《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > Forrester:2020年安全分析平台厂商评估

Forrester:2020年安全分析平台厂商评估

2021-02-01
来源:互联网安全内参
关键词: Forrester 安全分析

2.png

  在Gartner 2020年度的SIEM魔力象限出来之前,我们先看看Forrester最新的安全分析平台(Security Analytics Platform)的厂商评估报告(Forrester Wave),发表于2020年12月1日。Forrester的SAP细分市场大致对应于Gartner宇宙的SIEM细分市场。

  上一次Forrester发布SAP的厂商评估报告还是在2018年,时隔两年多,变化还是比较大的,因为最近几年正值SIEM/SOC/SAP领域翻天覆地的时代。

  Forrester在此前的另一份报告《Now Tech: Security Analytics Platforms, Q3 2020》中给出了最新的SAP定义:

  SAP构建在大数据基础设施之上,融合来自网络、身份、端点、应用和其它安全相关数据源的日志,产生高保真的行为告警,并促成快速的安全事件分析、调查与响应。

  回顾一下Forrester首次定义SAP的时候,是在《Counteract Cyberattacks With Security Analytics》报告中:

  SAP是一个构建在大数据架构之上的平台,它融合了来自包括SIM,(特定)安全解决方案,网络流数据,外部威胁情报和各种终端及应用的日志数据、关联数据和报表数据。SAP使用这些信息和机器学习技术为(用户)提供实时监测,促使(用户)更快速地事件检测、分析与响应。

  对比一下,定义大致保持一致,并且现在的定义更加简洁。

  注意:SAP不等于SA,SA(安全分析)是一种技术,不是一个细分产品市场!

  Forrester认为当前SAP的三个核心用途是:

  通过更好的网络可见性识别位置威胁

  借助自动化告警分诊和响应推荐来支撑SOC分析师的工作

  实现整个环境的编排化响应

  显然,Forrester对SAP的定义外延比经典的SIEM更大,称作下一代的SIEM,更贴近我们现今对安管平台(或者SOC平台)的认知。当然,现在Gartner在分析SIEM市场的时候也早已不在局限于经典SIEM范围了,大家对市场的认识都在趋同。ESG的SOAPA也差不多是一个意思。

  在Forrester看来,SOAR是SAP的核心能力,甚至以此来区分不同类型的SAP。此外,Forrester直接使用Gartner宇宙的SOAR术语,以替代原来的SAO。

  小结一下,用我们通俗可以理解的话来描述,SAP = 大数据 + SIEM + SOAR + XDR + UEBA。

  回到报告,2020年的Forrester Wave象限图如下:

  3.png

  对比一下2018年的Wave象限图:

  4.png

  可以看到,这个变化还是比较大的。

  首先,AlienVault已经被AT&T收购,McAfee、Fortinet、Huntsman也没有上榜,而FireEye上榜了。

  其次,微软凭借Azure Sentinel上榜,且位置突出,表明Forrester对Cloud SIEM(该术语来自Gartner)市场的重视。而Gartner目前还没有将Cloud SIEM纳入SIEM MQ考察范围。

  最后,也是最重要的,维持入榜的厂商位置都发生了较大变化。IBM和Splunk两强领跑,LogRhythm退居二线,Securonix和Exabeam凭借UEBA(Forrester称之为SUBA)技术异军突起。

  进一步来看,IBM和Splunk十分贴合Forrester对SAP的看法(也不好说是谁影响了谁),都是SIEM+SOAR的战略,都有云端SAP产品和服务,市场表现也很好。

  LogRhythm虽也有SOAR和SaaS版,都这些能力表现都差强人意。不过这个报告没来及讲到的是,就在2021年1月13日,LogRhythm宣布收购云分析平台厂商MistNet,预计将重组其围绕看家的SIEM之上的XDR和Cloud SIEM技术/产品/市场战略。

  Micro Focus的Arcsight在经历了数年的大滑坡后,也稍稍回血,先是2019年收购了Interset获得了UEBA技术,然后在2020年7月收购了ATAR Labs获得了SOAR技术,总算是面子上追了回来,但整合的如何尚未可知。而且Forrester认为Arcsight拥抱云相较于其它几个大厂而言太晚了点。

  顺带提一下,Micro Focus旗下的Arcsight退步是有目共睹,但Forrester还算手下留情,给它放到的第二档,而Gartner则狠心将其放到了2019年度MQ的第四档。

  Forrester对SAP的主要观点

  Forrester认为,SAP的未来在云端,因为用户的工作负载在向云端迁移,而且云端具有存储极易扩容、轻松上规模、稳定可靠等特点,另外云端SAP的软件开发与发布更高效。从实际市场来看,Forrester发现主流的SAP厂商都开始提供Cloud SIEM。

  微软的Azure Sentinel可谓云原生SAP,走到了GCP Chronicle前面。

  IBM凭借QRadar和Resilient上榜,同时Forrester也提到了IBM的CloudPak for Security Platform,作为其向云转战的标志。

  Spunk凭借ES和Phantom上榜,同时其面向云的Misson Control受到关注。

  Securonix也推出了基于SaaS的多租户版SAP。

  Forrester给选择SAP的客户提了4点建议,也就是SAP应具备的4个关键能力:

  1)客户定制化能力,特指分析内容,分析场景和分析模型的自定义;

  2)分析与自动化响应一体化,不仅能够发现问题,还能帮助解决问题;

  3)把MITRE的ATT&CK框架作为安全运行的一部分,贯穿检测、调查和猎捕的各个环节;

  4)具备XDR的愿景,能够将EDR很好的整合到安全分析中来。

  Forrester在评估SAP厂商技术能力的时候,考量的维度包括:部署模式和数据架构、可见性、关联分析能力、威胁检测能力、ATT&CK映射、定制化检测能力、安全编排能力、合规性、平台使用体验、分析能力、风险评分与优先级划分能力。

  


本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。