Gartner har for ganske nyligt frigivet den såkaldte Magic Quadrant for Security Information and Event Management (SIEM).
Hos Netic har vi med stor interesse læst rapporten, og vi konstaterer med en god portion tilfredshed at de to SIEM-leverandører, Netic har etableret samarbejde med - Splunk og IBM - vurderes af Gartners kunder som de førende produkter på verdensmarkedet.
Men... en ting er verdensmarkedet. En ganske anden er Danmark. Vi har derfor taget Gartners rapport og forsøgt at holde den op imod, hvad danske kunder efterspørger.
Lad os dog først starte med at tage et kig på, hvordan Gartners Magic Quadrant for SIEM ser ud i 2018:
Udover at Splunk og IBM er de førende leverandører, er der ikke de store overraskelser. LogRhythm nævnes også som leader, og dette produkt ses da også hos en række danske kunder. Derudover er også både RSA, Exabeam og Securonix rykket ind i leaders quadrant, hvilket samlet set betyder, at tætheden i toppen er større.
Da Gartners vurdering er baseret på interviews med Gartners kunder, kan man konkludere at der er stor tilfredshed med de SIEM-løsninger, der findes på markedet - og at der er en god og sund konkurrence mellem leverandørerne.
Og som en afrunding på denne indledning bør vi også fremhæve, at danske LogPoint er at finde i MQ for første gang nogensinde, vurderet som en såkaldt "niche player".
SIEM i Danmark
Målt på markedspenetration er SIEM i Danmark fortsat en umoden teknologi. De fleste virksomheder er usikre på om de organisatorisk er gearet til at opsamle den værdi, et SIEM-system kan give dem på sikkerhed. Dette er set både i forhold til kompetencer til drift af løsningen, men også på ressourcer til at reagere på alarmer og incidents.
Det betyder, at det i Danmark fortsat kun er blandt de største virksomheder, at SIEM er under overvejelse, og her vejes investeringen i SIEM op imod en række andre tiltag på sikkerhedsområdet.
Derfor ender mange kundesager på SIEM i Danmark fortsat på en snak om pris, i stedet for en snak om den værdi et SIEM-system kan tilføre virksomheden på så mange områder ud over sikkerhed - men det vender vi tilbage til.
Lad os nu se lidt på, hvad Gartner konkluderer om IBM og Splunk.
IBM - QRadar Security Intelligence Platform
QRadar har været positioneret som leader i Gartners MQ i en årrække og er således veletableret på markedet for SIEM-løsninger. Løsningen består af en række komponenter, der tilsammen udgør en samlet sikkerhedsplatform til opsamling af sikkerhedsdata og de actions, der er nødvendige på baggrund af de indsamlede data.
Styrker
Gartner fremhæver at QRadar er en stærk platform, der ud-af-boksen tilbyder funktionaliteter til en bred vifte af sikkerheds use-cases.
Desuden er QRadar omgivet af et solidt økosystem af både IBM-udviklede samt tredje-parts integrationer, som alle kan tilgås via IBMs marketplace. Dette gør at QRadar er solidt positioneret til at imødegå stort set ethvert sikkerhedsrelateret behov.
Svagheder
Gartner lægger ud med hvad der vel kun kan betegnes som en kosmetisk svaghed, idet det fremhæves, at QRadar kan se lidt gammeldags ud.
Der kommer lidt mere kød på, når Gartner omtaler måden, risici scores på i QRadar. Det sker nemlig efter en skala-model, hvor risiciene er kategoriserede efter trusler og yderligere gradueret indenfor hver enkelt kategori. Gartner understreger - helt på sin plads - at det kræver en høj grad af sikkerhedsmodenhed at operationalisere dette. Det vender vi også tilbage til.
Slutteligt har Gartners kunder et par ikke så pæne ord at sige om IBMs service & support. Det er ikke helt ukendt, at mange større globale IT-virksomheder har lidt vanskeligt ved at tilbyde kvalitetssupport og -service, og IBM er på det punkt ikke anderledes fra mange andre IT-giganter. IBM fremhæver selv, at de har øget head-count til support & service.
Splunk
Splunk har eksisteret siden 2003 og har været i leaders quadrant for SIEM i nu seks år i træk. Splunk adskiller sig fra en del af de andre produkter på SIEM-markedet ved at være en stærk dataopsamlings-, -korellerings-, og -analyseplatform. Det vil sige at Splunk kan anvendes til analyser af data fra en lang række kilder. De mulige use-cases for Splunk rækker derfor langt ud over sikkerhed.
Styrker
Splunk har både en høj markedspenetration og et højt udviklet økosystem af integrationer og tredje-parts apps. Derfor er Splunk et godt match for både organisationer med lav sikkerhedsmodenhed samt for organisationer, der har veletablerede sikkerhedsprocesser både ud fra et governancemæssigt og et teknisk synspunkt.
Dette understreges af, at Gartner fremhæver, at Splunk tilbyder organisationer en lang række forskellige indgange til sikkerhedsmonitorering.
Svagheder
Vi er nødt til at tale om elefanten i rummet - og for Splunks vedkommende hedder elefanten: Pris!
Gartners kunder fremhæver, at Splunks prismodel gør, at det er svært at fremstille en business case, der hænger ordentligt sammen. Hos Netic er vi delvist enige, og vi vil i hvert tilfælde gerne medgive, at Splunk typisk ikke er en billig løsning. Det handler om antallet af use-cases. Jo flere anvendelser virksomheden kan finde for dataanalyse og værdiskabelse på baggrund af virksomhedens data - jo bedre bliver business casen.
Derudover fremhæver Gartner, at Splunks UBA (User Behaviour Analytics) modul kun kan fås til on-premise løsninger, men ikke til Splunks cloudløsning. Dette kan potentielt føre til udfordringer for de kunder, der ønsker at licensere Splunk i en SaaS-model.
Konklusion
Vores udgangspunkt i denne snak var, at markedet for SIEM-løsninger i Danmark er forholdsvist umodent. Det er dog fortsat Netics holdning, at enhver virksomhed, der er afhængig af data, kan drage store fordele af en SIEM-løsning.
For danske virksomheder kan barriererne for investering i en SIEM-løsning opsummeres i tre hovedområder:
- Kompetencer
- Ressourcer
- Tid
Typisk kan alle de tre barrierer imødekommes ved at anvende en as-a-Service model for driften af løsningen. Hvorvidt denne model er spiselig, kommer naturligvis an på en lang række faktorer, men fakta er følgende:
- Der mangler kvalificerede sikkerhedsfolk i Danmark, og alle virksomheder har svært ved at besætte ledige stiller indenfor security-analytics. Hvis virksomheden ikke allerede besidder kompetencerne, kan det derfor være svært at drifte løsningen selv - simpelhen pga. mangel på kvalificerede folk.
- Budgetter til sikkerhed skal som oftest balanceres med en lang række andre behov i IT-afdelingen, og selvom sikkerhed i højere grad er på agendaen nu end for blot 5 år siden er store investeringer i IT-sikkerhed stadig ikke lette beslutninger at tage for de fleste virksomheder.
Du kan læse rapporten i den fulde udstrækning her. Kontakt gerne Netic, hvis du ønsker en uddybning af, hvordan en SIEM-løsning kan hjælpe din virksomhed på sikkerhed eller andre områder.