Forrester：2017年度安全分析平台厂商评估（Forrester Wave）

Posted 2020-09-03

2017年3月6日，Forrester第一次发布了安全分析平台（Secuirty Analytics Platform）的Forrester Wave（类似Gartner的Magic Quadrant）。

首先，让我们看看什么是SA？

【定义1：Forrester】The primary purpose of SA is to provide centralized visibility across the environment for quick threat detection and resolution. 对整个（目标）环境提供集中化的可见性以快速地实现威胁检测与处置。

【定义2：SANS】The discovery (through various analysis techniques) and communication (such as through visualization) of meaningful patterns or intelligence in data.通过各种分析技术和传播手段（例如可视化）来发现数据中有价值的模式或情报。

【定义3：Gartner】对一类数据的高级分析，以获得有效的安全产出。这里的高级分析特指机器学习、数据挖掘、深度学习、高级统计等分析方法，而非仅仅基于特征/签名的、或者基于规则匹配和一般性统计的分析方法。

【定义4：Gartner】利用逻辑的、数学的方法对安全数据进行分析，为做出更好的决策提供洞见。

Gartner明确指出，安全分析是一种技术、是一套最佳实践，而不是是一个细分市场，不存在安全分析产品市场。我在《什么是大数据安全分析》一文中也提出了安全分析（包括大数据安全分析）“不是一个产品分类，而代表一种技术，一套安全分析的理念和方法”的理念。为什么？其中最明显的一个原因就是各种安全产品都在利用（大数据）安全分析技术重塑自身（参见《大数据安全分析重塑网络安全》一文）。

Forrester也应该是秉持相同的理念的。所以，他没有对SA而是对SAP进行了产品和细分市场定义。

Forrester在《Counteract Cyberattacks With Security Analytics》一文中给SAP下了一个定义：

A platform built on big data infrastructure to converge logging, correlating, and reporting feeds from security information management (SIM), security solutions, network flow data, external threat intelligence, and diverse endpoints and applications. The SA platform uses this information and machine learning techniques to provide real-time monitoring and facilitate the rapid incident detection, analysis, and response.【SAP是一个构建在大数据架构之上的平台，它融合了来自包括SIM，（特定）安全解决方案，网络流数据，外部威胁情报和各种终端及应用的日志数据、关联数据和报表数据。SAP使用这些信息和机器学习技术为（用户）提供实时监测，促使（用户）更快速地事件检测、分析与响应。】

正如我在《大数据安全分析重塑网络安全》一文中提出的大数据安全分析平台一样，SAP可以成为一个企业的安全智能中心。

回到这篇Forrester Wave报告本身。Forrester认为安全分析已经成为网络安全监测、告警和运维的必备技术。74%的全球企业安全技术决策者将安全监测排在的十分高的优先级。不论是现的安全厂商还是新兴的安全厂商都在纷纷融入安全分析技术到其产品和解决方案中。SA解决方案使得安全与风险专家们能够：

1）利用高级分析技术更好地检测未知威胁；

2）借助专门的分析工具和威胁捕猎的方法，更好地从归档日志（数据）中检索威胁信息；

3）更全面更细致地监测内部网络行为，包括利用SUBA（安全用户行为分析）技术【注：Gartner称为UEBA技术】；

4）更快速地对告警信息进行调查追踪；

5）利用SAO（安全自动化与编排）工具【注：gartner称为SOA】提升运维效率。

6）更好地遵从规范与标准。

报告还指出，SIM（即SIEM）厂商正在积极拥抱安全分析。SIM（SIEM）厂商增强的最常见的三种安全分析能力包括NAV、SUBA（UEBA）和大数据架构。

报告对候选厂商从多个考察维度进行了评估和综合打分，最后评出了11个厂商。

我更感兴趣的则是Forrester的评估指标体系（指标和权重）。因为通过这些信息有助于我们观察Forrester是如何对SAP进行技术分析的，也能反映出市场上对SAP普遍的需求与期望。其中，跟技术相关的指标包括：架构、部署模式、支持的数据类型、数据采集方式、定制化数据源、关联分析规则、实时监测、检测技术、风险评估机制、UEBA、终端分析、NAV、数据渗漏分析、日志管理、威胁情报、漏洞数据、调查和事件管理、工作流、可视化、仪表板和报表、安全自动化、灵活性、兼容性、可伸缩性、UE，等等。

安全分析已来，你不拥抱它，他就淘汰你。