年复一年，中国的SIEM终于迈出了这一步

0

从2005年开始，Gartner每年都会发布一份关于SIEM的报告，今年同样不例外。

12月份，这份一次次推迟发布的研究报告终于浮出了水面。在入围的19家SIEM产品提供商中，我们惊喜地发现了一个熟悉的中国身影——“Venustech”。

2017Gartner SIEM魔力象限

用Gartner分析师的话来说，启明星辰的SIEM产品对于中国乃至整个亚太区的企业级客户都是一个不错的选择。

而作为站在SIEM背后的人，启明星辰泰合产品本部总监叶蓬，自然是无比自豪，因为Venustech成为了第一家入围Gartner SIEM魔力象限的中国企业。

在接受我采访的过程中，叶蓬逐渐打开了关于中国SIEM的回忆录……

启明星辰泰合产品本部总监叶蓬

1

比国外晚不了多长时间，SIEM产品就在中国大陆市场登陆了，当时时钟的指针还指在上世纪90年代末。那个时候，网络安全技术的高门槛让无数甲方企业“望尘莫及”，所以，当MSS（可管理安全服务）在国外兴起的时候，中国网络安全企业对这种类似于安全外包的服务模式展开了疯狂的追捧。受制于国内整体的网络安全技术发展水平，当时的中国网络安全企业都没有能力搞自主研发，采取的对策基本上都是国外产品引入，然后做本土化的二次开发。

然而，这样一个舶来品却和原滋原味的外国货不太一样，倒是和现在的SIEM还有着几分类似，它是一种可以部署在企业内部的安全管理平台。这是属于中国SIEM的萌芽发展时期，启明星辰、绿盟、天融信等一大票大家现在耳熟能详的的老牌网络安全企业，都曾经给过这颗萌芽温暖的“呵护”。

2

企业家都不是安份的主。玩腻了国外的产品，中国企业在2006年左右开启了自主研发的道路。只不过，中国网络安全企业特有的创造力让中国的第一代SIEM产品“五花八门”，有主要做日志分析的，有主要做告警预警的……

恰在当时，Gartner发布了第一份关于SIEM的报告，或许是受到报告的影响，中国的SIEM市场掀起了一波高潮，大量的企业开始部署SIEM。当然，今天的主角启明星辰也是在那个时候掀开了SOC1.0的新篇章。据叶蓬回忆道，2003年，启明星辰着手开始研发，到2005年其第一代安全管理平台出现在了公众的视野里。算一算，从第一代安全管理平台问世到入围Gartner魔力象限，这12年时间对于启明星辰来说，真的是一个轮回。

令人意外的是，这波浪潮仅持续了一年时间就平息了下去。原因其实很简单，因为很多企业部署SIEM都失败了，以至于大家“谈SIEM色变”。至于为什么失败，原因有很多，除了产品、技术或者服务能力的不足外，甲方无计划的跟风也是一个非常重要的原因。所以，从2007年开始以后的几年时间内，国内的SIEM市场经历了一个大大低谷。

而且这样一个低谷，让很多做SIEM的企业，都放弃了这样一条产品线，甚至还有很多企业倒了下去。不过，启明星辰是少数坚持下来的供应商之一。

3

SIEM市场的第二次反弹是在2011年左右。对于经历过低谷期的SIEM供应商来说，可以说是风雨后的彩虹。经过“暴雨”的冲刷，SIEM的棱角也更加清晰，这个时候，它的核心功能已经相对稳定下来，内涵也比较确切，主要包含资产管理、性能管理、事件管理、风险管理、预警、告警、报表、工单等八大功能。

当时，由于启明星辰的坚持，它的第二代安全管理平台也在2011年正式发布了，并且强调安全管理与业务的关联性，这一点，国内很多厂商都是做不到的。所以不论是在CCID还是IDC等研究机构的报告中，启明星辰的泰合安全管理平台的市场占有率，牢牢占据了榜首的位置。

此后的三四年时间，中国的SIEM市场显得还算平静，没有什么特别大的变化。只不过，现在回过头去看，这种平静或许真的是剧变的前兆。

4

当时针划过2015年这一页的时候，云计算、大数据技术在中国掀起的旋风让网络安全也无处可逃。记得微步在线CEO薛峰曾经表达过这样一个意思，云计算、大数据技术让网络攻防的主动权掌握在了防御方手里，防御者可以利用充分的资源来对攻击者实施监控。

这句话说得不错。所以，大家真得可以看到从2015年开始，一大把宣传数据驱动安全的企业出现了，不论是老玩家还是创业者。如果我没记错的话，360企业安全集团也是那一年四五月份正式成立的，齐向东成为了这家公司的掌门人。

同年12月，启明星辰第三代安全平台顺理成章地出现了，不用想，大数据技术成为了核心。资料显示，SOC3.0以大数据分析架构为支撑，以业务安全为导向，构建起以数据为核心的安全管理体系，强调更加主动、智能地对企业和组织的网络安全进行管理和运营。

幸运的是，启明星辰SOC3.0的发布现场，有我！

简单回顾一下启明星辰安全管理平台的发展历史：2005年，启明星辰发布了以资产为驱动的SOC平台1.0版本，2011年发布了以业务为驱动的SOC平台2.0版本，2015年底发布了以数据为驱动的SOC平台3.0版本。

很有意思的是，在此之后安全管理平台的供应商又开始活跃了起来，很多企业甚至在没有基础的情况下直接进军NGSOC或者NGSIEM。所以，如果把启明星辰当做又一次安全管理平台热潮的导火索，这句话我是信服的。

至于启明星辰如何成为中国第一家迈进Gartner魔力象限的SIEM供应商，还有很多故事可以追寻。

5

“其实在2016年，启明星辰就已经向Gartner提交了申请和资料，但是由于时间节点稍微晚了一些，所以错过了这次机会。”叶蓬解释道，“但是，今年的评选结果的确值得高兴，我们的产品评分是3.1分（总分5分），位列19家厂商的第11位。”

叶蓬在他的博客中写了这样一段话：入围Gartner SIEM魔力象限是一项十分艰苦的工作，不仅要跨越语言的障碍，还要扭转国外同行对中国厂商只能做安全硬件设备的误解。同时，SIEM产品魔力象限考核指标是Gartner所有安全产品评估中最复杂的，评价的指标项超过200个（指标之间相互关联，十分缜密）。至于技术方面，我们的SIEM覆盖了Gartner考察的大部分指标，包括流分析，机器学习等多项关键技术。

至于整个评选过程，绝不只是提交一份产品资料那么简单。期间，和分析师反复沟通，产品演示，提交各种产品资料和原理设计文档。分析师对产品的分析十分严谨，所有能写进报告的项目都必须提供能让他信服的证据。甚至由于多方原因，这份本应该在今年早些时间发布的报告，被反复推迟，直到今年最后一个月正式问世。而叶蓬本人，也从去年的评选旁观者变成了今年的亲身参与者，他在反复沟通与等待结果的过程中，忙碌而又忐忑着！

6

话又说回来，此次入围Gartner SIEM魔力象限的安全管理平台是2015年底发布的第三代平台。但是就算截至启明星辰向Gartner提交评选资料，这中间也已经过了一年半的时间，而现阶段的平台汇集了大数据、云计算、态势感知、机器学习等最新技术成果。据叶蓬介绍，其中很多重要技术的更新，也是启明星辰入围Gartner的重要原因。

一点点来看这一两年时间启明星辰安全管理平台的变化。

其一，威胁情报技术的落地。2016年4月29日。在网络安全周上启明星辰正式发布了自己的泰合计划，与微步在线、天际友盟等威胁情报供应商合作，向在安全威胁分析领域具有独特优势的广大安全厂商开放泰合SOC安管平台的南向和北向数据接口。经过一年多时间的发酵，威胁情报功能已经不单单是其安全管理平台的一个定制化功能，而是一个标准化的产品模块，实现了跟天际友盟的产品级对接，完成了真正的落地。

其二，机器学习算法的引入。Gartner预测，到2020年，75%的SIEM将采用大数据技术作为其内核，同时广泛借助ML去提升威胁检测的能力。同样，对于启明星辰来说，引入机器学习算法后，可以针对底层巨大的流量进行元数据抓取分析，从而进行网络行为建模。

其三，态势感知与可视化的加强。启明星辰针对安全管理平台的展示界面进行了优化，并且进行了更全面的安全信息采集，进而从资产感知、运行感知、漏洞感知、威胁感知、攻击感知和风险感知6个维度展开7x24小时的全天候态势感知。

其四，垂直领域的扩展。基于现有的架构，启明星辰进行了应用领域扩展，如放在工控网络中的安全管理平台，放在云环境中的CloudSOC安全管理平台等。

7

还有两件事情要说。第一件事情，在Gartner这份报告发布之后，启明星辰在国际市场上发生了一些微妙的变化。

大家都很清楚，尽管我国的网络安全市场增速非常快，甚至局部可以达到国际领先水平。但是整体来看，国内安全厂商的产品和技术相比于国际知名厂商还有很大的差距，再加上海外市场对中国品牌的种种限制，中国的网络安全厂商想要走出国门其实是很不容易的一件事情。

启明星辰同样也不例外。但自从Gartner发布这份报告后，先后有多家外国客户对启明星辰的SIEM产品表达出了足够的兴趣，这对今后启明星辰的真正走出国门面向全世界竞争起到了很大的推动作用。

另一方面，启明星辰今年启动了城市级安全运营中心的建设，目前成都基地已经建成。这也就意味着，启明星辰的SIEM产品将会在城市级的安全运营中起到非常重要的作用。

据叶蓬观察，从2016年来看，SIEM全球销量达到了21.7亿美元，在所有细分市场中，属于很高增速的市场，在亚太新兴地区和拉美的增速尤其高，总体上呈现一片繁荣景象。我们很容易相信，启明星辰的SIEM产品会在将来大有作为，不是吗？