报,减轻分析师的告警疲劳;而传统SIEM由于太过灵活,在智能分析水平没有根本性提升的情况下面对海量告警难有起色。3)XDR的预先整合的做法顺应了当下供应商整合的大潮,能够降低用户的总拥有成本。
但很显然,XDR优势的取得并不是依靠比SIEM更先进的技术,而更多是依靠SIEM能力的精简、检测响应战法的固化,体现为一种产品策略带来的优势。也因此,SIEM厂商面对XDR的叫板显然不服,纷纷出招。一种典型的做法就是基于自身的SIEM进行剪裁,并适当引进一些遥测技术,推出自己的XDR产品,譬如Exabeam和Securonix就是这样做的。这种做法很取巧,其GTM策略说的通俗一点,就是“到哪座山唱哪支歌”,根据用户和对手的情况灵活应变。但副作用就是有时候会出现“左右互搏”的尴尬,不过好在规避和缓解的方式还比较多【笔者注:抛开SIEM和XDR,国内综合性安全厂商面对这类矛盾的情况比比皆是,很多产品都有此问题,不足为奇】。还有一种做法是SIEM厂商将XDR更多看作是一种高级的、下一代的威胁检测与响应产品,将其置于SIEM之下。这类XDR产品往往是在自有的EDR上进行扩展,通常是加入NDR技术,形成XDR;或者将自己现有的若干种检测技术打包,再配上裁剪版的SOAR,形成所谓的XDR。最后,XDR将检测结果送给SIEM,依旧发挥SIEM的安管平台、统一管控的作用。譬如微软就是这样做的,其XDR可以看作是其EDR的升级版。IBM则将其收购的EDR产品稍加改造,形成XDR。Fortinet亦是如此。
反过来,有一些XDR厂商,他们也并没有将自己的XDR直接当作SIEM,而是另行推出SIEM产品,譬如PAN。
上述厂商的举动也揭示了未来SIEM与XDR的两种可能的共存关系(按用户成熟度区分、按能力区分)。IDC也发现了这个迹象。IDC表示,“目前为止,XDR尚未对SIEM市场产生实质性影响,因为他们尚未发展为全功能的SIEM替代品,XDR发展了一种与SIEM的共生关系”。IDC表示自己高估了XDR对SIEM市场的冲击。根据IDC的预测数据,未来5年,尽管XDR的增长率高达70%,远大于SIEM的增长率,并且还会蚕食部分本属于SIEM的市场,但是SIEM和XDR市场都将增长。
同时,Gartner近期也一直表示XDR和SIEM是两个不同的产品和市场,XDR不会取代SIEM。
就目前笔者的观察,在试图取代SIEM之前,XDR在威胁检测与响应这个领域无论是宽度还是深度还有很多事情要去做。而国际上的一部分SIEM在满足大型成熟用户方面正在向更高级的威胁检测与响应能力迈进(Gartner称之为TDIR),还有一部分SIEM也在越来越向中国语境下的安全管理平台和态势感知方面的能力扩展和深化。从TDIR视角来看,XDR与SIEM(TDIR)会面向不同成熟度的用户而并存;从安管平台/态势感知视角来看,XDR与SIEM(安管平台)会形成互补关系而并存。
此外,根据Gartner对未来CSMA(网络安全网格架构)的展望,XDR也好,SIEM也罢,都不会位于CSMA的C位。
如前所述,SOAR被Gartner认为是SIEM的一个重要功能。没有SOAR,SIEM还可以称为SIEM,但有SOAR的SIEM将大大优于无SOAR的SIEM。Gartner在对厂商进行分析时,如果这个厂商有SOAR,往往就会将其列入3个优势能力之一;而如果这个厂商没有SOAR,很大概率就会在其列为劣势【注意:SIEM MQ中每个厂商仅列举3个优势,3个劣势,可见SOAR的价值】。
目前,SIEM厂商有2种形式跟SOAR结合:1)SIEM产品中内置一个附加的SOAR模块,通常这个SOAR模块的能力会比较简单;2)SIEM产品和自己的SOAR产品打包成一个套件或者解决方案,将大SIEM从单体架构变成多体架构。此外,还有一些SIEM厂商和第三方SOAR产品形成合作结盟,但这种方式不算结合。从2022年的SIEM MQ来看,目前几乎所有上榜厂商都实现了跟SOAR的结合。
Gartner表示,现在的SIEM已经广泛集成暴露管理的能力,用暴露管理中的数据去丰富化安全事件,实现情境感知、风险评估、业务安全评估,提升安全产出的价值。
根据Gartner的定义,暴露管理包括三个部分:攻击面管理(涉及EASM、CAASM、DRPS)、弱点管理(涉及RBVM、VPT、VA)、安全验证(涉及PENTEST、BAS、红蓝对抗)。
我们看到,包括国内,ASM(尤其是EASM)越来越火,SIEM中原有的资产管理模块可以看作是早期ASM的一个雏形,但SIEM的资产管理功能太弱,不够深入。因此,ASM的出现,形成了一种将SIEM中现有资产管理模块的部分能力剥离出去,由独立的ASM承担的趋势,就像用SOAR去置换现有SIEM中简易的设备联动响应功能一样。这也为我们展示了未来SIEM从单体架构向多体架构演进的一种趋势。而这个趋势也正好印证了Gartner的CSMA(这里的Mesh就代表了多体之间的连接)的设想。
显然,SIEM技术、产品和市场又开始了新的一轮迭代演进。SIEM技术价值重要,是安全管理平台的核心和基础,也是态势感知的基础,更是安全运行和运营的基础。
笔者认为,从技术架构上看,未来SIEM的发展存在四个趋势(两个转变和两个提升):
从单体向多体的转变:譬如SIEM功能的解耦与构件化、联邦搜索、与独立大数据平台的对接;
从云下向云原生的转变:譬如容器化、弹性扩展、分布式、多租户等;
从可扩展向可编排的提升:包括组合式、可编排的开放式架构,实现网格化、服务化的安全运营技术底座;
从自动化向超自动化的提升:核心是AI和ML技术的引入,实现所谓的智能自动化和认知自动化。
与此同时,从功能设计上看,SIEM的发展必须把握两个方向:
面向分析师体验(AX)的设计,易用,易用,更易用!
从内在和外向两个维度发起的协同,连接,连接,再连接!
【参考资料】