2022年9月,IDC发表了2022~2026年的全球SIEM市场预测报告。IDC表示其高估了XDR可能对SIEM带来的冲击,SIEM在2021年取得了11.7%的超预期增长。基于此,IDC调高了其未来五年的SIEM市场预测,估计2022年将有52亿美元,而2026年将达到65.9亿美元,并不断扩大在中型和中小型客户中的渗透率。
IDC报告表示,围绕SIEM的一些客户痛点已经众所周知,包括告警太多,误报太多,以及在运行的各方面都十分复杂。同时,XDR等其它产品抓住SIEM的这些弱点,也在试图蚕食SIEM市场。面对这些内忧外患,SIEM厂正在不断优化其产品,并加强对XDR的防御,譬如集成自动化响应,对告警分组生成更少的Incident,简化报价模式,向SaaS模式转型,支持跨数据集的查询(譬如splunk, Securonix),提供更大规模、更低成本的存储,等等。
如今的SIEM产品除了基于规则的标准检测技术,基本上都应用了基于机器学习的实体行为基线技术以识别异常。同时,纷纷加入了风险或者重要性评分算法,以帮助用户聚焦于最重要的安全事项。而将告警和事件映射到MITRE的ATT&CK中已经成为大家的常见功能。
“SIEM是安全运营中心(SOC)的核心,同时也是最复杂的部分”,IDC分析师
Michelle Abraham表示,“SIEM供应商通过改进功能的交互界面,以及提供更多的开箱即用安全内容来提升易用性,帮助分析师更快地实现SIEM价值”。
在2021年底,IDC对美国客户做过一次调研。基于这个调研,IDC建议SIEM供应商考虑以下需求:
为用户提供开箱即用的安全工具集成,提供更多的遥测数据用于关联分析,让用户能够轻松扩展这种集成。
允许用户进行跨多个存储位置的数据分析,而不是将所有数据都汇聚到SIEM。
为客户提供开箱即用的合规报表报告。
提供可自定义的,可视化单一仪表板。
将检测结果映射到MITRE ATT&CK以帮助识别网络攻击检测过程中缺失的信息。
IDC表示,XDR尚未对SIEM市场产生影响,因为他们尚未发展为全功能的SIEM替代品。相反,XDR发展了一种与SIEM的共生关系。还一个有趣的现象是SIEM和XDR厂商正在互相渗透。主流SIEM厂商纷纷发布XDR产品(在《SIEM的未来》一文中列出了13个主流厂商通过收购或者自研推出XDR),而有些XDR厂商也发布了SIEM产品(譬如PAN推出Cortex XSIAM,CrowdStrike收购Humio)。
此外,SIEM厂商正在拥抱Cloud SIEM,SIEM的SaaS化趋势明显,但IDC认为这不会对SIEM的总收入造成太大的问题。由于SIEM是SOC中不可或缺的组成部分,目前的宏观经济状况不太可能产生影响,尽管安全组织应该优化他们的SIEM,从花费的资金中获得尽可能多的价值。
根据IDC的预测,美国是SIEM最大的市场,而亚太地区则是增长最快的市场。从产品形态来看,客户本地部署的硬件形态将逐步减少,而本地软件部署方式也将在今年见顶,以后也将逐步减少。取而代之的是SaaS模式的部署。2021年本地软件与SaaS模式的市场份额已经持平,IDC预计从今年开始,SaaS模式的市场将超越传统的本地软件方式,并将在未来5年保持13.1%的高增长。从客户规模看,一方面是特大型客户会保持相对较高的增长,同时,SMB小客户也会出现较大的增长。而中型和大型客户是SIEM的主力客户。此外,尽管经济形势不断恶化,但IDC的调研依然显示大部分客户对SIEM的预算仍然维持往年的水准,表示影响不大,不少客户预算还有增长。
根据IDC这份报告,推动SIEM市场增长有三个因素需要关注:SIEM供应商提供集成化SOAR功能会推动SIEM市场增长,而合规与网络安全保险需求也会推动SIEM增长,还有就是SIEM报价模式的改进(从基于数据量报价变成基于算力报价)也会促进SIEM增长。针对阻碍SIEM市场的因素,则包括XDR和MSS对SIEM市场的蚕食。
最后,给出IDC的SIEM定义:SIEM解决方案是一个以日志为中心的平台,用于策略与合规的保证,以及发起安全调查。SIEM解决方案包括:通过多源数据汇聚,对可能代表攻击、入侵、误用或者失效的事件模式进行识别;通过事件关联将告警和错误日志合并成为简短的、易于理解的形式,从而简化和加速对网络事件的监测;归并和存储日志数据;采集和传播威胁情报,进行威胁预警,并提供对策建议;SIEM产品中的数据可用于产生策略与合规的一致性报表报告。
IDC认为,SIEM不是通用安全数据分析平台,不是BI分析,不是威胁情报平台,但可以与他们协同工作。
【参考】
