【網路安全】年復一年,中國的SIEM終於邁出了這一步

z1y492vn3zyd9et3b06發表於2017-12-29


?wxfrom=5&wx_lazy=1



0


從2005年開始,Gartner每年都會發布一份關於SIEM的報告,今年同樣不例外。


12月份,這份一次次推遲釋出的研究報告終於浮出了水面。在入圍的19家SIEM產品提供商中,我們驚喜地發現了一個熟悉的中國身影——“Venustech”。


?wxfrom=5&wx_lazy=1

2017Gartner SIEM魔力象限


用Gartner分析師的話來說,啟明星辰的SIEM產品對於中國乃至整個亞太區的企業級客戶都是一個不錯的選擇。


而作為站在SIEM背後的人,啟明星辰泰合產品本部總監葉蓬,自然是無比自豪,因為Venustech成為了第一家入圍Gartner SIEM魔力象限的中國企業。


在接受我採訪的過程中,葉蓬逐漸開啟了關於中國SIEM的回憶錄……


JUTPUaqdyxicdkFfMvTqHdj7jC1woE1mhJBVLO4bObtAIKp4vRznzzSYiclwYNokOO7Itfv7vqq0LeDjvtcl117w

啟明星辰泰合產品本部總監葉蓬


1


比國外晚不了多長時間,SIEM產品就在中國大陸市場登陸了,當時時鐘的指標還指在上世紀90年代末。那個時候,網路安全技術的高門檻讓無數甲方企業“望塵莫及”,所以,當MSS(可管理安全服務)在國外興起的時候,中國網路安全企業對這種類似於安全外包的服務模式展開了瘋狂的追捧。受制於國內整體的網路安全技術發展水平,當時的中國網路安全企業都沒有能力搞自主研發,採取的對策基本上都是國外產品引入,然後做本土化的二次開發。


然而,這樣一個舶來品卻和原滋原味的外國貨不太一樣,倒是和現在的SIEM還有著幾分類似,它是一種可以部署在企業內部的安全管理平臺。這是屬於中國SIEM的萌芽發展時期,啟明星辰、綠盟、天融信等一大票大家現在耳熟能詳的的老牌網路安全企業,都曾經給過這顆萌芽溫暖的“呵護”。


2


企業家都不是安份的主。玩膩了國外的產品,中國企業在2006年左右開啟了自主研發的道路。只不過,中國網路安全企業特有的創造力讓中國的第一代SIEM產品“五花八門”,有主要做日誌分析的,有主要做告警預警的……


恰在當時,Gartner釋出了第一份關於SIEM的報告,或許是受到報告的影響,中國的SIEM市場掀起了一波高潮,大量的企業開始部署SIEM。當然,今天的主角啟明星辰也是在那個時候掀開了SOC1.0的新篇章。據葉蓬回憶道,2003年,啟明星辰著手開始研發,到2005年其第一代安全管理平臺出現在了公眾的視野裡。算一算,從第一代安全管理平臺問世到入圍Gartner魔力象限,這12年時間對於啟明星辰來說,真的是一個輪迴。


令人意外的是,這波浪潮僅持續了一年時間就平息了下去。原因其實很簡單,因為很多企業部署SIEM都失敗了,以至於大家“談SIEM色變”。至於為什麼失敗,原因有很多,除了產品、技術或者服務能力的不足外,甲方無計劃的跟風也是一個非常重要的原因。所以,從2007年開始以後的幾年時間內,國內的SIEM市場經歷了一個大大低谷。


而且這樣一個低谷,讓很多做SIEM的企業,都放棄了這樣一條產品線,甚至還有很多企業倒了下去。不過,啟明星辰是少數堅持下來的供應商之一。


3


SIEM市場的第二次反彈是在2011年左右。對於經歷過低谷期的SIEM供應商來說,可以說是風雨後的彩虹。經過“暴雨”的沖刷,SIEM的稜角也更加清晰,這個時候,它的核心功能已經相對穩定下來,內涵也比較確切,主要包含資產管理、效能管理、事件管理、風險管理、預警、告警、報表、工單等八大功能。


當時,由於啟明星辰的堅持,它的第二代安全管理平臺也在2011年正式釋出了,並且強調安全管理與業務的關聯性,這一點,國內很多廠商都是做不到的。所以不論是在CCID還是IDC等研究機構的報告中,啟明星辰的泰合安全管理平臺的市場佔有率,牢牢佔據了榜首的位置。


此後的三四年時間,中國的SIEM市場顯得還算平靜,沒有什麼特別大的變化。只不過,現在回過頭去看,這種平靜或許真的是劇變的前兆。


JUTPUaqdyxicdkFfMvTqHdj7jC1woE1mhJ1fD8rv0QHZpNxce37pLv8w1MNSNqAc6SmGP3AV0sd9HvJNAwfib9rA


4


當時針劃過2015年這一頁的時候,雲端計算、大資料技術在中國掀起的旋風讓網路安全也無處可逃。記得微步線上CEO薛峰曾經表達過這樣一個意思,雲端計算、大資料技術讓網路攻防的主動權掌握在了防禦方手裡,防禦者可以利用充分的資源來對攻擊者實施監控。


這句話說得不錯。所以,大家真得可以看到從2015年開始,一大把宣傳資料驅動安全的企業出現了,不論是老玩家還是創業者。如果我沒記錯的話,360企業安全集團也是那一年四五月份正式成立的,齊向東成為了這家公司的掌門人。


同年12月,啟明星辰第三代安全平臺順理成章地出現了,不用想,大資料技術成為了核心。資料顯示,SOC3.0以大資料分析架構為支撐,以業務安全為導向,構建起以資料為核心的安全管理體系,強調更加主動、智慧地對企業和組織的網路安全進行管理和運營。


幸運的是,啟明星辰SOC3.0的釋出現場,有我!


簡單回顧一下啟明星辰安全管理平臺的發展歷史:2005年,啟明星辰釋出了以資產為驅動的SOC平臺1.0版本,2011年釋出了以業務為驅動的SOC平臺2.0版本,2015年底釋出了以資料為驅動的SOC平臺3.0版本。


很有意思的是,在此之後安全管理平臺的供應商又開始活躍了起來,很多企業甚至在沒有基礎的情況下直接進軍NGSOC或者NGSIEM。所以,如果把啟明星辰當做又一次安全管理平臺熱潮的導火索,這句話我是信服的。


至於啟明星辰如何成為中國第一家邁進Gartner魔力象限的SIEM供應商,還有很多故事可以追尋。


5


“其實在2016年,啟明星辰就已經向Gartner提交了申請和資料,但是由於時間節點稍微晚了一些,所以錯過了這次機會。”葉蓬解釋道,“但是,今年的評選結果的確值得高興,我們的產品評分是3.1分(總分5分),位列19家廠商的第11位。”


葉蓬在他的部落格中寫了這樣一段話:入圍Gartner SIEM魔力象限是一項十分艱苦的工作,不僅要跨越語言的障礙,還要扭轉國外同行對中國廠商只能做安全硬體裝置的誤解。同時,SIEM產品魔力象限考核指標是Gartner所有安全產品評估中最複雜的,評價的指標項超過200個(指標之間相互關聯,十分縝密)。至於技術方面,我們的SIEM覆蓋了Gartner考察的大部分指標,包括流分析,機器學習等多項關鍵技術。


至於整個評選過程,絕不只是提交一份產品資料那麼簡單,還涉及到和分析師的反覆溝通,產品演示,提交各種產品資料和原理設計文件。並且,分析師對產品的分析十分嚴謹,所有能寫進報告的專案都必須提供能讓他信服的證據。甚至由於多方原因,這份本應該在今年早些時間釋出的報告,被反覆推遲,直到今年最後一個月正式問世。而葉蓬本人,也從去年的評選旁觀者變成了今年的親身參與者,他在反覆溝通與等待結果的過程中,忙碌而又忐忑著!


JUTPUaqdyxicdkFfMvTqHdj7jC1woE1mhI4fBIib2FeltXQCbaORBmptRGZ6ib6icH2oQY0rqBCF7wP3hURIiciagxzw


6


話又說回來,此次入圍Gartner SIEM魔力象限的安全管理平臺是2015年底釋出的第三代平臺。但是就算截至啟明星辰向Gartner提交評選資料,這中間也已經過了一年半的時間,而現階段的平臺彙集了大資料、雲端計算、態勢感知、機器學習等最新技術成果。據葉蓬介紹,其中很多重要技術的更新,也是啟明星辰入圍Gartner的重要原因。


一點點來看這一兩年時間啟明星辰安全管理平臺的變化。


其一,威脅情報技術的落地。2016年4月29日。在網路安全週上啟明星辰正式釋出了自己的泰合計劃,與微步線上、天際友盟等威脅情報供應商合作,向在安全威脅分析領域具有獨特優勢的廣大安全廠商開放泰合SOC安管平臺的南向和北向資料介面。經過一年多時間的發酵,威脅情報功能已經不單單是其安全管理平臺的一個定製化功能,而是一個標準化的產品模組,實現了跟天際友盟的產品級對接,完成了真正的落地。


其二,機器學習演算法的引入。Gartner預測,到2020年,75%的SIEM將採用大資料技術作為其核心,同時廣泛藉助ML去提升威脅檢測的能力。同樣,對於啟明星辰來說,引入機器學習演算法後,可以針對底層巨大的流量進行後設資料抓取分析,從而進行網路行為建模。


其三,態勢感知與視覺化的加強。啟明星辰針對安全管理平臺的展示介面進行了優化,並且進行了更全面的安全資訊採集,進而從資產感知、執行感知、漏洞感知、威脅感知、攻擊感知和風險感知6個維度展開7x24小時的全天候態勢感知。


其四,垂直領域的擴充套件。基於現有的架構,啟明星辰進行了應用領域擴充套件,如放在工控網路中的安全管理平臺,放在雲環境中的CloudSOC安全管理平臺等。


7


還有兩件事情要說。第一件事情,在Gartner這份報告發布之後,啟明星辰在國際市場上發生了一些微妙的變化。


大家都很清楚,儘管我國的網路安全市場增速非常快,甚至區域性可以達到國際領先水平。但是整體來看,國內安全廠商的產品和技術相比於國際知名廠商還有很大的差距,再加上海外市場對中國品牌的種種限制,中國的網路安全廠商想要走出國門其實是很不容易的一件事情。


啟明星辰同樣也不例外。但自從Gartner釋出這份報告後,先後有多家外國客戶對啟明星辰的SIEM產品表達出了足夠的興趣,這對今後啟明星辰的真正走出國門面向全世界競爭起到了很大的推動作用。


另一方面,啟明星辰今年啟動了城市級安全運營中心的建設,目前成都基地已經建成。這也就意味著,啟明星辰的SIEM產品將會在城市級的安全運營中起到非常重要的作用。


據葉蓬觀察,從2016年來看,SIEM全球銷量達到了21.7億美元,在所有細分市場中,屬於很高增速的市場,在亞太新興地區和拉美的增速尤其高,總體上呈現一片繁榮景象。我們很容易相信,啟明星辰的SIEM產品會在將來大有作為,不是嗎?


 中國軟體網 

專注有深度的

網際網路軟體趨勢分析

 作者 

JUTPUaqdyxicdkFfMvTqHdj7jC1woE1mhXgIPwBWXJuuc8Njqwxf9VCBjzibN4ibmiaKvQ5p2NUfpvqtItvUPw5BSw

魏開元

soft6|渣渣小編

愛雲端計算,愛網路安全,更愛跳動的鍵盤!

微信:weikaiyuan1991

郵箱:wky@soft6.com


 作品概覽 



?

?


掃描二維碼,關注我們吧


相關文章