2018年9月21日,Forrester正式对外发布了2018年度的安全分析平台(Security Analytics Platform)的厂商评估报告(即Forrester Wave),这个评估类似Gartner的MQ。
SAP这个细分市场是Forrester在2016年提出来的,并且在2017年第一次给出了Forrester Wave评估(参见《Forrester:2017年度安全分析平台厂商评估(Forrester Wave)》)。对于SAP和SA的定义我在之前这个文章中已经进行了阐释,这里不再赘述。
在2017年度的报告中,Forrester说SIEM厂商正在向SA演进,而在2018年的报告中,Forrester则更加直白的提出“SAP是下一代SIEM”。与2017年说的一样,Forrester认定下一代SIEM(即SAP)区别于上一代SIEM的核心特点是NAV、SUBA和SAO,还有大数据架构。其中前面三个对应我们一般采用的Gartner的说法其实就是NTA、UEBA和SOAR,也即网络流量分析,用户实体行为分析,以及安全编排与自动化响应。可以说,虽然概念名词不同,但内涵基本是一致的。
回到这个Forrester Wave本身,如下图所示:
这份排名前面部分跟Gartner SIEM MQ2017也比较趋同。
此次评估,Forrester设定了30个评估指标,包括:数据架构、部署方式、数据采集器、定制化能力、关联分析、实时监测、高级检测技术、风险计算、UBA、云安全、集成NTA、集成数据安全信息、集成端点安全信息、日志管理、威胁情报、集成脆弱性数据、调查和事件处置、仪表板和报表、合规×××、伸缩性、安全编排与自动化、用户体验等。
最后值得一提的是,Forrester对安全专家对未来SAP的需求做出了一些分析,包括:
1)SAP具有多种部署方式,硬件的、软件的、虚拟的、云的,等等;
2)数据与分析解耦。譬如用户有自己的数据湖,或者可以对数据采用不同的分析工具;
3)更灵活多样化的授权方式,不仅是购买型授权,也有租赁型的授权;
4)更灵活的计价方式,尤其是以EPS或者数据量计价的方式另用户难以接受,就像Splunk,首当其冲。