1. 程式人生 > >安全牛:“新一代SOC研究報告”之市場指南及技術指南點評

安全牛:“新一代SOC研究報告”之市場指南及技術指南點評

安全管理平臺 soc 安管平臺 isoc 安全牛

在201789日,國內知名的企業級信息安全市場的專業新媒體——安全牛——發布了“新一代SOC研究報告”之市場指南及技術指南。在指南正式發布之前,7月份的阿裏安全峰會(以後改成“網絡安全生態峰會”)上,安全牛背後的谷安天下負責人李華在論壇上就對這個報告進行了預發布。而就在9月13日的ISC大會上,再次進行了宣講。的確,這份報告可以認為是近些年來國內出具的針對安管平臺(SOC)的少有的獨立分析報告。此前,國內公開可見的有關SOC的報告是IDC在2016年中發布的一份題為《中國安全管理平臺(SOC)市場份額,2015:開放、協同、連接是關鍵發展方向》的報告。而IDC的報告主要是市場數據分析。但此次安全牛的報告重點是技術分析和市場格局分析,不涉及數據。

技術分享

安全牛在阿裏峰會上分享的膠片與在ISC大會上分享的膠片基本相同。

在安全牛的網站上,有這份報告的梗概。我就不再轉述網站上的內容了,各位自行前往瀏覽。我這裏想寫點網站上沒有提及的內容。

《指南》表示,“新一代安全運營中心(SOC)以情報和安全智能驅動,采用自適應安全架構來進行環境和態勢感知,通過自動化或半自動化工具、流程和策略來對抗新一代威脅。預計未來很多企業都將開啟各種模式的新一代

SOC 建設,打造自身的內部安全運營能力,這也為安全廠商和服務商開啟了一個巨大的市場。加上國家和行業監管層面都提出了態勢感知方面的需求,也驅動了企業進行SOC 的建設”。

《指南》還指出,SOC 建設不僅僅是交付產品平臺,更重要的是交付給客戶安全運營的能力,廠商應結合安全服務商,提供更多的服務價值。

這份報告其實由兩個指南組成的。一個市場指南,類似一般所見的市場分析報告,另一個技術指南,則從需求、架構、功能設計、用戶價值等方面描述了新一代SOC的技術方方面面。這種模式估計也體現了谷安天下作為國內老牌的咨詢公司的能力吧。

整個報告在理念部分給出了自己的觀點,並較多的介紹了技術架構設計。技術實現方面簡單勾勒了一下,落地和場景建設方面蜻蜓點水說了一下。還較多的參考Gartner的分析報告對新一代SOC除了SIEM之外的新引入的技術(譬如EDR、UEBA、NTA、SOA)和未來趨勢作了一些闡釋。這些理念跟我本人的理解大方向上也是一致的,不過具體表述不同,展開的內容有些差異。

由於這兩份指南都是收費的,在此不便過多劇透。下面引用安全牛在阿裏峰會和ISC大會的公開宣講膠片稍微加以進一步說明。有興趣的人可以去安全牛網站購買這套報告。


技術分享

根據安全牛的分析,2020 年,以數據和情報驅動的新一代SOC 中心的市場占有率將從現在的5% 提升到50%,而市場規模將從現在的約10億元提升到50-100 億元。對於這個數據,我個人感覺(僅僅是感覺),17年的數據可能差不多。但2020年的數據估計可能略顯樂觀。需要指出的是,不能將所有態勢感知類項目都計入SOC市場,兩者是有很大差別的。對於這個議題,我將會在專門的“新態勢感知系列”文章中予以詳細闡述。

技術分享

上圖是安全牛對於新一代SOC(也就智能SOC)的功能設置


技術分享

上圖是安全牛認為的新一代SOC應該具備的安全監測方面的關鍵能力

技術分享

上圖是安全牛設計的新一代SOC的技術架構示意圖

技術分享

上圖是安全牛通過調研分析繪制的“安全牛矩陣圖”

稍微解釋一下這個矩陣圖。它從三個維度進行展示。橫坐標是規模,越靠左邊,說明規模越大(跟很多矩陣圖的方向相反,呵呵);縱軸是影響力,越往上說明影響力越大;在每個廠商的下面有五角星,數量多少表示了創新能力的高低。

根據報告描述,這個矩陣是安全牛“根據廠商調研的結果、客戶的反饋、業界的口碑、公開技術宣講、產品的白皮書、研發人員數量、服務人員數量、專利獲取情況、去年銷售額及當年預期銷售額情況等內容”綜合繪制出來的。

這裏,我想說的是,不論其權威性和有效性,有心來做這樣一份報告就實屬不易。在國內環境下,這項工作十分困難。相比之下,國外的SANS、ESG、Ponemon等機構的同類調研做的多了去了,方法論也很成熟了,更不要說IDC和Gartner了。所以,這個報告本身我就要點贊,也希望安全牛以後調研分析的方法論更加完備,且公開。同時,也希望業界同仁廠商積極參與這類分析調研活動,並拿出有說服力的數據和證據來表明自己。


最後,作為一個在SOC領域從業16年度的老兵,對於SOC的感觸實在太多,可以說的東西實在太多。這裏,我只想簡單展望一下未來。隨著顛覆性的新技術力量的逐步普及,新安全理念和體系的逐步形成,安全平臺類業務(尤其是SOC,安全分析,大數據安全分析,態勢感知)將會有一個大的爆發。這個爆發可能不是所有細分領域中最大的,但相比之前的SOC市場會是一個很大的增長。在新形勢下的平臺業務玩家,將不僅有已經存在多年的大型安全廠商,新興的互聯網安全廠商,還有新興的創業者,以及試圖切入安全市場的大型廠商(包括IT集成商和國家隊)。為啥?因為一方面這個領域熱門,代表了安全建設金字塔的上端,位居單點的各種新的、老的安全設備之上。另一方面,則是新技術的引入使得很多人覺得有了彎道超車的機會。

不過我想在這裏提醒一下各位玩家。安全的本質其實並未改變,跟十幾年前並沒有本質差別。新技術可能會加速創新,但在平臺業務這個領域,安全領域的經驗十分重要!開源的組件雖然容易獲得,但要用好十分困難。而就算熟練掌控的大數據、AI等等技術,如何應用到安全領域又是一道坎。在平臺業務這個領域,我們要看清它的變與不變,看清他的表面與核心。如果看不清,或者看錯了,那麽業務的布局、技術路線的選擇就可能出現偏差,誤入歧途,最終付出巨大的糾偏代價。

我還想說的是,我們的SOC團隊可以說一直引領著中國SOC市場,及其技術發展趨勢,無論是大數據、開放生態、威脅情報,還是態勢感知。團隊協作,而非某個個人,也是我十幾年來一直引以為傲的。

安全牛:“新一代SOC研究報告”之市場指南及技術指南點評