2022年8月2日,Forrester发布了最新一期安全分析平台(Security Analytics Platform)【笔者注:大致相当于Gartner定义的SIEM】的市场格局报告,对全球30个厂商进行了简要评估。
报告表示,SAP技术市场在经历了20多年的发展(从SIM,SEM到SIEM,再到SAP)后已经成熟,技术发展里程碑包括:2010年代将SUBA(Gartner称为UEBA)融入SIEM;前几年开始向云端转移(Gartner称为Cloud SOC);最新的动向则是将SOAR和TIP纳入其中。
Forrester将SAP定义为:
SAP将汇聚来自网络、身份、端点、应用和其它相关来源的日志,生成高保真的行为告警,以实现快速的事件分析、调查与响应。
A security analytics (SA) platform converges logs from network, identity, endpoint, application, and other security relevant sources to generate high-fidelity behavioral alerts and facilitate rapid incident analysis, investigation, and response.
这个定义跟2020年的Forrester对SAP的定义几乎一致。
报告提出了SAP的三个商业价值点:
1)异常行为告警、事态调查、事件响应
2)大规模数据集的威胁猎捕
3)满足合规需求
报告认为,当前SAP最大的挑战是如何提供高质量的安全分析师体验(AX)。分析师体验(AX)是Forrester最新造出来的一个概念,在用户体验(UX)基础上推进了一层。
在笔者看来,AX简言之,就是当前SAP(包括SIEM,SOC平台)的核心是运营,而运营时最大的问题就是使用者(分析师)用起来不爽。这种不爽不仅是指UED(UI,交互等等),还有业务层面的,譬如如何将情境感知,响应流程嵌入到日常工作中去,如何助力分析师实现发现、探索、分类、决断和执行的闭环。BTW,我们近些年来做了很多面向领导者体验的努力(各种大屏),但却未能给真正干活的分析师们提供点什么。事实上,SOAR的引入恰恰大大增强了SAP的分析师体验过程。想想看,SOAR才是真正的贴近广大安全分析师的交互层,而传统SAP的分析层(组件)更加面向个别安全专家。还是那句话,对于SOAR而言,人员是根本、协作是使命、流程是基础、编排是核心、自动是手段、响应是场景、提效是目标!
报告还识别出了一个SAP架构的重大挑战:“如何在独立的大数据平台之上实施安全分析”。笔者第一次在国外报告中看到这个问题被明确提出来。其实在国内,15年的时候就开始遇到这个问题了。随着大数据技术的不断成熟,大型的企业和组织已经陆陆续续建设了自己的大数据平台,存放了跨安全和IT的数据,最近几年有的已经向“数据中台”方向发展。也就是说,这类用户在考虑安全分析平台(包括SIEM和SOC平台)时,要求其架构在现有的大数据平台(数据中台)之上。这对用户而言是很合理的要求,但很多SAP厂商却犯了难,因为他们的技术架构跟底下的大数据平台耦合得太紧,并且大都存在数据治理不一致的问题。目前,大部分SOC平台建设都造成了事实上的新的数据孤岛!注意:这里的大数据平台或者数据中台带来的数据集中化更多是逻辑意义上,并非是物理上的。并且,绝对的集中化也是不现实的。因此,对于安全分析而言,必须具备联邦搜索能力,能够实现跨不同领域(譬如跨安全和IT甚至是业务数据)和不同位置(譬如多云)的数据集的搜索。这也是未来SAP发展的一个技术方向。
报告总结了SAP的5大用例(应用场景):安全分析与告警、内部风险分析、自动化与编排响应、威胁猎捕、合规;同时还给出了SAP的关键功能集合:用户行为分析、定制化安全分析、关联分析、SOAR、日志管理、联邦搜索、资产发现、客户侧部署、云寄生部署、云原生部署、仪表板、开箱即用合规报告、威胁情报管理、流式分析,ATT&CK映射,跟2020年的SAP Wave报告中提及的关键功能集合有所变化。最后,报告给出了一个表格,标记不同的功能在不同的应用场景中的作用大小。由于版权关系,笔者这里不便展示。这里就强调一点,在2020年的时候,SOAR是SAP的关键能力,目前,SOAR依然是SAP的关键能力,而且已经成为国际SAP产品的主流功能。
Forrester将SAP产品分为3种类型:产品组合/套件(多构件)、平台(多组件)、单一产品。30款产品中,三分之二是平台,其次是套件,只有很少的单一产品。报告表示,SAP厂商的市场格局也在不断变化。对厂商而言,关键的机会点包括:整合能力(以消除用户对于太多分散的安全供应商的抱怨)、降低客户维护成本的能力(譬如通过云化来降低客户维护的成本)、更加合理和可预测的报价模式(按存储规模还是按计算规模?)。
【参考】
