李宇茜/ 發布日期：2019/07/02/ 瀏覽次數：97

Frost & Sullivan將安全資訊和事件管理(Security Information and Event Management, SIEM)分為四大類，分別為實體設備、虛擬應用程式、軟體和軟體即服務(Software as a Service, SaaS)。估計SIEM市場2018年至2023年收益，將從19.83億美元成長至32.30億美元，年均成長率為10.3%。研究結果指出，高額的前置成本與營運成本、資訊安全人才不足，以及對SIEM工具的不信任等因素將阻礙SIEM的發展；但另一方面，SIEM的易用性(usability)逐漸改善、法令規範要求、SIEM整合威脅情資(threat intelligence)與辨識分析，以及雲端使用普及等因素，亦將驅動SIEM市場的成長。以下論述Frost & Sullivan提出的SIEM市場發展概況與預測，以及市場發展驅動力與阻力。

一、市場概況
(一)定義：SIEM是企業使用的網路安全工具，作為資安情資平台，用以蒐集、標準化、確認關聯性、分析與提報資安與營運相關資訊。為使其更有效率，需要政策、監管流程、將紀錄轉換為可用的情報，並與其他形式的資訊(如漏洞評估、威脅情報)進行整合。
(二)市場通路運作模式：SIEM供應商需要提供通路合作夥伴相關的市場進入策略(go-to-market)，以便將將銷售活動從產品銷售轉換成商業解決方案。就市場占比而言，經銷商即占市場的70.9%，為SIEM平台的功能與部署提供重要服務；其次為占20.9%的安全管理服務提供商(Managed Security Service Provider, MSSP)，主要是提供延遲(Latency)、可用性、冗餘性（Redundancy）及資源效能相關的服務層級協議(Service Level Agreements, SLA)；其餘8.2%則由供應商直接提供售予顧客。

二、驅動市場發展的因素
(一)SIEM的易用性逐漸改善：由於SIEM的核心價值著重於快速反應，以降低威脅與對業務的衝擊，因此供應商正試圖利用自動化、監控及分析等方式來設計產品。
(二) SIEM整合威脅情資(Threat Intelligence)與鑑識分析(Forensic Analysis)：透過調查安全事件獲取的情報，有助於降低威脅與分析攻擊行為，並能提升偵測環境威脅的準確性。而鑑識分析則在利用分析網路攻擊成因與提供證據，以偵測與採取預防行動方面是相當重要的，且在法規更趨嚴格與罰金更高的情況下，鑑識對於數位證據的蒐集是必要的。
(三) 法令規範將驅動SIEM的採用：SIEM仍是符合規範的審查與提報標準，尤其對於具有數位資料儲存與潛在詐欺爭議的機構。隱私性是高度優先要處理的議題，企業能即時蒐集、儲存和分析資訊，但是用戶和監管機構可以要求隱私保護並確保資料僅能在明確許可的情況下被使用，因此企業若無合適的資料保護與驗證機制，可能將面臨更高額的罰款。
(四)雲端成為部署SIEM的必要領域：雲端是一種高度分散式的架構，主要用於傳輸文件、傳輸應用程式和協助運算，且應用程式常被儲存在不同的資料中心，因此SIEM架構必須讓資料儲存位置、應用程式儲存與執行方式能夠相容。此外，雲端傳輸與儲存可能較SIEM實體設備或軟體便宜，因此對於中小型企業而言，在雲端管理SIEM或SIEM即服務(SIEM-as-a-service)將更具備經濟上的可行性。
(五)使用機器學習、深度學習和人工智慧以改善SIEM效能：SIEM解決方案常被使用者反應，過多被標示為具優先性但實際上卻不重要的警示，造成SIEM團隊的困擾。將機器學習(Machine Learning, ML)和深度學習(Deep Learning, DL)應用於預測模式與安全性分析，以辨識異常的網路流量與分析新的惡意軟體，可提高安全分析師的工作效率。大數據架構是人工智慧的基礎，精密校正(well-tuned)的SIEM必須先建構一個大數據湖泊(Big Data lake)來接收其他安全工具的記錄，並分析資料的關聯性，以高度自動化方式阻止進階或未知的攻擊。

三、阻礙市場發展的因素
(一)較高的前置成本與營運成本：SIEM不是隨插即用的工具，需要技術人員來擬訂專門報告、設計事件回應與調查的流程，但在許多情況下，企業常缺乏具有資訊安全認證或能有效完成任務的專業資安人員。加以資安專業人員的競爭激烈，大型企業與資訊安全公司均提供極具競爭力的薪酬，以致於許多企業在專案中期流失資安專家，因而危及安全環境，致使前置成本與營運成本更高。因複雜性、缺乏技術和成本等因素，企業現在傾向委由第三方來管理其SIEM解決方案，結合第三方管理模式與雲端解決方案，將有助於提高中小企業實現SIEM解決方案帶來的效益。
(二)預算限制下，SIEM面臨來自其他安全工具的激烈競爭：安全性是在數位領域中，企業執行業務所需付出的必要成本。目前沒有單一、最佳的企業網路安全模式，以致於現今的企業安全架構必須包括多層次路徑(multilayered approach)與異質結構網路。另一方面，SIEM供應商亦須與其他網路安全技術相互競爭，例如：網路存取控制(NAC)、虛擬機器(VM)、端點檢測與回應(EDR)將會與SIEM解決方案產生預算競爭。
(三)缺乏資訊安全專業人才：SIEM專業人員必須能夠收集記錄、設置警示參數、評估警示的嚴重性，並採取因應對策，但這類人才相當難以尋覓，這將嚴重地阻礙企業採用SIEM等更複雜的安全技術。就概念而言，當機器可快速學習並做出決策，就能預先避免威脅，而不是在攻擊發生後才採取因應措施，如此將能比人類分析師更快、更準確地降低威脅。因此企業需要更好的安全工具和自動化系統來改善專業人員不足，而這也突顯出人工智慧、機器學習、安全自動化和編排的重要性。
(四)對SIEM工具的不信任：SIEM最大問題之一，是大量的誤報事件，許多IT部門均認為其有能力自行開發資訊安全架構，卻低估現今資安情勢的複雜度、需要專用且高度專業化資源的事實，導致安全分析師常耗費大量時間在辨識威脅和彙編文件。在許多情況下，公司缺乏足夠SIEM人員以人工檢視來排除誤報，且因為識別威脅的精確度不足，使得以人工方式管理誤報，成為分析師唯一的功能。

四、全球各地區SIEM市場預測與趨勢
(一)按地區劃分：北美市場擁有完善法規制度、具有許多國際級品牌的美國企業、美國經濟體相當健全等因素，使得北美仍然是SIEM的主要市場，2018年北美市場收益占全球的65.1%，預測至2023年將降至56.2%。拉丁美洲的企業開始意識到，如果私人或敏感資料被未經授權的第三方竊取或存取，將會導致嚴重的有形與無形損失，進而開始調整心態。北美市場在2018年收益占全球的3.7%，預測到2023年會增加至5.9%；歐洲、中東及非洲(EMEA)受到一般資料保護規則(GDPR)的高度影響，不過其收益占全球比例將自2018年的19.6%，增加至2023年的22.9%；亞太地區政府部門則強調，當企業經營關鍵業務時(特別是銀行和金融業)，需要開發全天候監控功能，以便能真正抵禦網路攻擊，其2018年收益占全球11.6%，預測至2023年將提高至15.0%。
(三)按產品類型劃分的SIEM市場總收益預測：該研究將產品分為四類，分別為虛擬應用程式、實體設備、軟體和軟體即服務。其中，軟體占市場收益最高，2018年占比高達40%，其採購模式通常為附年度保固的永久性授權(perpetual license)。實體設備則為在公司端(on premise)安裝實體物件，多被大型企業使用，主因能完全控制IT架構，占比為27.8％；軟體即服務則提供企業在雲端上特定軟體的託管與網路存取、應用程序等服務，占16.4%；虛擬應用程式是安裝在虛擬伺服器的軟體(如VMware、Hyper-V，Linux KVM)，占比為15.4%。