Forrester:2020年安全分析平台厂商评估
2021-02-01
来源:互联网安全内参
在Gartner 2020年度的SIEM魔力象限出来之前,我们先看看Forrester最新的安全分析平台(Security Analytics Platform)的厂商评估报告(Forrester Wave),发表于2020年12月1日。Forrester的SAP细分市场大致对应于Gartner宇宙的SIEM细分市场。
上一次Forrester发布SAP的厂商评估报告还是在2018年,时隔两年多,变化还是比较大的,因为最近几年正值SIEM/SOC/SAP领域翻天覆地的时代。
Forrester在此前的另一份报告《Now Tech: Security Analytics Platforms, Q3 2020》中给出了最新的SAP定义:
SAP构建在大数据基础设施之上,融合来自网络、身份、端点、应用和其它安全相关数据源的日志,产生高保真的行为告警,并促成快速的安全事件分析、调查与响应。
回顾一下Forrester首次定义SAP的时候,是在《Counteract Cyberattacks With Security Analytics》报告中:
SAP是一个构建在大数据架构之上的平台,它融合了来自包括SIM,(特定)安全解决方案,网络流数据,外部威胁情报和各种终端及应用的日志数据、关联数据和报表数据。SAP使用这些信息和机器学习技术为(用户)提供实时监测,促使(用户)更快速地事件检测、分析与响应。
对比一下,定义大致保持一致,并且现在的定义更加简洁。
注意:SAP不等于SA,SA(安全分析)是一种技术,不是一个细分产品市场!
Forrester认为当前SAP的三个核心用途是:
通过更好的网络可见性识别位置威胁
借助自动化告警分诊和响应推荐来支撑SOC分析师的工作
实现整个环境的编排化响应
显然,Forrester对SAP的定义外延比经典的SIEM更大,称作下一代的SIEM,更贴近我们现今对安管平台(或者SOC平台)的认知。当然,现在Gartner在分析SIEM市场的时候也早已不在局限于经典SIEM范围了,大家对市场的认识都在趋同。ESG的SOAPA也差不多是一个意思。
在Forrester看来,SOAR是SAP的核心能力,甚至以此来区分不同类型的SAP。此外,Forrester直接使用Gartner宇宙的SOAR术语,以替代原来的SAO。
小结一下,用我们通俗可以理解的话来描述,SAP = 大数据 + SIEM + SOAR + XDR + UEBA。
回到报告,2020年的Forrester Wave象限图如下:
对比一下2018年的Wave象限图:
可以看到,这个变化还是比较大的。
首先,AlienVault已经被AT&T收购,McAfee、Fortinet、Huntsman也没有上榜,而FireEye上榜了。
其次,微软凭借Azure Sentinel上榜,且位置突出,表明Forrester对Cloud SIEM(该术语来自Gartner)市场的重视。而Gartner目前还没有将Cloud SIEM纳入SIEM MQ考察范围。
最后,也是最重要的,维持入榜的厂商位置都发生了较大变化。IBM和Splunk两强领跑,LogRhythm退居二线,Securonix和Exabeam凭借UEBA(Forrester称之为SUBA)技术异军突起。
进一步来看,IBM和Splunk十分贴合Forrester对SAP的看法(也不好说是谁影响了谁),都是SIEM+SOAR的战略,都有云端SAP产品和服务,市场表现也很好。
LogRhythm虽也有SOAR和SaaS版,都这些能力表现都差强人意。不过这个报告没来及讲到的是,就在2021年1月13日,LogRhythm宣布收购云分析平台厂商MistNet,预计将重组其围绕看家的SIEM之上的XDR和Cloud SIEM技术/产品/市场战略。
Micro Focus的Arcsight在经历了数年的大滑坡后,也稍稍回血,先是2019年收购了Interset获得了UEBA技术,然后在2020年7月收购了ATAR Labs获得了SOAR技术,总算是面子上追了回来,但整合的如何尚未可知。而且Forrester认为Arcsight拥抱云相较于其它几个大厂而言太晚了点。
顺带提一下,Micro Focus旗下的Arcsight退步是有目共睹,但Forrester还算手下留情,给它放到的第二档,而Gartner则狠心将其放到了2019年度MQ的第四档。
Forrester对SAP的主要观点
Forrester认为,SAP的未来在云端,因为用户的工作负载在向云端迁移,而且云端具有存储极易扩容、轻松上规模、稳定可靠等特点,另外云端SAP的软件开发与发布更高效。从实际市场来看,Forrester发现主流的SAP厂商都开始提供Cloud SIEM。
微软的Azure Sentinel可谓云原生SAP,走到了GCP Chronicle前面。
IBM凭借QRadar和Resilient上榜,同时Forrester也提到了IBM的CloudPak for Security Platform,作为其向云转战的标志。
Spunk凭借ES和Phantom上榜,同时其面向云的Misson Control受到关注。
Securonix也推出了基于SaaS的多租户版SAP。
Forrester给选择SAP的客户提了4点建议,也就是SAP应具备的4个关键能力:
1)客户定制化能力,特指分析内容,分析场景和分析模型的自定义;
2)分析与自动化响应一体化,不仅能够发现问题,还能帮助解决问题;
3)把MITRE的ATT&CK框架作为安全运行的一部分,贯穿检测、调查和猎捕的各个环节;
4)具备XDR的愿景,能够将EDR很好的整合到安全分析中来。
Forrester在评估SAP厂商技术能力的时候,考量的维度包括:部署模式和数据架构、可见性、关联分析能力、威胁检测能力、ATT&CK映射、定制化检测能力、安全编排能力、合规性、平台使用体验、分析能力、风险评分与优先级划分能力。